Der perfekte Köder: Warum PDFs funktionieren : So umgehen Cyberkriminelle die Sicherheitssysteme der Unternehmen
Das PDF ist der neue "USB-Stick-auf-dem-Parkplatz" – nur eleganter. Wer glaubt, dass ein Anhang im Lieblingsformat der Buchhaltung harmlos ist, hat den Gegner nicht verstanden.
Cyberkriminelle haben sich PDF-Dateien als Lieblingswerkzeug ausgesucht. Denn das Standardformat ist oft der erste Schritt in eine erfolgreiche Kompromittierung. Der Grund: PDFs lassen sich vielseitig manipulieren, sie wecken kaum Verdacht – und sie sind perfekt geeignet, um die Schutzmechanismen moderner IT-Infrastrukturen gezielt zu umgehen.
Die Falle in der Inbox
Laut einer aktuellen Untersuchung von Check Point Research erfolgen 68 Prozent aller Cyberangriffe per E-Mail. Rund 22 Prozent der bösartigen Anhänge in diesen Kampagnen bestehen aus PDFs. Dabei setzen die Angreifer längst nicht mehr auf altbekannte Exploits. Stattdessen dominieren Social-Engineering-Taktiken, bei denen das Vertrauen der Nutzer in bekannte Marken und Dokumentformate gezielt ausgenutzt wird.
Ein klassisches Angriffsszenario beginnt mit einer scheinbar legitimen PDF-Datei, etwa mit dem Logo eines Unternehmens wie PayPal oder Amazon. Im Inneren: ein Link, ein QR-Code oder ein Kontaktformular, das zur Interaktion auffordert. Die Nutzer werden dazu gebracht, persönliche Daten preiszugeben oder eine schädliche Webseite zu besuchen. Besonders perfide: Die enthaltenen Links sind oft so verschleiert – etwa über Dienste wie Google AMP oder LinkedIn Redirects – dass viele Filter sie nicht als Bedrohung erkennen.
Die technische Raffinesse steckt im Detail. PDFs nutzen sogenannte Annotations, um klickbare Flächen zu definieren. Diese lassen sich verschlüsseln oder verschleiern, sodass viele Analysewerkzeuge versagen. Auch die optische Darstellung lässt sich manipulieren: Texte erscheinen als eingebettete Bilder, wodurch Sicherheitslösungen auf OCR zurückgreifen müssen – mit sinkender Erkennungsrate. Unsichtbare oder winzige Zeichen werden gezielt eingesetzt, um KI-gestützte Textanalysen zu verwirren. QR-Codes umgehen URL-Scanner gleich ganz, weil sie nicht maschinell, sondern meist per Smartphone ausgewertet werden.
Check Point dokumentierte zuletzt mehrere Angriffe, bei denen PDFs mit eingebetteten QR-Codes Empfänger auf täuschend echte Microsoft- oder PayPal-Loginseiten führten. Diese Kampagnen wurden von klassischen E-Mail-Gateways nicht erkannt. Sie verdeutlichen: Die Schwachstelle sitzt nicht nur im System, sondern oft vor dem Bildschirm.
Die Lücke im System – und vor dem Bildschirm
Der finanzielle Schaden ist schwer zu beziffern, doch Branchenanalysten gehen bei erfolgreichen Phishing-Angriffen von Summen im sechsstelligen Bereich aus – pro Vorfall. Neben dem unmittelbaren Schaden entstehen oft hohe Kosten durch Reputationsverlust, Incident Response und regulatorische Folgen.
Hinzu kommt ein strategisches Problem: Viele Unternehmen verlassen sich auf Tools, die gegen diese Art von Angriffen machtlos sind. Klassische E-Mail-Gateways, Antivirus-Programme oder einfache statische Analysen erkennen die modernen Täuschungstechniken häufig nicht. Wer auf Nummer sicher gehen will, braucht eine mehrschichtige Verteidigung:
- Content Disarm & Reconstruction (CDR), um potenziell gefährliche Inhalte zu entfernen
- Dynamische Analyse von Anhängen in sicheren Sandboxes
- Zero-Trust-Modelle für E-Mail-Zugriffe
- PDF-Viewer mit restriktiven Policies und deaktiviertem JavaScript
Was CISOs jetzt tun können
- PDF-Richtlinien und Reader-Policies unternehmensweit überprüfen
- Awareness-Kampagnen zu PDF-Phishing verstärken
- E-Mail-Security auf Umgehungstechniken wie Redirects und QR-Codes testen
- CDR-Lösungen evaluieren und bei Bedarf einführen
- Analyseverfahren kombinieren: statisch, dynamisch, verhaltensbasiert
Die zunehmende Professionalisierung solcher Angriffe zeigt: Wer seine Verteidigung auf bloße Mustererkennung stützt, spielt mit dem Risiko. Angreifer analysieren die Schutzsysteme – und entwickeln ihre Kampagnen genau so, dass sie unter dem Radar bleiben. Der Verteidigung fehlt oft nicht die Technik – sondern die Vorstellungskraft. Wer PDFs heute noch als bloßes Dokumentformat betrachtet, hat den Wandel nicht erkannt. Die neue Realität: Angriff per Anhang – ganz ohne Malware im klassischen Sinne.