Microsoft nimmt eine gezielte Änderung in der E-Mail-Sicherheitsarchitektur vor: Die Webversion von Outlook und das neue Outlook für Windows rendern künftig keine inline eingebetteten SVG-Grafiken mehr. Der Roll-out hat Anfang September 2025 begonnen und soll bis Mitte Oktober 2025 abgeschlossen sein. Nach Unternehmensangaben sind weniger als 0,1% aller über Outlook versendeten Bilder betroffen, sodass die Auswirkungen auf legitime Nutzungsszenarien begrenzt bleiben.
Warum SVG blockiert wird: XSS-Angriffsvektor und Filterumgehung eindämmen
SVG (Scalable Vector Graphics) ist ein XML-basierter, textueller Bildstandard, der Scripting und externe Referenzen erlaubt. Inline-SVG im E-Mail-HTML erhöht das Risiko, dass bei unzureichender Bereinigung clientseitig schädliche Skripte ausgeführt werden. In der Praxis begünstigt das Cross-Site-Scripting (XSS), das Abgreifen von Sitzungstokens, die Manipulation von Oberflächen und präzise Phishing-Angriffe ohne klassische ausführbare Dateien. Hintergrundwissen liefert u. a. OWASP zu XSS.
Angreifer haben SVG in den letzten Jahren vermehrt adaptiert, um Signatur- und Inhaltsfilter zu umgehen. Sicherheitsteams beobachteten Ende 2024 einen Anstieg von E-Mails mit SVG-Anhängen, die traditionelle Prüfmechanismen austricksen sollten. Trustwave meldete im April 2025 einen Zuwachs einschlägiger Kampagnen um 1800% gegenüber April 2024 (Quelle: Trustwave SpiderLabs). Ende September 2025 dokumentierte Microsoft zudem Kampagnen, in denen LLM-generierte SVG-Dateien genutzt wurden, um E-Mail-Schutzmechanismen zu unterlaufen.
Was ändert sich konkret in Outlook
Nach der Umstellung werden inline eingebettete SVGs im Nachrichtenkörper nicht mehr dargestellt; Anwender sehen an diesen Stellen leere Bereiche. SVG-Dateien als klassische Anhänge bleiben hingegen verfügbar und erscheinen weiterhin in der Anhangsleiste. Der Fokus liegt damit auf der risikobehafteten Inline-Rendering-Pipeline, während legitimer Austausch vektorbasierter Grafiken nicht grundsätzlich unterbunden wird.
Teil einer breiteren Hardening-Strategie von Microsoft
Die Maßnahme fügt sich in Microsofts fortlaufendes Hardening von Office- und Windows-Workloads ein. Bereits im Juni 2025 kündigte das Unternehmen an, dass die Webversion von Outlook und das neue Outlook für Windows .library-ms- und .search-ms-Anhänge blockieren – Dateitypen, die seit mindestens Mitte 2022 in zielgerichteten Kampagnen missbraucht wurden. Eine stets aktualisierte Liste blockierter Dateitypen hält Microsoft in der Produktdokumentation bereit (vgl. Microsoft Support: Blocked attachments in Outlook).
Implikationen für Angriffsoberfläche und Verteidigungsstrategie
Mit dem Ende des Inline-SVG-Renderings schließt Microsoft einen häufig ausgenutzten Vektor für dynamische, skriptbasierte Inhalte im E-Mail-Body. Das reduziert die Wahrscheinlichkeit erfolgreicher XSS- und Phishing-Szenarien deutlich – beseitigt das Risiko jedoch nicht vollständig, da Links, HTML/Office-Dokumente und andere Anhänge weiterhin missbraucht werden können. Effektiv ist die Maßnahme besonders in Kombination mit mehrschichtigen Schutzkonzepten wie Safe Links/Attachment-Scans, Sandboxing und strenger Domänenauthentifizierung.
Empfehlungen für IT, Security und E-Mail-Marketing
– Inline-SVG ersetzen: Nutzen Sie PNG oder WebP, oder hosten Sie Vektorgrafiken über vertrauenswürdige CDN-Endpunkte ohne Skriptfunktionen. Prüfen Sie Fallback-Bilder für Outlook.
– Policies schärfen: Überprüfen Sie Filterregeln für Anhänge und URLs, aktivieren Sie DMARC, DKIM, SPF und verwenden Sie Microsoft Defender Safe Links bzw. gleichwertige Lösungen.
– Security-Awareness stärken: Schulen Sie Nutzer zu Merkmalen moderner Phishing-Mails, insbesondere bei unerwarteten Anhängen oder Anmeldelinks.
– Bestands-Assets prüfen: Auditen Sie Newsletter-Templates, automatisierte Mails und Landingpages auf Abhängigkeiten von Inline-SVG und passen Sie Renderpfade an.
Unter dem Strich erhöht Microsoft mit dem gezielten Blocken von Inline-SVG die Grundsicherheit der E-Mail-Kommunikation, ohne den legitimen Austausch von Vektorgrafiken grundsätzlich zu behindern. Organisationen sollten den Übergang nutzen, ihre Vorlagen und Sicherheitsrichtlinien zu modernisieren und ein mehrstufiges Verteidigungskonzept konsequent umzusetzen. Wer frühzeitig auf sichere Bildformate wechselt und Authentifizierungs- sowie Linkschutzmechanismen konsequent einsetzt, reduziert die Angriffsfläche messbar und stärkt die Resilienz gegenüber den aktuell stark variierenden Phishing-Taktiken.
