Zum Inhalt springen

Services, Wiki-Artikel und Blog-Beiträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

PDF-Sicherheit: Schadsoftware, sichere Viewer und Schutzmaßnahmen

Wie Angreifer PDFs als Angriffsvektor nutzen, welche Viewer sicher sind und wie Sie sich vor schadhaften PDF-Anhängen schützen.

Inhaltsverzeichnis (7 Abschnitte)

Das Portable Document Format (PDF) ist aus dem Unternehmensalltag nicht wegzudenken: Rechnungen, Verträge, Berichte, Bewerbungen — nahezu jeder E-Mail-Anhang ist ein PDF. Genau diese Allgegenwärtigkeit macht das Format zu einem bevorzugten Angriffsvektor. Angreifer verstecken Schadsoftware in scheinbar harmlosen Dokumenten, die von Mitarbeitenden täglich geöffnet werden.

Warum PDFs gefährlich sind

Das PDF-Format ist technisch weit mehr als ein statisches Dokumentformat. Die ISO-32000-Spezifikation erlaubt eingebettete JavaScript-Ausführung, Formulare mit Datenbankanbindung, eingebettete Dateien aller Art, automatisch ausgeführte Aktionen beim Öffnen, 3D-Objekte über U3D und PRC sowie digitale Signaturen und Zertifikate. Diese Funktionsvielfalt ist für legitime Anwendungsfälle gedacht — schafft aber eine erhebliche Angriffsfläche.

Angriffsvektoren: Wie Schadsoftware in PDFs eingebettet wird

JavaScript-Exploits

Der Adobe Reader und viele andere PDF-Viewer unterstützen JavaScript innerhalb von PDF-Dokumenten. Angreifer nutzen das für zwei Angriffsklassen:

Exploit-Delivery: Präpariertes JavaScript löst einen Pufferüberlauf oder eine Use-after-free-Schwachstelle im PDF-Viewer aus. Sobald das Dokument geöffnet wird, wird Shellcode ausgeführt — ohne weiteres Zutun des Nutzers. CVE-2023-21608 (Adobe Acrobat Reader, CVSS 7.8) und CVE-2022-28672 (Foxit PDF Reader) sind Beispiele für kritische JS-Schwachstellen aus den letzten Jahren.

Heap-Spray-Angriffe: JavaScript füllt systematisch den Heap-Speicher mit schädlichem Code, um die Ausführungswahrscheinlichkeit nach einem Exploit zu erhöhen.

Da JavaScript in PDFs für legitime Formulare kaum benötigt wird, empfiehlt das BSI und CISA, JavaScript in PDF-Viewern grundsätzlich zu deaktivieren.

Eingebettete Dateien und Anhänge

Das PDF-Format erlaubt das Einbetten beliebiger Dateien als Anhang (File Attachments). Angreifer nutzen dies um:

  • Ausführbare Dateien (.exe, .bat, .ps1) im PDF zu verstecken
  • Office-Dokumente mit aktivierten Makros einzubetten
  • ZIP-Archive mit Schadsoftware beizulegen
  • HTA-Dateien (HTML Applications) einzubetten, die bei Öffnung direkt als Skript ausgeführt werden

Moderne Viewer warnen vor dem Öffnen eingebetteter Anhänge — aber Social-Engineering-Texte wie „Klicken Sie hier um den vollständigen Bericht zu öffnen" verleiten Nutzer dazu, die Warnung zu ignorieren.

Auto-Open-Aktionen

PDFs können Aktionen definieren, die beim Öffnen automatisch ausgeführt werden:

  • OpenAction / AA (Additional Actions): JavaScript oder URIs werden sofort beim Öffnen aufgerufen
  • Launch-Aktionen: Starten externe Programme oder Dateien
  • URI-Aktionen: Rufen automatisch URLs auf — können für NTLM-Credential-Capture (über UNC-Pfade wie \\angreifer.com\share) oder Tracking-Pixel-ähnliche Angriffe verwendet werden

PDF-Polyglots

Eine besonders heimtückische Technik: Ein PDF-Dokument, das gleichzeitig eine valide andere Datei ist (z. B. ein ausführbares PE-File oder ein ZIP-Archiv). Antivirussoftware analysiert die Datei als PDF und findet nichts Verdächtiges — dabei kann sie gleichzeitig als ausführbare Datei gestartet werden. Polyglots umgehen Dateitypprüfungen, die sich auf die Dateiendung oder Magic Bytes verlassen.

PDFs enthalten häufig Links zu externen Ressourcen. Angreifer nutzen:

  • Links zu Phishing-Seiten, die Adobe-Login oder Microsoft-Login imitieren
  • Mehrschichtige Redirect-Ketten die Reputationsfilter umgehen (erster Hop ist eine legitime Domain)
  • QR-Codes im PDF, die auf bösartige URLs verweisen (umgeht E-Mail-Linkscanner)

Der Wechsel von direkten Links zu QR-Codes in PDFs hat seit 2023 stark zugenommen, da viele Sicherheitsgateways Links im PDF-Body scannen, aber keine QR-Codes dekodieren.

Sichere PDF-Viewer

Die Wahl des PDF-Viewers ist eine der effektivsten Schutzmaßnahmen, da viele Schwachstellen viewer-spezifisch sind.

PDF.js (Mozilla)

PDF.js ist der Open-Source-PDF-Renderer von Mozilla, der in Firefox eingebettet ist und als eigenständige Bibliothek genutzt werden kann. Er ist in JavaScript geschrieben und rendert PDFs vollständig im Browser — ohne nativen Code, ohne Betriebssystem-Zugriff.

Sicherheitsvorteile:

  • Kein Zugriff auf das Dateisystem außerhalb des Browser-Sandboxes
  • JavaScript-Ausführung im PDF ist standardmäßig nicht unterstützt
  • Regelmäßige Security-Audits durch Mozilla und die Community
  • Keine Privilegien auf Betriebssystem-Ebene

Einschränkung: Fortgeschrittene PDF-Features (komplexe Formulare, digitale Signaturen) werden nicht vollständig unterstützt.

Sandboxed Adobe Acrobat Reader (Protected Mode)

Adobe Acrobat Reader bietet seit Version 10 einen „Protected Mode" (Sandboxing). Im Protected Mode läuft der Reader in einem eingeschränkten Windows-Prozess, der keinen direkten Zugriff auf Netzwerk, Dateisystem außerhalb bestimmter Pfade und keine weiteren Prozesse starten kann.

Der Protected Mode ist standardmäßig aktiviert — sollte aber explizit geprüft werden: Bearbeiten → Voreinstellungen → Sicherheit (Erweitert) → „Geschützter Modus beim Start aktivieren".

Wichtig: Protected Mode schützt nicht gegen JavaScript-Exploits innerhalb des Reader-Prozesses selbst. JavaScript sollte zusätzlich deaktiviert werden.

Foxit PDF Reader

Foxit bietet ebenfalls Sandboxing-Mechanismen und JavaScript-Deaktivierung. Die Sicherheitsbilanz von Foxit ist historisch schwächer als Adobe — es gibt regelmäßig kritische CVEs. Bei Foxit sind die Empfehlungen dieselben: JavaScript deaktivieren, Protected View aktivieren, regelmäßig patchen.

Systemintegration: macOS Preview

macOS Preview unterstützt JavaScript in PDFs nicht und hat keinen Zugriff auf Embedded Attachments in dem Maße wie Adobe Reader. Es ist damit einer der sichersten Viewer für den Endnutzer, aber auch funktional am eingeschränktesten (keine erweiterten Formulare, keine digitalen Signaturen).

Browser-integrierte Viewer

Chromium-basierte Browser (Chrome, Edge) nutzen einen eigenen PDF-Renderer (PDFium), der innerhalb des Browser-Sandboxes läuft. JavaScript-Ausführung in PDFs wird nicht unterstützt. Für E-Mail-Anhänge empfiehlt sich das Öffnen direkt im Browser statt in einem nativen Viewer — besonders bei unbekannten Absendern.

Risiken bei E-Mail-Anhängen

E-Mail ist der primäre Übertragungsweg für schadhafte PDFs. Die Angriffskette ist typisch:

  1. Phishing-E-Mail mit PDF-Anhang landet im Posteingang
  2. Dateiname suggeriert Legitimität: Rechnung_2026-03.pdf, Bewerbung_Mustermann.pdf, DHL_Sendungsverfolgung.pdf
  3. Nutzer öffnet das Dokument
  4. Eingebettetes JavaScript, Auto-Action oder eingebettete Datei wird ausgeführt
  5. Malware (Infostealer, RAT, Ransomware-Dropper) wird nachgeladen

Besondere Risikokategorien:

Passwortgeschützte PDFs: Angreifer schicken ein passwortgeschütztes PDF mit dem Passwort im E-Mail-Text. Das Archiv wird verschlüsselt übermittelt, wodurch E-Mail-Gateways den Inhalt nicht scannen können. Beim Öffnen mit dem Passwort gibt es keinen weiteren Sicherheitsscan.

Rechnungs- und Lieferanten-Spoofing: Business Email Compromise (BEC) kombiniert gefälschte Absenderadressen (ohne DMARC-Schutz erfolgreich) mit schadhaften PDF-Rechnungen. Das PDF enthält eine geänderte IBAN oder einen Link zur „aktualisierten Kontonummer".

QR-Code-Phishing in PDFs: QR-Codes im PDF-Body werden von den meisten E-Mail-Security-Gateways nicht analysiert. Der enthaltene Link führt zu einer Phishing-Seite.

Schutzmaßnahmen

Auf Endgeräten

JavaScript im PDF-Viewer deaktivieren: In Adobe Reader unter Bearbeiten → Voreinstellungen → JavaScript → „Acrobat JavaScript aktivieren" deaktivieren. Betrifft den häufigsten Angriffspfad bei nicht-gepatchten Viewern.

Protected Mode / Protected View aktivieren: Adobe Readers Protected View zeigt PDFs aus potenziell unsicheren Quellen (E-Mail, Internet) in einem read-only Modus ohne JavaScript und ohne Netzwerkzugriff.

Viewer aktuell halten: PDF-Viewer sind ein häufiges Angriffsziel. Zero-Day-Exploits für Adobe Reader werden auf dem Schwarzmarkt gehandelt. Automatische Updates sind Pflicht.

Browser-Viewer für E-Mail-Anhänge nutzen: PDFs aus E-Mails direkt im Browser öffnen statt im nativen Reader — der Browser-Sandbox bietet mehr Schutz.

Im Unternehmen

E-Mail-Security-Gateway mit PDF-Sandboxing: Moderne E-Mail-Security-Gateways (Cisco Secure Email, Proofpoint, Microsoft Defender for Office 365) öffnen eingehende PDFs in einer Cloud-Sandbox, bevor sie zugestellt werden. Schadhaftes Verhalten wird erkannt und die E-Mail blockiert oder in Quarantäne verschoben.

Eingebettete Dateien in PDFs blockieren: Auf Gateway-Ebene können PDFs mit eingebetteten ausführbaren Dateien oder Office-Dokumenten blockiert werden. PDF-spezifische Richtlinien in DLP-Systemen ergänzen den Schutz.

Makros und eingebettete Objekte deaktivieren: Gruppenrichtlinien (GPO) für Adobe Reader und Foxit setzen standardmäßig sichere Konfigurationen: Protected Mode an, JavaScript aus, eingebettete Anhänge blockiert. Microsoft SCCM/Intune kann die Viewer-Konfiguration zentral erzwingen.

Security Awareness Training: Mitarbeitende müssen wissen, dass PDFs Schadsoftware enthalten können — auch wenn der Absender bekannt wirkt. Konkrete Trainingsszenarien zu schadhaften E-Mail-Anhängen senken die Klickrate signifikant.

Eine fundierte Phishing-Simulation kann zeigen, wie anfällig Ihr Unternehmen für PDF-basierte Angriffe ist. AWARE7 erstellt realistische Szenarien mit schadhaften Anhang-Simulationen, die das Risikobewusstsein nachhaltig schärfen.

Für Entwickler und Sicherheitsverantwortliche

PDF-Inhalte serverseitig prüfen: Bevor ein hochgeladenes PDF gespeichert oder weitergeleitet wird, sollte es serverseitig gescannt werden. Tools wie pdfid.py und pdf-parser.py (Didier Stevens) analysieren die PDF-Struktur auf verdächtige Objekte (JavaScript, Embedded Files, Launch-Aktionen) ohne das Dokument auszuführen.

Schwachstellenmanagement für PDF-Viewer: PDF-Viewer müssen im Schwachstellenmanagement erfasst und priorisiert werden. Adobe Reader und Foxit gehören zu den Applikationen mit der höchsten CVE-Rate im Endgerätebereich.

Penetrationstests mit Phishing-Komponente: Ein professioneller Penetrationstest sollte auch Social-Engineering-Vektoren umfassen — inklusive E-Mails mit schadhaften PDF-Anhängen — um die Effektivität von Gateway, Endpunktschutz und Mitarbeiter-Awareness zu validieren.

PDF-Sicherheit und regulatorische Anforderungen

NIS2 Art. 21 und BSI IT-Grundschutz Baustein OPS.1.1.4 (Schutz vor Schadprogrammen) verlangen technische Maßnahmen gegen Schadsoftware an allen Eintrittspunkten — explizit einschließlich E-Mail-Anhängen. Unternehmen im Anwendungsbereich von NIS2 müssen dokumentieren, welche Kontrollen für die Analyse und Blockierung schadhafter Anhänge im Einsatz sind.

ISO 27001 Annex A Kontrolle 8.7 (Protection against malware) und 8.23 (Web filtering) adressieren denselben Bereich: eingehende Dateien sind als potenzielle Malware-Vektoren zu behandeln und entsprechend zu scannen.

Fazit

PDFs sind keine harmlosen Dokumente. Die Kombination aus JavaScript-Support, eingebetteten Dateien und Auto-Aktionen macht sie zu einem der vielseitigsten Angriffsvektoren. Die wichtigsten Sofortmaßnahmen sind: JavaScript im PDF-Viewer deaktivieren, Protected Mode aktivieren, den Viewer aktuell halten und eingehende PDFs serverseitig oder auf Gateway-Ebene in einer Sandbox analysieren. Wer zusätzlich browser-basierte Viewer für E-Mail-Anhänge einsetzt und Mitarbeitende regelmäßig schult, reduziert das Risiko erheblich.

Quellen & Referenzen

  1. [1] BSI - Sicher im Netz: PDF-Dokumente - BSI
  2. [2] ENISA Threat Landscape 2024 - ENISA
  3. [3] PDF 2.0 Specification (ISO 32000-2) - ISO
  4. [4] Mozilla PDF.js - GitHub - Mozilla

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Jan Hörnemann
Jan Hörnemann

Chief Operating Officer · Prokurist

E-Mail
PGP A3FD64BB96C888E2

M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.

11 Publikationen
ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 18.03.2026 bearbeitet. Verantwortlich: Jan Hörnemann, Chief Operating Officer · Prokurist bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de