Tips & Tricks

So entfernen Sie versteckte Skripte und Automatisierung aus einer PDF-Datei

Ein PDF kann ausführbaren Code enthalten. JavaScript, das ausgeführt wird, wenn das Dokument geöffnet wird, wenn Seiten umgeblättert werden, wenn Formularfelder den Fokus erhalten. Automatisierte Aktionen, die ohne Benutzerinteraktion ausgelöst werden. Versteckte Objekte, die externe Anwendungen starten. Die meisten PDFs enthalten nichts davon. Wenn dies der Fall ist, ist es in der Regel legitim: ein Formular, das Summen automatisch berechnet, ein interaktives Dokument, das auf der Grundlage von Benutzereingaben navigiert, eine Präsentation, die Folien automatisch weiterschaltet. Aber Skripte und Automatisierung können auch bösartig sein und von jemandem versteckt werden, der möchte, dass das Dokument etwas tut, was der Empfänger nicht erwartet.

Das Entfernen versteckter Skripte und Automatisierungen aus einer PDF-Datei ist eine Sicherheitsmaßnahme, die auf jedes Dokument aus einer nicht vertrauenswürdigen oder unbekannten Quelle angewendet werden sollte, bevor Sie es vollständig öffnen, sowie auf jedes Dokument, das Sie für die Weitergabe an Empfänger vorbereiten, die möglicherweise ältere oder weniger sichere PDF-Reader verwenden. Der Entfernungsprozess ist unkompliziert, sobald Sie wissen, wo sich Skripte verstecken können.

Laut einem Bedrohungsbericht von SonicWall aus dem Jahr 2025 haben PDF-basierte Malware-Angriffe zwischen 2023 und 2025 um 42 Prozent zugenommen, wobei eingebettetes JavaScript der häufigste Angriffsvektor ist (SonicWall, „Cyber Threat Report“, 2025). Die meisten Angriffe richteten sich gegen Benutzer mit veralteten PDF-Readern, die eingebettete Skripte automatisch ausführten. Die Bedrohung ist real und die Schadensbegrenzung ist einfach: Entfernen Sie die Skripte, bevor sie ausgeführt werden können.

How to Remove Hidden Scripts and Automation From a PDF

Wo sich Skripte und Automatisierung in einem PDF verstecken

Skripte können an mehreren Stellen innerhalb einer PDF-Struktur angehängt werden. Jeder Standort ist ein separates Versteck, das einzeln überprüft und gereinigt werden muss. In der folgenden Tabelle sind die gängigen Standorte aufgeführt und welche Automatisierungstypen typischerweise dort vorkommen.

StandortTrigger-EreignisTypische legitime VerwendungBöswilliges Risiko
DokumentebeneDokument öffnen, Dokument schließen, Dokument speichern, Dokument druckenAnzeigen einer Willkommensnachricht, Validieren des Dokuments beim Öffnen, Verfolgen, wann das Dokument gedruckt wirdHoch: Das Skript wird sofort ausgeführt, wenn das Dokument geöffnet wird, bevor der Benutzer Inhalte sieht
SeitenebeneSeite öffnen, Seite schließen, Seite sichtbarAuslösen von Animationen oder Übergängen, wenn eine bestimmte Seite angezeigt wirdMittel: Wird ausgeführt, wenn der Benutzer zu einer bestimmten Seite navigiert
FormularfeldebeneFeldfokus, Feldunschärfe, Feldänderung, Feldvalidierung, FeldberechnungAutomatische Berechnung von Gesamtsummen, Validierung von Eingabeformaten, automatische Formatierung eingegebener DatenMittel: wird während der normalen Formularinteraktion ausgeführt; kann Tastatureingaben erfassen oder eingegebene Daten ändern
LinkebeneLinkklick, Tastendruck, Mauseingabe, MausbeendigungZu einer URL navigieren, Formulardaten übermitteln, Inhalte ein- oder ausblendenNiedrig: Zum Auslösen ist eine Benutzerinteraktion erforderlich. kann auf bösartige URLs weiterleiten
WukongPDF

Versuchen Sie es mit „PDF schützen“.

Keine Installation erforderlich. Funktioniert direkt in Ihrem Browser.

Jetzt starten →

Erkennen von Skripten vor der Verarbeitung

Öffnen Sie die PDF-Datei in einem Reader, der eingebettete Skripte anzeigen kann. Adobe Acrobat Pro enthält einen JavaScript-Editor, der alle Skripte im Dokument mit ihren Speicherorten und Auslöseereignissen auflistet. Die meisten browserbasierten PDF-Reader führen keine Skripte aus, was Ihr Gerät beim Anzeigen schützt, zeigen sie aber auch nicht an, was bedeutet, dass Sie nicht prüfen können, welche Skripte vorhanden sind. Wenn Sie keinen Zugriff auf ein Tool zur Skriptprüfung haben, gehen Sie davon aus, dass jede PDF-Datei aus einer nicht vertrauenswürdigen Quelle möglicherweise Skripte enthält. Der sicherste Ansatz besteht darin, alle Skripte proaktiv zu entfernen, anstatt zu versuchen, festzustellen, ob jedes einzelne Skript harmlos ist. Ein Skript, das Sie nicht identifizieren können, sollte als potenziell bösartig behandelt werden.

Das PDF-Sicherheit-Prinzip für unbekannte Skripte ist die Entfernung, nicht die Auswertung. Die Kosten für die Entfernung eines harmlosen Skripts, typischerweise der Verlust einiger interaktiver Funktionen, sind weitaus geringer als die Kosten für die Ausführung eines bösartigen Skripts.

Entfernen von Skripten mit browserbasierter Bereinigung

Laden Sie die PDF-Datei in ein browserbasiertes Tool hoch, das eine Reduzierung, Bereinigung oder Sicherheitsbereinigung bietet. Diese Vorgänge entfernen alle interaktiven Elemente: Skripte, Formularfeldlogik, eingebettete Aktionen und Links. Die Ausgabe ist ein statisches PDF, das denselben visuellen Inhalt anzeigt, aber keinen ausführbaren Code enthält. Laden Sie die bereinigte Datei herunter und überprüfen Sie, indem Sie sie in einem Reader öffnen, der Skripts unterstützt, und bestätigen Sie, dass keine Skripts mehr vorhanden sind. WukongPDF verarbeitet PDFs, ohne eingebettete Skripte auszuführen. Die Fix PDF-Plattform entfernt interaktive Elemente während der Verarbeitung und erzeugt so eine saubere, statische Ausgabe.

Verhindern der Einführung von Skripten in von Ihnen erstellte Dokumente

Überprüfen Sie beim Exportieren von Dokumenten aus Authoring-Anwendungen ins PDF-Format die Exporteinstellungen auf Optionen für interaktive Elemente. Deaktivieren Sie JavaScript, Makros und eingebettete Aktionen, es sei denn, sie dienen einem bestimmten, dokumentierten Zweck, den der Empfänger erwartet. Ein Formular, das Summen automatisch berechnet, sollte nur die Berechnungsskripts enthalten. Eine Präsentations-PDF sollte keine automatischen Aktionen enthalten, die der Empfänger nicht kontrollieren kann. Standardmäßig sollte jedes PDF, das Sie verteilen, statischer Inhalt ohne ausführbaren Code sein. Für Skripte und Automatisierung sollte eine Opt-in- und keine Opt-out-Funktion gelten.

Der PDF Tools-Ansatz zur Skripthygiene ist derselbe wie bei jeder Sicherheitspraxis: Standardmäßig wird die sicherste Konfiguration verwendet und Interaktivität nur dann hinzugefügt, wenn sie erforderlich ist und der Empfänger sie erwartet. Ein PDF, das ohne Skripte ankommt, ist ein PDF, das keinen Schadcode ausführen kann.

Unterscheidung zwischen gutartiger Automatisierung und bösartigem Code

Die meisten Skripte in PDFs sind nicht bösartig. Ein Formular, das automatisch eine Gesamtsumme aus Einzelposten berechnet, ein Dokument, das Eingabeformate für bestimmte Felder validiert, oder eine Präsentation, die auf der Grundlage von Benutzerinteraktionen navigiert, nutzen alle legitime Automatisierung. Die Herausforderung besteht darin, diese von bösartigen Skripten zu unterscheiden, wenn Ihnen die Tools oder das Fachwissen zur Prüfung des Codes fehlen. Eine praktische Heuristik: Wenn das Verhalten des Skripts sichtbar und vorhersehbar ist, beispielsweise eine Berechnung, die einen überprüfbaren Wert erzeugt, oder eine Navigationsaktion, die auf einen absichtlichen Klick reagiert, ist es wahrscheinlich harmlos. Wenn der Zweck des Skripts nicht aus dem sichtbaren Verhalten des Dokuments ersichtlich ist, wenn es bei Ereignissen ausgelöst wird, die der Benutzer nicht kontrolliert, oder wenn es versucht, auf externe Ressourcen zuzugreifen, muss es entfernt werden. Entfernen Sie im Zweifelsfall den Verlust der Funktionalität und akzeptieren Sie den Verlust der Funktionalität als Kosten für die Sicherheit.

Für Dokumente, die Sie regelmäßig von derselben Quelle erhalten, wie zum Beispiel monatliche Rechnungen oder wöchentliche Berichte von einem bekannten Anbieter, bauen Sie schrittweise Vertrauen auf. Verarbeiten Sie das erste Dokument mit aktivierter Skriptentfernung. Überprüfen Sie die Ausgabe auf fehlende Funktionalität. Wenn das Dokument ohne Skripte ordnungsgemäß funktioniert, entfernen Sie diese weiterhin aus nachfolgenden Dokumenten aus dieser Quelle. Wenn das Dokument wesentliche Funktionen verliert, beispielsweise ein Formular, das keine Summen mehr berechnet, identifizieren Sie die spezifischen Skripte, die diese Funktionalität bereitstellen, und setzen Sie sie auf die Whitelist, während Sie andere entfernen. Im Laufe der Zeit entwickeln Sie quellenspezifische Skriptrichtlinien, die Sicherheit und Funktionalität in Einklang bringen.

Die Einschränkungen des Antivirus-Scans für PDF-Skripte

Antivirensoftware kann bekannte schädliche Skripte durch Signaturabgleich erkennen, dieser Ansatz weist jedoch erhebliche Einschränkungen auf. Die signaturbasierte Erkennung erkennt nur Skripte, die bekannten Malware-Mustern entsprechen. Neue oder benutzerdefinierte Schadskripte werden nicht erkannt. Antivirensoftware kann auch harmlose Skripte kennzeichnen, die oberflächliche Merkmale mit Malware teilen, was zu Fehlalarmen führt. Sich auf Antiviren-Scans als einzige Methode zur Skripterkennung zu verlassen, vermittelt ein falsches Sicherheitsgefühl. Der sicherste Ansatz für PDFs aus nicht vertrauenswürdigen Quellen ist das Entfernen von Skripten und nicht die Skriptauswertung. Die Kosten für das Entfernen eines harmlosen Skripts sind der Verlust einiger interaktiver Funktionen. Die Kosten für die Zulassung eines bösartigen Skripts, das der Erkennung entgangen ist, sind möglicherweise viel höher.

WukongPDF

Versuchen Sie es mit „PDF schützen“.

Keine Installation erforderlich. Funktioniert direkt in Ihrem Browser.

Jetzt starten →