Verdächtige Anhänge in deiner Mail: sechs Dateitypen, auf die du 2026 achtest

Nicht jeder Anhang ist gefährlich — aber auch nicht jeder ist harmlos. Diese sechs Dateitypen verdienen besondere Aufmerksamkeit, und was du tust, wenn du versehentlich geklickt hast.

Du bekommst eine Mail von einem Lieferanten. Oder eine Nachricht über das Kontaktformular. Oder eine Bewerbung. Und daran hängt ein Anhang. Meistens ist das kein Problem — manchmal aber schon. Wie erkennst du, welche Anhänge du besser ignorierst, ohne IT-Experte sein zu müssen?

In diesem Artikel gehen wir die Dateitypen durch, die 2026 am häufigsten bei Phishing und Malware im KMU eingesetzt werden. Plus: was du tust, wenn du doch versehentlich geklickt hast.

Warum Anhänge bei Kriminellen nach wie vor so beliebt sind

Mail-Filter sind in den letzten Jahren deutlich besser geworden. Verdächtige Links werden oft schon abgefangen. Aber ein Anhang? Der kommt manchmal einfach durch, besonders wenn der Absender seriös wirkt. Und wenn der Anhang dann auch noch wie eine Rechnung, ein Lieferschein oder ein Lebenslauf aussieht, klickt jemand schneller darauf, als man denkt.

Das Gefährliche daran: ein einziger Klick kann reichen. Nicht um dein gesamtes Netzwerk lahmzulegen — das ist ein Mythos — aber durchaus, um etwas zu installieren, das erst Tage später auffällt.

Die sechs Dateitypen, die du besonders kritisch betrachtest

1. .zip, .rar und .7z (komprimierte Archive)

Eine ZIP-Datei ist an sich nicht gefährlich, aber sie ist der klassische Weg, um etwas Schädliches an einem Mail-Filter vorbeizuschmuggeln. Der Inhalt ist nämlich verborgen. Bekommst du eine ZIP von jemandem, von dem du das nicht erwartest? Nicht öffnen — frag den Absender über einen anderen Kanal (Telefon, WhatsApp), ob alles stimmt.

2. .iso, .img und .vhd (Disk-Images)

Früher nutzten nur IT-Fachleute diese Dateien, um Installations-CDs nachzubilden. Heute werden sie eingesetzt, um Windows-Sicherheitsmechanismen zu umgehen: Eine ISO öffnet sich wie ein eigenständiges Laufwerk, und die darin enthaltenen Dateien lösen keine Warnmeldung aus. Kein Lieferant schickt dir jemals eine Rechnung als ISO. Punkt.

3. .html und .htm (Webseiten als Anhang)

Eine HTML-Datei öffnet sich im Browser und kann wie eine Microsoft-Anmeldeseite oder ein DocuSign-Bildschirm aussehen. Sie läuft aber lokal, sodass deine Adressleiste nicht „microsoft.com" anzeigt. Das ist einer der am schnellsten wachsenden Phishing-Tricks im Moment. Bekommst du einen HTML-Anhang? Wegklicken.

4. .xlsm, .docm und .pptm (Office-Dateien mit Makros)

Das „m" am Ende steht für Makros: kleine Programme, die ausgeführt werden, wenn du die Datei öffnest. Microsoft hat Makros aus aus dem Internet heruntergeladenen Dateien standardmäßig gesperrt, aber es gibt nach wie vor Wege, diese Sperre zu umgehen — zum Beispiel indem die Datei in einer ZIP versteckt wird (siehe Punkt 1). Erwartest du keine Makro-Datei? Nicht öffnen.

5. .lnk (Verknüpfungen)

Eine Verknüpfung wirkt harmlos, kann aber im Hintergrund einen Befehl ausführen, der Malware herunterlädt. LNK-Dateien haben in einer Mail nichts zu suchen. Niemals.

6. .pdf — ja, auch die

Eine PDF ist zum Anschauen meistens sicher, wird aber häufig als Einfallstor missbraucht: In der PDF befindet sich ein Button „Dokument anzeigen", der auf eine Phishing-Seite führt. Der Anhang selbst ist dann technisch harmlos — der Link darin nicht. Sei besonders kritisch bei PDFs mit Anmelde-Buttons oder QR-Codes.

Die vier Fragen, die du dir vor dem Öffnen stellst

\n
1. Erwarte ich das? Eine unerwartete Rechnung von einer unbekannten Partei ist verdächtig. Ein erwartetes Angebot von deinem festen Lieferanten viel weniger.
\n
2. Stimmt der Absender wirklich? Nicht nur der Name, auch die Mail-Adresse. „Jan de Vries <jan@bekanntes-unternehmen.de>" ist etwas anderes als „Jan de Vries <jan@bekanntes-unternehm3n.de>".
\n
3. Passt der Ton zum Absender? Schreibt dein Steuerberater plötzlich in holprigem Deutsch mit größter Dringlichkeit? Ruf kurz an.
\n
4. Gibt es Druck oder Zeitdrang? „Heute noch bezahlen", „sonst Sperrung", „vertraulich – nicht weiterleiten": das sind rote Flaggen.
\n

Was tust du, wenn du doch geklickt hast?

Es passiert. Kein Grund zur Schande, aber handle schnell:

\n
• Zieh das Netzwerkkabel heraus oder schalte WLAN aus auf dem Computer, auf dem du geklickt hast. Lieber ein paar Stunden offline als dass sich etwas ausbreitet.
\n
• Melde es sofort bei der Person, die bei euch für IT verantwortlich ist — auch wenn das ein externer Dienstleister ist. Nicht morgen, jetzt.
\n
• Ändere deine Passwörter, angefangen mit deiner Mail und deiner Buchhaltungssoftware. Tu das von einem anderen Gerät aus.
\n
• Prüfe, ob 2FA noch aktiv ist bei deinen wichtigsten Accounts. Angreifer versuchen diese manchmal zu deaktivieren, sobald sie Zugang haben.
\n
• Behalte dein Bankkonto im Blick in den nächsten Tagen, und warn deine Kollegen, dass in deinem Namen seltsame Mails kommen könnten.
\n

Was du strukturell tun kannst

Bewusstsein ist gut, aber eine einzige Mail pro Jahr reicht nicht. Was in einer KMU-Umgebung wirklich hilft:

\n
• Stelle deinen Mail-Filter strenger ein für Anhänge wie .iso, .lnk und .html — die brauchst du in 99 % der Fälle ohnehin nicht.
\n
• Stelle sicher, dass Microsoft 365 oder Google Workspace Anhänge vor der Zustellung scannt (Safe Attachments / Advanced Protection).
\n
• Legt fest, dass jede Änderung einer IBAN telefonisch bestätigt wird — egal wie überzeugend die Mail wirkt.
\n
• Achte darauf, dass SPF, DKIM und DMARC korrekt eingerichtet sind, damit Kriminelle nicht einfach in deinem Namen mailen können.
\n

Du bist unsicher, ob eure Mail-Sicherheit auf dem Stand ist? Wir führen einen Mail-Sicherheitscheck (SPF/DKIM/DMARC) durch, bei dem wir genau aufzeigen, wo die Lücken sind — ohne dass du selbst in DNS-Records eintauchen musst. Fang dort an, dann filtern wir den größten Teil des Schrotts heraus, bevor er bei deinen Mitarbeitenden ankommt.