· Rexoma Team · IT-Sicherheit · 6 min read
ClickFix-Angriffe: Wenn Mitarbeiter unwissentlich Malware ausführen
ClickFix ist eine raffinierte Social-Engineering-Methode, bei der Angreifer Mitarbeiter dazu bringen, Schadcode selbst in die Windows-Eingabeaufforderung einzutippen – ohne Klick auf einen verdächtigen Anhang.
Kein verdächtiger E-Mail-Anhang, kein Drive-by-Download – und trotzdem läuft Malware auf dem Firmenrechner. ClickFix-Angriffe funktionieren genau so: Der Mitarbeiter führt den Schadcode selbst aus, weil ihn eine täuschend echte Fehlermeldung dazu auffordert. Für KMU in Dresden und Sachsen ist das eine wachsende Bedrohung, die klassische Antivirenlösungen oft nicht abfangen.
Was sind ClickFix-Angriffe?
ClickFix ist eine Social-Engineering-Technik, bei der Angreifer eine gefälschte Fehlermeldung, ein falsches CAPTCHA oder eine manipulierte Systemmeldung anzeigen. Die Meldung fordert den Nutzer auf, zur “Fehlerbehebung” einen Befehl in die Windows-Eingabeaufforderung oder PowerShell einzugeben. Was wie offizielle IT-Hilfe aussieht, ist tatsächlich ein Schadskript, das Malware auf dem System installiert.
Der Name leitet sich von den typischen Dialog-Phrasen ab: “Klicken Sie hier, um das Problem zu beheben” oder “Folgen Sie diesen Schritten, um das Dokument zu öffnen.” Der Angriff nutzt Vertrauen aus – in bekannte Marken wie Microsoft, Google oder Adobe – und die Bereitschaft von Nutzern, einer vermeintlichen technischen Anweisung zu folgen.
Aktuelle Daten zeigen: ClickFix-Angriffe haben 2024 und 2025 massiv zugenommen. Selbst Apple hat inzwischen spezifische Schutzmaßnahmen in macOS implementiert, um Terminal-basierte ClickFix-Angriffe abzuwehren.
Wie läuft ein ClickFix-Angriff konkret ab?
Schritt 1: Der Köder
Der Angriff beginnt auf einer kompromittierten oder eigens präparierten Website. Typische Szenarien sind:
- Fake-CAPTCHA: “Ich bin kein Roboter – drücken Sie Win+R, fügen Sie diesen Code ein und klicken Sie OK”
- Fake-Dokumentenfehler: “Ihr Browser kann dieses PDF nicht anzeigen. Führen Sie diesen Schritt aus, um das Plugin zu installieren”
- Gefälschte Microsoft-365-Meldung: “Ihr Konto wurde vorübergehend eingeschränkt. Bestätigen Sie Ihre Identität mit diesem Schritt”
Schritt 2: Die Manipulation
Die Seite enthält einen bereits vorbereiteten PowerShell-Befehl – oft im Clipboard gespeichert, sodass der Nutzer nur noch einfügen muss. Die Anleitung lautet typischerweise:
- Windows-Taste + R drücken (öffnet den Ausführen-Dialog)
- Strg+V drücken (fügt den Befehl ein)
- Enter drücken
Schritt 3: Malware läuft
Der Befehl kontaktiert einen Server der Angreifer und lädt Schadsoftware herunter. Typische Nutzlasten sind:
- Infostealer (z. B. Lumma Stealer, Vidar): Zugangsdaten, Browser-Cookies und gespeicherte Passwörter werden binnen Sekunden exfiltriert
- Remote Access Trojaner (RAT): Angreifer erhalten dauerhaften, unsichtbaren Zugriff auf den Rechner
- Ransomware-Dropper: Der Grundstein für eine spätere Verschlüsselungsattacke wird gelegt
Der gesamte Angriff dauert unter 60 Sekunden. Ein klassisches Antivirusprogramm erkennt den PowerShell-Befehl oft nicht als gefährlich – denn technisch gesehen führt ihn ja der Nutzer selbst aus.
Warum sind KMU besonders gefährdet?
Ostdeutsche KMU und Betriebe in Sachsen sind aus strukturellen Gründen besonders anfällig für ClickFix-Angriffe:
Mangelnde Awareness: Die meisten Mitarbeiter in kleinen Betrieben haben keine Schulung zu aktuellen Angriffsmethoden. ClickFix ist neu genug, dass selbst IT-Verantwortliche den Trick nicht kennen.
Zu weitreichende Benutzerrechte: In vielen KMU arbeiten Mitarbeiter mit lokalen Administratorrechten. Das bedeutet: Ein einziger ClickFix-Befehl kann das gesamte System übernehmen, ohne Nachfrage durch das Betriebssystem.
Fehlende Endpoint-Kontrolle: Wo kein Application Control oder EDR eingesetzt wird, gibt es keine technische Schranke gegen die Ausführung beliebiger PowerShell-Befehle.
Vertrauen in bekannte Markennamen: Eine gefälschte Microsoft-Fehlermeldung wirkt für viele Nutzer authentischer als eine echte – weil sie genau so gebaut ist, das Vertrauen auszunutzen.
Schutzmaßnahmen gegen ClickFix-Angriffe
PowerShell-Ausführungsrichtlinie einschränken
Auf Endgeräten, die keine PowerShell-Skripte benötigen, sollte die Ausführungsrichtlinie restriktiv gesetzt werden – am besten per Group Policy (GPO) für alle Firmenrechner zentral:
Set-ExecutionPolicy -ExecutionPolicy Restricted -Scope LocalMachineDas verhindert die Ausführung nicht signierter Skripte, auch wenn ein Nutzer sie manuell einfügt.
AppLocker oder WDAC aktivieren
Mit AppLocker (Windows Pro/Enterprise) oder Windows Defender Application Control (WDAC) legen Sie fest, welche Anwendungen und Skripte auf Firmenrechnern ausgeführt werden dürfen. Nicht autorisierte PowerShell-Befehle – egal ob per Hand eingegeben oder durch Malware ausgelöst – werden dann automatisch blockiert.
Least Privilege konsequent umsetzen
Entziehen Sie Standardbenutzern lokale Administratorrechte. Das ist einer der wirksamsten Schutzmechanismen überhaupt: Malware kann nur so viel Schaden anrichten, wie der Benutzer, unter dem sie läuft, darf. Administrative Aufgaben sollten ausschließlich über separate Admin-Konten erledigt werden.
Mitarbeiter gezielt schulen
Zeigen Sie Ihren Mitarbeitern echte ClickFix-Screenshots und erklären Sie die Masche. Die wichtigste Botschaft:
Keine seriöse Software, Website oder IT-Abteilung fordert Sie jemals auf, einen Befehl manuell in die Windows-Eingabeaufforderung einzugeben. Das ist immer ein Angriff.
Kombinieren Sie Schulungen mit simulierten ClickFix-Tests, um zu prüfen, wer die Muster erkennt – und wo noch Nachholbedarf besteht.
DNS-Filterung einsetzen
Viele ClickFix-Angriffe laden Malware von bekannten Schad-Domains herunter. Ein DNS-Filter – zum Beispiel Cloudflare Gateway, oder in einer OPNsense-Firewall der DNS-Resolver mit Blocklisten – blockiert diese Verbindungen, bevor der Schadcode aktiv wird. Das ist eine günstige und wirkungsvolle zusätzliche Schutzschicht.
Endpoint Detection & Response (EDR) nutzen
Moderne EDR-Lösungen wie Microsoft Defender for Business, Sophos Intercept X oder SentinelOne erkennen auffällige PowerShell-Aktivitäten in Echtzeit und können betroffene Systeme automatisch isolieren. Für KMU sind diese Lösungen inzwischen zu überschaubaren monatlichen Kosten verfügbar.
Was tun, wenn der Angriff bereits erfolgreich war?
Wenn ein Mitarbeiter den ClickFix-Befehl bereits ausgeführt hat, zählt jede Minute:
- Sofort vom Netzwerk trennen – Netzwerkkabel ziehen, WLAN deaktivieren, Bluetooth aus
- IT-Sicherheitsvorfall intern melden – Eskalation an Geschäftsführung und IT-Verantwortliche
- System forensisch sichern – Vor dem Neuaufsetzen ein Disk-Image erstellen für spätere Analyse
- Alle Zugangsdaten des Betroffenen ändern – E-Mail, VPN, Cloud-Dienste, Bankzugänge
- Protokolle auswerten – Gab es ungewöhnliche Dateiübertragungen oder Verbindungen nach außen?
- Je nach Schadenspotenzial: Meldepflicht prüfen – Bei personenbezogenen Daten greift die DSGVO-Meldepflicht (72 Stunden zur Datenschutzbehörde)
Je schneller reagiert wird, desto begrenzter bleibt der Schaden für Ihr Dresdner oder sächsisches Unternehmen.
Sie suchen Unterstützung in Dresden? Rexoma IT hilft KMU dabei, ClickFix-Angriffe und Social Engineering wirksam abzuwehren – von der PowerShell-Härtung über AppLocker-Konfiguration bis hin zu Mitarbeiter-Schulungen und EDR-Einrichtung. Wir kennen die typischen Schwachstellen in kleinen und mittleren Betrieben und setzen pragmatische Schutzmaßnahmen um, die wirklich halten. Jetzt Kontakt aufnehmen
Häufige Fragen zu ClickFix-Angriffen
Wie erkenne ich eine ClickFix-Seite?
Ein sicheres Warnsignal ist die Aufforderung, Windows-Taste + R zu drücken und dann etwas einzufügen oder einzutippen. Legitime Websites und Dienste geben niemals solche Anweisungen. Auch Fake-CAPTCHAs, die diesen Schritt verlangen, sind immer betrügerisch.
Schützt mein Antivirusprogramm vor ClickFix?
Nur bedingt. Klassische Antivirusprogramme erkennen den PowerShell-Befehl selbst oft nicht als Bedrohung, weil der Nutzer ihn ja scheinbar “freiwillig” ausführt. EDR-Lösungen, die das Verhalten von Prozessen in Echtzeit überwachen, sind wirksamer.
Sind Macs vor ClickFix sicher?
Macintosh-Geräte sind nicht grundsätzlich sicher. Es gibt ClickFix-Varianten, die Terminal-Befehle auf macOS ausnutzen. Apple hat 2025 Schutzmaßnahmen implementiert, aber auch Mac-Nutzer in Unternehmen sollten für diese Angriffstechnik sensibilisiert werden.
Kann ich PowerShell komplett deaktivieren?
Für viele Arbeitsplatzrechner ist das möglich und sinnvoll. Für Server und Systeme, die PowerShell für Verwaltungsaufgaben benötigen, reicht es, die Ausführungsrichtlinie zu beschränken und Skripte über AppLocker zu kontrollieren.
Müssen wir einen ClickFix-Vorfall melden?
Das hängt davon ab, ob personenbezogene Daten abgeflossen sind. Wenn ein Infostealer Kundendaten, Mitarbeiterdaten oder andere personenbezogene Informationen exfiltriert hat, besteht nach DSGVO Artikel 33 eine Meldepflicht binnen 72 Stunden gegenüber der zuständigen Datenschutzbehörde.
Rexoma IT