E-Mail-Anhänge und Links sind seit Jahrzehnten der wichtigste Schadsoftware-Einfallsweg. Trotz aller Anti-Spam-Filter, Mail-Gateways und Endpoint-Sicherheits-Lösungen landen täglich Millionen schadhafter Dokumente in Postfächern — und ein einziger Klick reicht. Dieser Artikel zeigt, welche Anhang- und Link-Typen heute besonders gefährlich sind, was die Schutz-Mechanismen leisten, und welche alltagstauglichen Reflexe den Unterschied machen.
Die häufigsten Anhang-Vektoren
Was Angreifer als Mail-Anhang schicken — sortiert nach realer Häufigkeit:
| Typ | Wie er Schaden macht | Aktuelle Verbreitung |
|---|---|---|
| Office-Dokumente mit Makros | VBA-Code im Dokument startet, lädt Malware nach | Seit 2022 stark reduziert (Microsoft blockt MOTW-Makros) |
| PDF mit eingebettetem JavaScript | JS im PDF nutzt Reader-Lücken aus | Mittel; betrifft veraltete Reader-Versionen |
| PDF mit QR-Code für Phishing | QR führt auf AiTM-Phish | Hoch (2023/24 explodiert) |
| HTML-Anhang als Phishing-Seite | HTML rendert lokale Phishing-Seite ohne Web-Domain | Sehr hoch — umgeht Domain-Filter |
| ZIP / RAR / 7z mit Passwort | Container umgeht AV-Scan; Passwort steht im Mail-Text | Sehr hoch (insb. bei gezieltem Phishing) |
| ISO / VHD / IMG-Container | MOTW wird nicht durchgereicht; enthaltene .exe läuft ohne Warnung | Hoch — wachsender Trend |
| OneNote-Anhang mit eingebetteter .bat | OneNote startet eingebettete Skripte | Mittel (Microsoft hat 2023 zusätzlich gehärtet) |
| JavaScript-Datei direkt | Windows führt .js mit Windows Scripting Host aus | Selten heute — meist von Filter geblockt |
| LNK-Verknüpfungs-Datei | Doppelklick führt beliebigen Befehl aus | Mittel (in ZIPs versteckt) |
| Direkte .exe / .msi | Klassische Malware | Selten — fast immer geblockt |
Die wichtigste strategische Beobachtung: Angreifer wandern. Wenn Microsoft Office-Makros blockt, kommen ISO-Container. Wenn ISO blockiert wird, kommt OneNote. Wenn OneNote gehärtet ist, kommt PDF mit QR-Code. Jede Schutz-Welle verschiebt die Angriffsmethode.
Office-Makros: die historische Mutter
Microsoft Office unterstützt seit den 1990ern VBA-Makros — kleine Programme, die im Dokument selbst stehen und beim Öffnen ausführbar sind. Ursprünglich gedacht für Automatisierung (Excel-Reports, Word-Vorlagen), wurden Makros über Jahrzehnte zum Haupt-Malware-Vektor im Unternehmens-Bereich:
- Mail mit .docm- oder .xlsm-Anhang.
- Empfänger öffnet, klickt auf „Inhalte aktivieren".
- VBA-Code lädt eine ausführbare Datei aus dem Internet und startet sie.
- Schadsoftware ist installiert.
Ransomware-Wellen wie Emotet (2014–2021), TrickBot, Qakbot haben sich primär über Makro-Anhänge verbreitet.
Microsoft hat 2022 die Regeln geändert:
- Makros in Office-Dokumenten mit Mark-of-the-Web (also aus dem Internet) werden seit Office 2022 / Microsoft 365 automatisch blockiert — kein „Inhalte aktivieren"-Button mehr.
- Nutzer:innen sehen einen Warnbalken: „Microsoft hat die Ausführung von Makros aus Sicherheitsgründen blockiert."
- Aktivierung nur über mehrere Klicks, und nur für eindeutig vertrauenswürdige Dokumente.
Effekt: Makro-Phishing ist seit 2022 deutlich zurückgegangen. Aber die Angreifer haben gewechselt — vor allem zu ISO- und OneNote-basierten Vektoren.
Für Endnutzer:innen heute:
- Office-Makro-Warnung niemals leichtfertig wegklicken. Wenn Office sagt, dass Makros blockiert sind, gibt es einen guten Grund.
- Bei legitimer Geschäfts-Mail mit Makro-Bedarf: Datei auf gemeinsam genutztes Netz-Laufwerk legen (kein MOTW) oder Absender bestätigen lassen.
- „Eigene Vertrauenswürdige Speicherorte" konfigurieren für interne Vorlagen, die wirklich Makros brauchen.
HTML-Anhänge und ZIP-mit-Passwort
Zwei aktuelle Lieblings-Vektoren der Phishing-Operationen:
HTML-Anhänge als lokale Phishing-Seite
- Mail mit einer .html-Datei als Anhang.
- Doppelklick öffnet die HTML im Browser — lokal, keine URL, keine Domain-Filter, keine Browser-Phishing-Liste greifen.
- Die HTML zeigt eine täuschend echte Login-Seite (z. B. Microsoft, OneDrive, DHL).
- Nutzer:in gibt Daten ein; das HTML schickt sie per JavaScript an einen Angreifer-Server.
Warum das funktioniert:
- Mail-Gateways blockieren oft URLs, aber nicht lokale HTML-Inhalte.
- Browser-Phishing-Filter (Google Safe Browsing, Microsoft SmartScreen) prüfen URLs, nicht lokale Dateien.
- Empfänger:innen glauben oft, „lokale HTML kann nichts" — was technisch falsch ist.
Schutz: HTML-Anhänge immer misstrauisch behandeln. Wenn keine klare Quelle, nicht öffnen. Bei Verdacht: Datei nicht doppelklicken, sondern in einem Texteditor öffnen — du siehst den HTML-Code statt der rendererten Seite.
ZIP / RAR mit Passwort
- Angreifer schickt eine verschlüsselte ZIP/RAR.
- Passwort steht im Mail-Text.
- Mail-Gateway scant die ZIP — aber kann nicht entschlüsseln, weil Passwort nicht bekannt. Schadsoftware geht unbemerkt durch.
- Empfänger:in entpackt, führt aus, infiziert.
Warum das funktioniert: AV-Scanner können verschlüsselte Container nicht inspizieren. Wenn das Passwort im Mail-Text steht, hat der Mensch alles, was er braucht — der Filter aber nicht.
Schutz: Passwort-geschützte Anhänge außer von bekannten Geschäfts-Kontexten misstrauisch behandeln. Wenn der angebliche Absender plötzlich verschlüsselte ZIPs schickt: Rückbestätigung über zweiten Kanal.
ISO-/VHD-Container und MOTW-Bypass
Ein technisch interessanter Vektor seit ca. 2022: Container-Dateien, die das Mark-of-the-Web nicht weitertragen.
Was passiert:
- Mail enthält .iso oder .vhd oder .img — alles Container-Formate.
- Windows mountet den Container per Doppelklick automatisch.
- Im Container liegt eine .exe oder .lnk.
- Diese Datei trägt kein MOTW — weil das Container-Format historisch das Attribut nicht weitergeleitet hat.
- SmartScreen löst nicht aus.
- Doppelklick → Code-Ausführung ohne sichtbare Warnung.
Microsoft hat seit 2022 schrittweise MOTW-Weiterleitung in ISO und VHD eingeführt. Stand 2026 ist die Lücke weitgehend geschlossen — aber Angreifer experimentieren weiter mit ähnlichen Container-Formaten (CHM, MSC, IMG-Varianten).
Schutz:
- Container-Anhänge sind grundsätzlich verdächtig, vor allem in unerwarteten Mails.
- Auf aktuellem Windows 11 sind die meisten Lücken geschlossen — wer auf älterer Build ist, ist anfälliger.
- Im Zweifel: keine Container öffnen, Datei an IT-Abteilung oder Sicherheits-Anbieter weiterleiten.
PDFs: nicht so harmlos, wie sie wirken
PDFs werden oft als „sicheres Format" wahrgenommen — sind sie nicht zwingend. Drei Risiko-Klassen:
PDF mit eingebettetem JavaScript
PDFs können JavaScript enthalten, das beim Öffnen ausgeführt wird. Adobe Acrobat / Reader fragt heute Default-mäßig nach Genehmigung, aber alte Reader oder Sicherheitslücken erlauben Code-Ausführung.
PDF mit QR-Code für Quishing
Eine wachsende Welle seit 2023: PDF-Anhang mit angeblichem Microsoft-365-Login-QR-Code. Der QR-Code in der PDF wird vom Mail-Gateway nicht als URL erkannt — er ist ein Bild. Empfänger:in scannt mit Smartphone, landet auf AiTM-Phishing-Seite. Siehe qr-und-quishing.
PDF mit eingebetteten Links auf Phishing-URLs
Klassische PDF-Phishing-Variante: PDF zeigt einen vermeintlich seriösen Inhalt, klickbarer Link unten zeigt auf Phishing-Site. URL-Filter im Mail-Gateway prüfen oft nicht PDF-eingebettete Links.
Schutz:
- PDFs aus unbekannten Quellen in einer Sandbox öffnen — z. B. Google Docs Vorschau, Microsoft 365 Web-Viewer, oder Acrobat-Sandbox-Modus.
- JavaScript in PDF-Reader standardmäßig deaktivieren (Adobe: Einstellungen → JavaScript → Acrobat JavaScript aktivieren — Häkchen weg).
- QR-Codes in PDFs nie reflexhaft scannen — wenn überhaupt, mit URL-Vorschau und kritischem Blick auf die Domain.
Sandbox-Öffnen und Preview-Tools
Eine sehr wirksame Schutzschicht: Anhänge in einer isolierten Umgebung öffnen, statt direkt im Desktop-Stack.
Browser-basierte Vorschau-Tools:
- Google Docs Vorschau — öffne eine Datei in Drive, dann „Mit Google Docs öffnen". JavaScript wird nicht ausgeführt, Makros werden ignoriert.
- Microsoft 365 Web-Viewer — öffnen im Browser statt Desktop-Office. Makros werden in der Web-Version nicht ausgeführt.
- DocSpace / Box Preview / OneDrive Online — funktional ähnlich.
Dedizierte Sandbox-Lösungen:
- Windows Sandbox (in Windows 11 Pro / Enterprise eingebaut) — startet eine isolierte Windows-Instanz, in der du das Dokument öffnen kannst. Nach Schließen wird alles verworfen.
- VirtualBox / VMware / UTM — eigene VMs für besonders riskante Anhänge.
- Browser-Privatfenster mit Cloud-Office — kombiniert Cloud-Vorschau + Browser-Sandbox.
Praktischer Workflow für riskante Mails:
- Mail kommt mit verdächtigem Anhang.
- Statt direkt zu öffnen: Datei in Google Drive oder OneDrive hochladen (per Drag&Drop).
- Cloud-Vorschau ansehen — JavaScript, Makros, eingebettete Inhalte werden nicht in deinem lokalen Office ausgeführt.
- Wenn Inhalt klar harmlos: lokal öffnen.
- Wenn Verdacht: melden und löschen.
Wer das routiniert macht, hat eine deutlich höhere Sicherheit als jemand, der jeden Anhang direkt doppelklickt.
Links in Mails: vor jedem Klick prüfen
Anhänge sind die eine Hälfte; Links sind die andere. Drei Reflexe:
1. Hover statt klick.
- Desktop-Mail-Client: Maus über den Link, ohne zu klicken. Statusleiste oder Tooltip zeigt die Ziel-URL.
- Webmail im Browser: gleiches Verhalten.
- Mobile: Link lange drücken — Vorschau zeigt die volle URL.
Wenn die URL nicht zur erwarteten Marke passt: nicht klicken.
2. Trau dem Anker-Text nicht.
In HTML-Mails kann der sichtbare Text ein anderer sein als die tatsächliche URL:
<a href="https://attacker.example/phish">https://sparkasse.de</a>Optisch siehst du „sparkasse.de"; der Klick führt aber zu attacker.example. Hover deckt das auf.
3. Bei Sicherheits-Mails: nie über den Link einloggen.
Wenn eine Mail dich auffordert, dich bei deiner Bank, beim Mail-Provider, beim Manager einzuloggen — niemals den Link in der Mail klicken. Stattdessen:
- Die offizielle App des Anbieters öffnen.
- Oder die Domain im Browser selbst tippen.
- Oder das eigene Bookmark verwenden.
Das ist der einfachste und wirksamste Anti-Phishing-Reflex überhaupt.
Vertieft in phishing-erkennen.
Häufige Stolperfallen
Auto-Preview von Mail-Bildern als Tracking-Hebel
Viele Mail-Clients laden automatisch die Bilder einer HTML-Mail. Eingebettete „1×1-Pixel-Bilder" sind klassische Tracking-Pixel — sie melden dem Absender, dass du die Mail geöffnet hast (mit IP, Zeitstempel, Mail-Client-Version). Schutz: in Outlook, Thunderbird, Apple Mail die Auto-Bild-Anzeige deaktivieren. Mail-Provider wie Proton, DuckDuckGo und Mailbox.org bieten dies Default.
Reply mit Anhang aufpassen
Wenn du auf eine Phishing-Mail antwortest und der Mail-Client beim Reply den ursprünglichen Anhang mitschickt, kannst du das Dokument an dich selbst oder weiter im Team teilen — und damit unbeabsichtigt verbreiten. Bei verdächtigen Mails: nicht antworten, sondern direkt löschen oder melden.
Outlook „Datei freigeben" vs. Anhang
Microsoft 365 erlaubt, eine Datei statt als Anhang als OneDrive-Link zu teilen. Vorteil: zentrale Datei, keine Anhang-Größenbegrenzung, Versionskontrolle. Nachteil bei Phishing: Angreifer können OneDrive-Links nutzen, die wie legitime Microsoft-URLs aussehen — Doppel-prüfen.
Mobile-Mail-Apps haben oft eingebaute Anhang-Vorschau
iOS Mail und Gmail-App zeigen PDFs, Office-Dateien, Bilder als Vorschau, ohne sie an externe Apps zu schicken. Sicherer als Desktop-Doppelklick, weil die Vorschau in einer Sandbox läuft. Aber: nicht reflexhaft auf Buttons in der Vorschau klicken — Anhänge können trotzdem auf externe Phishing-Sites verlinken.
HTML-Mails in Plain-Text-Modus lesen
Manche Privacy-orientierte Nutzer:innen lesen E-Mails grundsätzlich in Plain-Text-Modus. Vorteile: keine Tracking-Pixel laden, keine HTML-Injection-Risiken, eingebettete Links zeigen sich als nackte URLs. Nachteil: viele moderne Mails sehen ohne HTML schlechter aus. In Thunderbird: Ansicht → Nachrichtentext → Reiner Text.
OneNote als neues Angriffs-Format
Microsoft OneNote wurde 2022/23 zu einem beliebten Phishing-Vektor — eingebettete Skripte und Verknüpfungen in OneNote-Dateien konnten Schadsoftware nachladen. Microsoft hat 2023 Standard-Blockierung gehärtet. Trotzdem: OneNote-Anhänge aus unbekannten Quellen sind weiter verdächtig.
ICS-Kalender-Einladungen als Phishing-Vektor
Kalender-Einladungen (.ics) gelten oft als „harmlos", weil sie nur Termin-Daten enthalten. Aber: in den Beschreibungsfeldern können Links stehen, in manchen Implementierungen sogar Skripte. Sehr beliebt für CEO-Fraud — eine Kalender-Einladung von der angeblichen Geschäftsführung wirkt vertraut und wird oft angenommen, ohne zu prüfen.
Weiterführende Ressourcen
Externe Quellen
- Microsoft – Makros aus dem Internet werden blockiert
- Microsoft – Mark of the Web und SmartScreen
- Windows Sandbox – Übersicht
- Adobe – JavaScript in Acrobat deaktivieren
- VirusTotal – Datei-Analyse vor dem Öffnen
- Hybrid-Analysis – Online-Sandbox für verdächtige Dateien
- BSI – Schadprogramme und Schutz
- Microsoft Threat Intelligence Blog
- Proofpoint – Threat Reports