Navigation
E-Mails mit SVG im Anhang – die (noch) unterschätzte Gefahr
E-Mails mit SVG im Anhang – die (noch) unterschätzte Gefahr
  1. Blog
  2. E-Mails mit SVG im Anhang – die (noch) unterschätzte Gefahr
  1. Blog
  2. E-Mails mit SVG im Anhang – die (noch) unterschätzte Gefahr
E-Mails mit SVG im Anhang – die (noch) unterschätzte Gefahr

E-Mails mit SVG im Anhang – die (noch) unterschätzte Gefahr

Cécile Kunz
Cécile KunzWeinfelden, 28.03.2025

SVG-Dateien – kurz für Scalable Vector Graphics – sind aus der Webentwicklung kaum mehr wegzudenken. Sie bieten viele Vorteile: kleine Dateigrösse, verlustfreie Skalierbarkeit und direkte Bearbeitbarkeit im Code. Doch genau darin liegt auch das Risiko.

In den letzten Wochen erhielten auch wir bei chrisign vermehrt verdächtige E-Mails mit einem SVG-Anhang. Grund genug, die potenziellen Sicherheitsrisiken etwas genauer zu beleuchten.

Warum SVG-Dateien problematisch sein können

Im Gegensatz zu klassischen Bildformaten wie JPG oder PNG basiert SVG auf XML. Das bedeutet: Die Datei ist eigentlich Code – und kann nebst Grafik auch aktive Inhalte wie JavaScript, CSS oder externe Referenzen enthalten.

Dadurch ergeben sich verschiedene Angriffsmöglichkeiten:

1. JavaScript-basierte Angriffe
SVG kann eingebettetes JavaScript enthalten. Das macht folgende Szenarien möglich:

  • Cross-Site Scripting (XSS): Schadcode wird beim Öffnen im Browser direkt ausgeführt.
  • Automatische Weiterleitungen: Der Anhang enthält ein Skript, das auf eine Phishing- oder Malware-Seite weiterleitet.
  • Drive-by-Downloads: Ohne Klick kann im Hintergrund Schadsoftware geladen werden.

2. XML External Entity (XXE)
Als XML-Dateien können SVGs sogenannte externe Entitäten referenzieren:

  • Zugriff auf lokale Dateien des Systems
  • Versand sensibler Daten an einen Server des Angreifers
  • Auslösung interner Netzwerkzugriffe (SSRF)

3. Exploits* durch fehlerhafte SVG-Parser
Tools, die SVGs verarbeiten (z. B. Bild-Editoren, Online-Konverter), können Schwachstellen enthalten. Eine manipulierte SVG-Datei kann:

  • Speicherüberläufe verursachen
  • Anwendungen zum Absturz bringen
  • Code auf dem Zielsystem ausführen

4. Phishing und Social Engineering
Angreifer nutzen SVGs auch für Täuschungsversuche:

  • Fake-Login-Felder direkt in der Grafik
  • Verlinkung auf nachgemachte Webseiten

Wie kann man sich schützen?

SVG-Dateien sind nicht grundsätzlich unsicher. Entscheidend ist der richtige Umgang. Das Verhalten ist grundsätzlich ähnlich, wie wenn Sie andere Dateitypen oder E-Mails erhalten, welche verdächtig wirken. 

  • Nur von bekannten Absendern öffnen
    Öffnen Sie E-Mail-Anhänge nur, wenn Sie den Absender kennen und ihm vertrauen.
  • Nur erwartete Dateien öffnen
    Wenn Sie die Datei nicht erwartet haben, öffnen Sie sie besser nicht. Fragen Sie im Zweifelsfall beim Absender nach. 
  • Nicht doppelklicken
    Öffnen Sie SVG-Dateien nicht direkt per Doppelklick – auch wenn es "nur ein Bild" ist.
  • Sichere Programme verwenden
    Nutzen Sie zum Öffnen nur Grafikprogramme von bekannten Anbietern.
  • Keine Dateien weiterleiten
    Verdächtige SVGs (oder andere Dateien) nicht weiterleiten oder auf andere Systeme übertragen

Fazit

SVG-Dateien sind technisch hochentwickelt – und genau das macht sie potenziell gefährlich. Sie können versteckte Skripte oder Exploits enthalten, die von Sicherheitslösungen nicht immer erkannt werden. Gerade im E-Mail-Kontext ist Vorsicht geboten.

Unser Tipp: Lieber einmal zu viel nachfragen oder einen Anhang ignorieren, als auf eine raffinierte Masche hereinzufallen.

*Ein Exploit ist ein gezielter Angriff, der eine Schwachstelle in einem Programm ausnutzt.

Cécile Kunz

Cécile Kunz

Agenturleitung / Online-Marketing

Hundeliebende Naturfreundin mit technischem Hintergrund und einer Passion für Online Marketing. Neugierig, kommunikativ, zuverlässig und spontan.

Bitte beachten Sie, dass Ihr Beitrag erst nach manueller Prüfung veröffentlicht wird.
071 622 67 41