SVG-Angriffe: Wenn das Logo zum Phishing-Vehikel wird

SVG ist XML mit JavaScript-Support. Browser führen eingebettete Skripte aus, Mail-Gateways sehen häufig nur ein harmloses Bild. Angreifer nutzen diese Diskrepanz für Phishing-Redirects und Malware-Auslieferung. Diese Seite zeigt die Mechanik, MITRE-Zuordnung und die Verteidigung aus DOMPurify, Gateway-CDR und MIME-Block.

Domain-Schutz prüfen Plattform entdecken
Bedrohung · MITRE T1027.017 (SVG Smuggling)
Von Wolf-Agents Security Team · Aktualisiert: 13. Mai 2026
Definition

Was sind SVG-Angriffe?

SVG-Angriffe nutzen die JavaScript-Fähigkeit des SVG-XML-Formats zur Malware- oder Phishing-Auslieferung. Browser führen eingebettete Skripte aus, wenn die SVG direkt geöffnet wird — Mail-Gateways behandeln SVG häufig als harmlose Bild-Datei und inspizieren das XML nicht. MITRE ATT&CK T1027.017 (SVG Smuggling) ist die spezifische Sub-Technik (am 25. März 2025 etabliert) mit Trustwave SpiderLabs, Talos Intelligence, Cofense und BleepingComputer als offiziell zitierten Forschungs-Quellen; T1027.006 (HTML Smuggling) ist die verwandte Schwester-Technik, T1059.007 (Command and Scripting Interpreter: JavaScript) deckt die Ausführungs-Ebene ab. Sophos X-Ops Februar 2025, Trustwave SpiderLabs April 2025 und das OWASP XSS Prevention Cheat Sheet dokumentieren konkrete Kampagnen und Sanitization-Patterns.

Wolf-Agents prüft die Authentifizierungs-Vorbedingung im Email Security Check — eine Domain mit DMARC p=reject reduziert Marken-Imitations-Kampagnen mit SVG-Anhang. Für die eigentliche SVG-Inspektion verweisen wir auf Gateway-Lösungen mit CDR-Funktion (Votiro, Glasswall, OPSWAT) oder Mail-Gateway-Anbieter mit XML-Sanitization (Microsoft Defender for Office 365, Proofpoint TAP).

SVG-Angriffe in einem Satz

SVG ist Code im Bild-Kostüm. Verteidigung erfordert XML-Sanitization (DOMPurify-Pattern) oder MIME-Type-Block — eine harmlose .svg-Endung allein ist kein Vertrauensindikator.

Angriffs-Mechanik

Wie funktioniert ein SVG-Angriff?

SVG-Angriffe nutzen drei JavaScript-Injection-Punkte im XML: das `<script>`-Element, Event-Handler-Attribute (`onload`, `onmouseover`, `onerror`) und CSS-Expressions in `<style>`-Blöcken. Bei direktem Öffnen im Browser wird der Code ausgeführt. Bei Embed-in-HTML kann der Angreifer SVG zum XSS-Vehikel auf der Empfänger-Seite machen.

SVG mit eingebettetem JavaScript XML-Angriff 
<?xml version="1.0" standalone="yes"?>
<svg xmlns="http://www.w3.org/2000/svg"
     onload="alert(0x58535329)">
  <rect width="100%" height="100%" fill="white" />
  <text x="20" y="40">Harmloses Logo</text>
  <script type="application/ecmascript">
    // Browser fuehrt dies aus, Mail-Gateway oft nicht
    window.location = "https://phishing.example/credential-harvest";
  </script>
</svg>
1

SVG mit Script erstellen

Angreifer baut SVG-XML mit `<script>`-Tag oder `onload=`-Event-Handler. Phishing-Redirect oder Credential-Form als Payload.

2

Versand als Email-Anhang

SVG mit Bild-MIME-Type. Email-Subject: „Anbei das neue Logo“ oder „Marketing-Material“. Gateway oft ohne XML-Inspektion.

3

Empfänger öffnet SVG im Browser

Doppelklick öffnet SVG im Default-Browser. JavaScript wird sofort ausgeführt — Redirect zur Phishing-Page oder Credential-Form-Anzeige.

4

Credential-Eingabe oder Malware-Download

Empfänger sieht entweder gefälschte Login-Seite oder Download-Aufforderung. Beide Pfade enden mit kompromittiertem System oder Konto.

Dokumentierte Vorfälle

SVG-Phishing-Trends 2023–2026

SonicWall, Trustwave SpiderLabs und Trellix haben SVG-basierte Phishing-Kampagnen ab 2023 verstärkt dokumentiert. Die OWASP Foundation hat das SVG Security Cheat Sheet etabliert. SVG-Phishing ist eine etablierte Untervariante des klassischen Email-Threat-Spectrums.

2023+

SonicWall SVG-Threat-Report

SonicWall dokumentiert SVG-basierte Malware-Kampagnen mit Phishing-Redirects und embedded Credential-Forms in den jährlichen Threat-Reports.

2024

Trustwave SpiderLabs — SVG-Phishing-Analysen

Trustwave SpiderLabs hat mehrere SVG-Phishing-Kampagnen analysiert und in detaillierten Threat-Reports veröffentlicht.

2024

OWASP SVG Security Cheat Sheet

OWASP führt SVG-Sanitization als Standard-Empfehlung in den XSS-Prevention-Cheat-Sheets. DOMPurify wird als Referenz-Bibliothek genannt.

2025

Sophos X-Ops Februar 2025 — SVG-Phishing-Verfünfzigfachung

Sophos X-Ops dokumentiert ab Mitte Januar 2025 eine sprunghafte Steigerung: bösartige SVG-Anhänge erreichten 2025 das 50-Fache des 2024-Volumens und stellen damit etwa 5 % aller bösartigen Anhänge — der drittwichtigste schädliche Dateityp 2025. Top-Imitations-Ziele laut Sophos-Auswertung: DocuSign, Microsoft SharePoint, Dropbox und Google Voice. Häufige Lures: angebliche Voicemails, Verträge, Zahlungs-Bestätigungen, RingCentral-Benachrichtigungen. Microsoft hat im September 2025 die Inline-Anzeige von SVGs in Outlook eingeschränkt — SVG-Anhänge bleiben aber zugestellt. Quellen: Sophos News „Scalable Vector Graphics files pose a novel phishing threat“ (5. Februar 2025) + Infosecurity Magazine Auswertung.

Erkennung

Wie erkenne ich SVG-Angriffe?

SVG-Erkennung erfordert XML-Inspektion auf Gateway-Ebene. Suchen Sie nach `<script>`-Elementen, Event-Handler-Attributen (`on*=`), `href`-Werten mit „javascript:“-Schema. Endpoint-EDR kann den Browser-Skript-Start nach SVG-Öffnen erkennen. Awareness-Training: SVG-Anhänge sind in geschäftlicher Email selten — verdächtig.

XML-Inspektion

  • <script>-Element im SVG-XML
  • Event-Handler-Attribute (onload=, onerror=, onmouseover=)
  • href-Werte mit javascript:-Schema
  • External-Reference-Tags <use href="...:">
  • SVG mit eingebetteten Base64-Strings >1024 Zeichen

Endpoint-EDR

  • Browser startet aus Outlook-Anhang
  • Browser triggert Skript-Engine aus SVG
  • Network-Beacon kurz nach SVG-Open
  • Datei-Download aus Browser-Session
  • Credential-Form-Render in unbekannter Domain

Wolf-Agents-USP für SVG

Wolf-Agents prüft die Authentifizierungs-Vorbedingung — eine Domain mit DMARC p=reject reduziert Marken-Imitations-Kampagnen mit SVG-Anhang. Auf der Web Security Check-Seite prüft Wolf-Agents CSP-Header — eine korrekte CSP verhindert SVG-XSS auf der eigenen Website.

Schutzmaßnahmen

Wie schütze ich mich vor SVG-Angriffen?

SVG-Schutz ist auf zwei Schichten zu lösen: Email-Gateway-XML-Sanitization (entfernt Skripte aus SVG-Anhängen) und Browser-CSP (verhindert SVG-XSS-Ausführung in eingebetteten Kontexten). DOMPurify ist die Referenz-Bibliothek für Frontend-Sanitization. MIME-Type-Block für SVG in geschäftlicher Email-Kommunikation ist eine pragmatische Maßnahme.

1

Gateway-XML-Sanitization

Microsoft Defender for Office 365, Proofpoint TAP mit SVG-Inspection. CDR-Lösungen Votiro/Glasswall entfernen Skript-Tags proaktiv.

2

SVG-MIME-Block

Mail-Gateway-Regel: SVG-Anhänge generell blockieren oder mit Warn-Header. SVG ist in Geschäftsmail extrem selten.

3

Browser-CSP gegen SVG-XSS

Content-Security-Policy mit `script-src 'self'` verhindert externe Script-Loads. Siehe Web Security CSP.

4

DOMPurify (Frontend)

Für eigene Anwendungen mit User-SVG-Uploads: DOMPurify-Sanitization bei Render-Zeit. OWASP-Standard.

5

DMARC p=reject

Verhindert Marken-Imitations-Kampagnen mit SVG-Anhang aus Ihrer Domain. Reduziert Angriffsoberfläche.

6

Awareness-Training

Konkrete Regel: „SVG-Anhang in Geschäftsmail = mit IT-Helpdesk abklären. Niemals direkt öffnen.“

Incident-Response

Was tun bei einem SVG-Angriffs-Erfolg?

Wenn ein User die SVG geöffnet und Credentials eingegeben hat: Konto-Reset wie bei klassischem Phishing. Bei Malware-Download zusätzlich Endpoint-Isolation und EDR-Forensik. NIS2-Meldepflicht bei erheblichem Vorfall.

  1. Konto-Reset — Passwort, Sessions, OAuth-Tokens. MFA-Faktoren prüfen.
  2. SVG-Anhang sichern — Original-XML extrahieren, IoCs (URLs, JS-Snippets) dokumentieren.
  3. Aggregat-Kampagne? — wurden weitere Mitarbeiter mit dieser SVG angeschrieben?
  4. Endpoint-EDR-Forensik — wurde Malware nachgeladen? Browser-History prüfen.
  5. Gateway-Regel-Anpassung — SVG-Block oder Inspection-Erweiterung.
  6. NIS2 + DSGVO Meldepflichten — bei erheblichem Vorfall oder Datenpanne.
Compliance

SVG-Schutz nach NIS2 lit. b + g

SVG-Angriffe fallen unter NIS2 Art. 21 Abs. 2 lit. b (Vorfall-Bewältigung) und lit. g (Cyberhygiene + Schulung). Bei eigenen Web-Anwendungen mit SVG-Upload zusätzlich lit. e (Sicherheits-Maßnahmen bei Entwicklung — DOMPurify-Integration) und OWASP-Best-Practices. DSGVO Art. 33/34 bei Datenpannen.

NIS2 lit. b + g + e

lit. b: Incident-Response für Phishing/Malware aus SVG. lit. g: Awareness-Training. lit. e: Sicherheits-Maßnahmen bei eigenen Anwendungen mit SVG-Upload.

OWASP SVG Cheat Sheet

OWASP-Empfehlungen zur SVG-Sanitization. DOMPurify als Referenz-Bibliothek. Bestandteil eines „Stand der Technik“-Nachweises.

DSGVO Art. 32/33

Art. 32: technische Maßnahmen. Art. 33: 72h-Meldung bei Datenpannen aus erfolgreichem SVG-Phishing.

Der Wolf-Agents Email Security Check sichert die Authentifizierungs-Vorbedingung. Für eigene Web-Anwendungen mit SVG-Upload empfehlen wir den Web Security Check (CSP-Bewertung).

Wie steht Ihre Domain bei SVG-Angriffe?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten

Häufig gestellte Fragen

Was sind SVG-Angriffe?

SVG (Scalable Vector Graphics) ist XML mit JavaScript-Support. Browser führen eingebettetes JavaScript aus, wenn die SVG-Datei direkt geöffnet wird. Mail-Gateways behandeln SVG häufig als harmlose Bild-Datei, weil sie eine .svg-Endung haben — das eingebettete Skript wird nicht inspiziert. Angreifer nutzen diese Diskrepanz für Phishing-Redirects und Malware-Auslieferung. MITRE ATT&CK T1027.017 (SVG Smuggling) ist die spezifische Sub-Technik; T1027.006 (HTML Smuggling) und T1059.007 (JavaScript) sind verwandte Bausteine.

Wie funktioniert ein SVG-Angriff?

Der Angreifer bettet JavaScript in eine SVG-Datei ein — entweder im `&lt;script&gt;`-Element oder als Event-Handler (z.B. `onload=`). Die SVG wird als Email-Anhang versendet. Beim Öffnen im Browser führt das Skript Phishing-Redirects, Credential-Harvesting-Forms oder Browser-Exploits aus. Bei Office-Integration kann SVG sogar VBScript triggern. SVG ist deshalb ein versteckter Code-Träger im Bild-Container.

Warum erkennen Mail-Gateways SVG-Angriffe schlecht?

Klassische Mail-Gateways prüfen Anhang-Typ und Antivirus-Signatur. SVG mit Bild-MIME-Type sieht wie ein normales Logo aus. Wenn das Gateway keine SVG-XML-Sanitization durchführt, übersieht es eingebettetes JavaScript. Modernere Lösungen (Microsoft Defender for Office 365, Proofpoint TAP) haben SVG-Inspection inzwischen, aber Self-Hosted-Setups (Postfix, Exim) brauchen ergänzende Tools.

Was leistet DOMPurify-Sanitization?

DOMPurify ist die Standard-JavaScript-Bibliothek zur sicheren HTML/SVG-Sanitization. Sie entfernt Script-Tags, Event-Handler und andere aktive Komponenten aus dem XML. Mail-Gateways mit CDR-Funktion (Votiro, Glasswall) wenden eine ähnliche Technik an — die SVG wird auf statische Visuelle Elemente reduziert. Eine sterile SVG ohne Script-Tags ist sicher zu öffnen.

Wann wird SVG-Sanitization auf dem eigenen Server wichtig?

Sobald Ihre Anwendung User-Uploads akzeptiert und diese als SVG verarbeitet oder anzeigt — Ticket-Systeme, Anhang-Vorschau, Avatar-Upload. OWASP listet SVG-Sanitization in den Cross-Site-Scripting-Empfehlungen. Frontend-Frameworks wie Astro, React und Vue sanitisieren nicht automatisch — eine SVG aus User-Input gehört durch DOMPurify oder eine Server-seitige XML-Bereinigung.

Was leistet Wolf-Agents gegen SVG-Angriffe?

SVG-Anhang-Inspektion ist Gateway-Funktionalität. Wolf-Agents prüft die Authentifizierungs-Vorbedingung — eine Domain mit DMARC p=reject verhindert Marken-Imitations-Kampagnen mit SVG-Anhang. Das Monitoring (alle 6 Stunden) alarmiert bei DMARC-Drift. Auf der Web-Security-Seite prüft der Scanner CSP-Header — eine korrekte CSP verhindert SVG-XSS auf der eigenen Domain.