Ein Keylogger (kurz für Keystroke Logger) ist eine Form von Überwachungstechnologie, die jeden Tastenanschlag auf einem Computer oder mobilen Gerät verfolgt und aufzeichnet.
Inhalt
Keylogger werden häufig mit bösartigen Cyberaktivitäten in Verbindung gebracht, zum Beispiel mit dem Diebstahl von Anmeldedaten oder sensiblen Daten. Sie werden jedoch auch in legitimen Szenarien verwendet, etwa zur Mitarbeiterüberwachung oder als Kindersicherungssoftware.
Arten von Keyloggern
Keylogger unterscheiden sich in ihrer Bedienungsmethode und der Ebene des Systemzugriffs. Im Folgenden finden Sie die gängigsten Arten, die jeweils unterschiedliche Verhaltensweisen und Auswirkungen auf die Erkennung haben:
API-basierte Keylogger
Diese Logger verwenden Standard-System-APIs, um Tastenanschläge aufzuzeichnen. Sie ahmen die normalen Interaktionen zwischen Hardware und Software nach, wodurch sie besonders schwer von legitimen Prozessen zu unterscheiden sind. Jedes Mal, wenn eine Taste gedrückt oder freigegeben wird, erfasst der Logger das Ereignis in Echtzeit, ohne den Benutzer zu warnen.
Form-Grabbing Keylogger
Statt einzelne Tastenanschläge zu überwachen, erfassen Form-Grabber den gesamten Inhalt von Webformularen, wenn ein Nutzer sie abschickt. Das bedeutet, dass Benutzernamen, Passwörter, Kreditkartendaten und andere sensible Daten abgefangen werden können, bevor sie verschlüsselt und übertragen werden.
Keylogger auf Kernel-Ebene
Da diese Keylogger auf der tiefsten Ebene eines Betriebssystems, dem Kernel, arbeiten, erhalten sie Zugriff auf Administratorebene. Sie können alle Aktivitäten protokollieren, ohne von gängigen Virenschutzprogrammen entdeckt zu werden, was sie zu einer der gefährlichsten Varianten macht.
JavaScript-basierte Keylogger
Diese Keylogger werden häufig in kompromittierte Websites oder durch browserbasierte Angriffe eingeschleust und verwenden bösartige Skripte, um die Tastatureingabe auf einer Webseite zu überwachen. Sie werden durch Methoden wie Cross-Site-Scripting (XSS), Man-in-the-Middle-Angriffe oder kompromittierte Inhalte von Drittanbietern eingesetzt.
Hardwarebasierte Keylogger
Hardwarebasierte Keylogger sind physische Geräte, die zwischen Tastatur und Computer eingesetzt oder sogar in Tastaturen selbst eingebettet werden. Sie benötigen physischen Zugriff auf das Zielgerät, um installiert zu werden, sind jedoch durch herkömmliche Antiviren- oder Software-Scans praktisch nicht zu erkennen. Nach der Installation speichern sie Tastenanschläge im internen Speicher oder übertragen sie drahtlos an einen externen Empfänger.
Funktionsweise von Keyloggern
Keylogger arbeiten, indem sie Benutzereingaben abfangen und aufzeichnen und oft Tarntaktiken nutzen, um vor Benutzern und Sicherheitssoftware verborgen zu bleiben. Hier ist ein genauerer Blick auf ihre Funktion:
Keylogger erfasst Tastatureingänge
Keylogger verwenden primär die Methode, Tastenanschläge bei der Eingabe abzufangen. Dies erreichen sie typischerweise durch:
API-Hooking: Viele Software-Keylogger verwenden Haken auf Systemebene, wie die SetWindowsHookEx API unter Windows, um Tastaturereignisse abzufangen, bevor sie die Anwendungen erreichen.
Abfangen auf Kernelebene: Fortgeschrittenere Keylogger arbeiten auf Kernel-Ebene. Sie erfassen Rohdaten direkt von der Hardware und umgehen dabei häufig die Sicherheitsvorkehrungen im Benutzermodus.
So können Keylogger alles aufzeichnen, ohne dass der Benutzer sich dessen bewusst ist – von eingetippten Dokumenten bis hin zu Anmeldedaten.
Keylogger-Datenverarbeitung und Stealth-Techniken
Neben der Protokollierung von Tastenanschlägen sind viele Keylogger darauf ausgelegt, umfassendere Benutzeraktivitäten zu erfassen und die gestohlenen Informationen verdeckt zu übertragen:
Erweiterte Datenerfassung: Einige Varianten erfassen auch Inhalte aus der Zwischenablage, machen regelmäßige Screenshots oder protokollieren besuchte Websites und die Anwendungsnutzung.
Speicherung und Übertragung: Erfasste Daten werden entweder lokal in ausgeblendeten Dateien gespeichert oder per E-Mail, FTP oder verschlüsselten Kommunikationskanälen an einen Remote-Server übertragen.
Stealth-Betrieb: Um die Erkennung zu vermeiden, tarnen sich Keylogger oft als legitime Prozesse, verwenden Rootkit-Techniken, um ihre Präsenz zu verbergen, oder arbeiten ausschließlich im Systemspeicher, um dateibasierte Antiviren-Scans zu umgehen.
Verwendung von Keyloggern in der Praxis
Keylogger – Schädliche Anwendungsfälle
Identitätsdiebstahl: Cyberkriminelle können Keylogger einsetzen, um Benutzernamen, Passwörter, Bankanmeldedaten und persönliche Identifikationsnummern (PINs) zu erfassen.
Überwachung: Hacker können die Online-Aktivitäten eines Opfers überwachen, E-Mails lesen oder Gespräche verfolgen.
Unternehmensspionage: In Geschäftsumgebungen können Keylogger eingesetzt werden, um Geschäftsgeheimnisse zu stehlen oder unbefugten Zugriff auf vertrauliche Informationen zu erhalten.
Keylogger – Legitime Anwendungsfälle
Elterliche Kontrollen: Manche Eltern installieren Keylogger, um das Online-Verhalten ihrer Kinder zu überwachen und dafür zu sorgen, dass sie sicher sind und sich nicht mit schädlichen Inhalten beschäftigen.
Arbeitsplatzüberwachung: Arbeitgeber können Keylogger als Teil von Tools zur Überwachung von Endpunkten einsetzen, um die Produktivität zu verfolgen und die Einhaltung der Unternehmensrichtlinien sicherzustellen. Dies muss jedoch auf transparente und ethische Weise geschehen, unter Wahrung der Persönlichkeitsrechte der Beschäftigten.
Funktionsweise von Keyloggern
Keylogger arbeiten, indem sie Benutzereingaben abfangen und aufzeichnen und oft Tarntaktiken nutzen, um vor Benutzern und Sicherheitssoftware verborgen zu bleiben. Hier ist ein genauerer Blick auf ihre Funktion:
Keylogger erfasst Tastatureingänge
Keylogger verwenden primär die Methode, Tastenanschläge bei der Eingabe abzufangen. Dies erreichen sie typischerweise durch:
API-Hooking: Viele Software-Keylogger verwenden Haken auf Systemebene, wie die SetWindowsHookEx API unter Windows, um Tastaturereignisse abzufangen, bevor sie die Anwendungen erreichen.
Abfangen auf Kernelebene: Fortgeschrittenere Keylogger arbeiten auf Kernel-Ebene. Sie erfassen Rohdaten direkt von der Hardware und umgehen dabei häufig die Sicherheitsvorkehrungen im Benutzermodus.
So können Keylogger alles aufzeichnen, ohne dass der Benutzer sich dessen bewusst ist – von eingetippten Dokumenten bis hin zu Anmeldedaten.
Keylogger-Datenverarbeitung und Stealth-Techniken
Neben der Protokollierung von Tastenanschlägen sind viele Keylogger darauf ausgelegt, umfassendere Benutzeraktivitäten zu erfassen und die gestohlenen Informationen verdeckt zu übertragen:
Erweiterte Datenerfassung: Einige Varianten erfassen auch Inhalte aus der Zwischenablage, machen regelmäßige Screenshots oder protokollieren besuchte Websites und die Anwendungsnutzung.
Speicherung und Übertragung: Erfasste Daten werden entweder lokal in ausgeblendeten Dateien gespeichert oder per E-Mail, FTP oder verschlüsselten Kommunikationskanälen an einen Remote-Server übertragen.
Stealth-Betrieb: Um die Erkennung zu vermeiden, tarnen sich Keylogger oft als legitime Prozesse, verwenden Rootkit-Techniken, um ihre Präsenz zu verbergen, oder arbeiten ausschließlich im Systemspeicher, um dateibasierte Antiviren-Scans zu umgehen.
Infektionsmethoden von Keyloggern
Keylogger werden häufig über Methoden bereitgestellt, die anderen Malware-Typen ähneln, darunter:
Phishing-E-Mails und bösartige Anhänge: Angreifer senden überzeugende E-Mails, die infizierte Dokumente oder Links enthalten. Das Öffnen einer mit einer Booby-Trap versehenen Datei, beispielsweise eines Word-Dokuments mit Makros, kann unbemerkt einen Keylogger installieren.
Dateilose Malware-Techniken: Statt offensichtliche Spuren zu hinterlassen, injizieren dateilose Keylogger Code mithilfe von Tools wie PowerShell oder DLL-Injection direkt in den Speicher.
Trojanisierte Software und Software Bundling: Keylogger werden manchmal in scheinbar legitimen Anwendungen oder raubkopierten Software-Downloads versteckt. Durch die Installation dieser manipulierten Programme wird der Logger unwissentlich im Hintergrund installiert.
Schädliche Browsererweiterungen (Man-in-the-Browser-Angriffe): Gefälschte oder kompromittierte Browser-Add-ons können alles erfassen, was in Webformulare eingegeben wird, und umgehen Schutzfunktionen wie Passwortmanager oder virtuelle Tastaturen.
Drive-by Downloads und Exploit Kits: Selbst wenn Sie einfach eine kompromittierte Website mit einem veralteten Browser oder Plug-in besuchen, kann ein automatischer Download ausgelöst werden, der einen Keylogger auf Ihrem Gerät im Hintergrund installiert.
USB-Drops und physischer Zugriff: Angreifer können infizierte USB-Geräte anschließen oder physische Hardware-Keylogger zwischen Tastatur und Computer installieren, um Daten unbemerkt und ohne Interaktion des Benutzers zu erfassen.
Persistenztechniken von Keyloggern
Nach der Installation versuchen Keylogger, Neustarts zu überstehen und sich mithilfe folgender Methoden versteckt zu halten:
Autostart-Einträge und geplante Aufgaben: Keylogger fügen sich selbst zu Startordnern, Registrierungsschlüsseln oder geplanten Aufgaben hinzu, um beim Hochfahren automatisch neu gestartet zu werden.
Serviceinstallation und Prozessinjektion: Einige Logger installieren sich als Systemdienste oder schleusen sich in legitime Prozesse (wie explorer.exe) ein, um sich in den regulären Systembetrieb einzufügen.
Missbrauch legitimer Tools: Mithilfe von Binärdateien, die auf dem System vorhanden sind (wie wscript.exe oder powershell.exe), können Keylogger unbemerkt und ohne offensichtliche Malware-Spuren ausgeführt werden.
Firmware oder Bootkits: Hoch entwickelte Keylogger können das System-BIOS oder die Gerätefirmware infizieren und aktivieren, noch bevor das Betriebssystem geladen wird – eine Taktik, die normalerweise bei gezielten, hochwertigen Angriffen beobachtet wird.
Erkennung und Entfernung eines Keyloggers
Das Erkennen eines Keyloggers kann schwierig sein, aber es gibt verräterische Anzeichen:
Unerwartete Verzögerung oder Verlangsamung der Tastaturantwort
Unbekannte oder verdächtige Prozesse, die im Task Manager oder Activity Monitor ausgeführt werden
Häufige Anwendungsabstürze oder ungewöhnliches Systemverhalten
Deutlich langsamere Web-Browsing-Performance
Entfernung von Keyloggern:
Verwenden Sie Anti-Malware oder dedizierte Anti-Keylogger-Tools, um Ihr Gerät zu scannen.
Halten Sie Ihre Antivirensoftware auf dem neuesten Stand und führen Sie regelmäßige Scans durch, um neue Bedrohungen zu erkennen.
Starten Sie den Computer im abgesicherten Modus, um eine gründlichere Systemprüfung durchzuführen.
Setzen Sie Browser- und App-Einstellungen zurück, um bösartige Erweiterungen auszuschließen.
Schutz vor Keyloggern
Hier sind einige proaktive Schritte zur Prävention von Keylogger-Infektionen:
Halten Sie Ihre Software auf dem neuesten Stand – Aktualisieren Sie regelmäßig Ihr Betriebssystem, Ihre Browser und Anwendungen, um bekannte Schwachstellen zu beheben, die von Keyloggern und Malware häufig ausgenutzt werden.
Nutzen Sie Virenschutz und Endpoint-Sicherheit – Installieren Sie seriöse Lösungen für Virenschutz oder Endpoint-Sicherheit mit Echtzeitschutz und Verhaltenserkennung, um sowohl bekannte als auch neue Bedrohungen abzufangen.
Aktivieren Sie Multi-Faktor-Authentifizierung (MFA) – Selbst wenn ein Passwort abgefangen wird, bietet MFA eine wichtige zusätzliche Sicherheitsebene, die unbefugten Zugriff verhindern kann.
Virtuelle Tastaturen – Mit virtuellen Tastaturen können Sie auf Bildschirmtasten klicken, statt zu tippen, wodurch es für einfache Keylogger schwieriger wird, Ihre Eingaben zu erfassen.
Benutzerschulung und Sicherheitsbewusstsein – Informieren Sie Benutzer regelmäßig über Phishing-Risiken, verdächtige Downloads und Warnzeichen für Keylogger.
Wie sich Cyberangriffe im Jahr 2025 weiterentwickeln
Cyberangriffe nehmen an Umfang, Komplexität und Wirkung zu. Von Ransomware und Phishing bis hin zu Angriffen auf Lieferketten und KI-gesteuerten Exploits – Angreifer passen sich ständig an, um Sicherheitsmaßnahmen zu umgehen und Schwachstellen auszunutzen. Ein Verständnis dieser Entwicklungen ist entscheidend für den Aufbau robuster digitaler Strategien.
Cyber Risk Report 2025
Der aktuelle Bericht von Trend Micro bietet eine umfassende Analyse der sich wandelnden Bedrohungslandschaft, beleuchtet neue Angriffsvektoren, Risikomuster und strategische Empfehlungen für Unternehmen. Eine unverzichtbare Lektüre für alle, die Cyberangriffe besser verstehen und ihnen vorbeugen möchten.
Trend Vision One™ Plattform
Stoppen Sie Angreifer schneller und reduzieren Sie Cyberrisiken mit einer einzigen Plattform. Verwalten Sie Sicherheit ganzheitlich mit Funktionen für Prävention, Erkennung und Reaktion, die auf künstlicher Intelligenz, wegweisenden Forschungsmethoden und tiefgehenden Erkenntnissen basieren.
Trend Vision One unterstützt verschiedene hybride IT-Umgebungen, automatisiert und koordiniert Workflows und bietet fachkundige Services für Cybersicherheit. Damit können Sie Ihre Sicherheitsprozesse vereinfachen und zusammenführen.
Jon Clay arbeitet seit über 29 Jahren im Bereich Cybersicherheit. Er nutzt seine Branchenerfahrung, um Wissen zu vermitteln und Einblicke in alle extern veröffentlichten Bedrohungsanalysen und -informationen von Trend Micro zu geben.
Häufig gestellte Fragen (FAQs)
Was ist ein Keylogger‑Angriff?
Ein Keylogger‑Angriff zeichnet heimlich Tastatureingaben auf, um Passwörter, persönliche Daten und Anmeldeinformationen von kompromittierten Geräten zu stehlen.
Was machen Keylogger?
Keylogger zeichnen Tastatureingaben auf, erfassen Passwörter, Nachrichten und sensible Daten zur Überwachung oder für schädliche Zwecke.
Wie entfernt man einen Keylogger?
Entfernen Sie einen Keylogger durch Antimalware‑Scans, Software‑Updates, Löschen verdächtiger Programme, Passwortänderungen und Absicherung der Gerätekonfiguration.
Ist die Nutzung eines Keyloggers legal?
Die Nutzung eines Keyloggers ist nur mit ausdrücklicher Zustimmung legal; unerlaubte Installation verletzt Datenschutzgesetze und gilt als Überwachung.
Kann ein Keylogger erkannt werden?
Keylogger können durch Antivirenprogramme, Analyse ungewöhnlicher Systemaktivitäten und Tools zur Erkennung versteckter Prozesse entdeckt werden.
Was sind Warnzeichen für Keylogging?
Warnzeichen umfassen langsames System, unerwartete Pop-ups, geänderte Einstellungen, unbekannte Prozesse oder ungewöhnlich hohe Ressourcennutzung.
Verhindert ein VPN Keylogging?
Ein VPN stoppt Keylogging nicht, da Keylogger lokal arbeiten; es schützt jedoch Datenverkehr vor Abhören und Tracking.