arrow_back
search
close

Was ist ein Keylogger?

Keylogger Bedeutung

Ein Keylogger (kurz Keystrokelogger) ist eine Art Überwachungstechnologie, die jeden Tastenanschlag auf einem Computer oder mobilen Gerät verfolgt und aufzeichnet. Während Keylogger häufig mit bösartigen Cyberaktivitäten in Verbindung gebracht werden – wie z. B. dem Diebstahl von Anmeldedaten oder sensiblen Daten – können sie auch in legitimen Szenarien verwendet werden, wie z. B. in der Mitarbeiterüberwachung oder in der Software zur Kontrolle von Eltern.

Arten von Keyloggern

Keylogger unterscheiden sich in ihrer Bedienungsmethode und der Ebene des Systemzugriffs. Nachfolgend finden Sie die häufigsten Typen, die jeweils unterschiedliche Verhaltensweisen und Auswirkungen auf die Erkennung aufweisen:

API-basierte Keylogger

Diese Logger verwenden Standardsystem-APIs, um Tastenanschläge aufzuzeichnen. Sie ahmen die normalen Interaktionen zwischen Hardware und Software nach und machen es besonders schwierig, sie von legitimen Prozessen zu unterscheiden. Jedes Mal, wenn eine Taste gedrückt oder freigegeben wird, erfasst der Logger das Ereignis in Echtzeit, ohne den Benutzer zu warnen.

Form-Grabbing Keylogger

Anstatt einzelne Tastenanschläge zu überwachen, erfassen Formular-Grabber den gesamten Inhalt von Webformularen, wenn ein Nutzer sie abschickt. Das bedeutet, dass Benutzernamen, Passwörter, Kreditkartendaten und andere sensible Daten abgefangen werden können, bevor sie verschlüsselt und übertragen werden.

Keylogger auf Kernelebene

Durch den Betrieb auf der tiefsten Ebene eines Betriebssystems, dem Kernel, erhalten diese Keylogger Zugriff auf administrative Ebene. Sie können jede Aktivität ohne Erkennung durch Standard-Antivirus-Tools protokollieren, was sie zu einer der gefährlichsten Sorten macht.

JavaScript-basierte Keylogger

Diese Keylogger werden häufig in kompromittierte Websites oder durch browserbasierte Angriffe eingespeist und verwenden bösartige Skripte, um die Tastatureingabe auf einer Webseite zu überwachen. Sie werden mithilfe von Methoden wie Cross-Site-Scripting (XSS), Man-in-the-Middle-Angriffen oder kompromittierten Inhalten von Drittanbietern bereitgestellt.

Hardwarebasierte Keylogger

Hardwarebasierte Keylogger sind physische Geräte, die zwischen Tastatur und Computer eingesetzt oder sogar in Tastaturen selbst eingebettet werden. Sie benötigen physischen Zugriff auf das Zielgerät, um installiert zu werden, sind aber durch herkömmliche Antivirus- oder Softwarescans praktisch nicht erkennbar. Nach der Installation speichern sie Tastenanschläge im internen Speicher oder übertragen sie drahtlos an einen externen Empfänger.

Funktionsweise von Keyloggern

Keylogger arbeiten, indem sie Benutzereingaben abfangen und aufzeichnen und oft Tarntaktiken nutzen, um vor Benutzern und Sicherheitssoftware verborgen zu bleiben. Hier ist ein genauerer Blick auf ihre Funktion:

Erfassen von Tastatureingängen

Die primäre Methode, die Keylogger verwenden, besteht darin, Tastenanschläge abzufangen, wenn sie eingegeben werden. Dies erreichen sie typischerweise durch:

  • API-Hooking: Viele Software Keylogger verwenden Haken auf Systemebene, wie die SetWindowsHookEx API unter Windows, um Tastaturereignisse abzufangen, bevor sie Anwendungen erreichen.
  • Interception auf Kernelebene: Fortschrittlichere Keylogger funktionieren auf Kernelebene, erfassen Rohdaten direkt von der Hardware und umgehen häufig Sicherheitsvorkehrungen im Benutzermodus.

So können Keylogger alles aufzeichnen, von eingegebenen Dokumenten bis hin zu Anmeldedaten, ohne dass der Benutzer sich dessen bewusst ist.

Datenverarbeitung und Stealth-Techniken

Neben der Protokollierung von Tastenanschlägen sind viele Keylogger darauf ausgelegt, umfassendere Benutzeraktivitäten zu erfassen und die gestohlenen Informationen verdeckt zu übertragen:

  • Erweiterte Datenerfassung: Einige Varianten erfassen auch Inhalte aus der Zwischenablage, machen regelmäßige Screenshots oder protokollieren besuchte Websites und die Anwendungsnutzung.
  • Lagerung und Übertragung: Erfasste Daten werden entweder lokal in ausgeblendeten Dateien gespeichert oder per E-Mail, FTP oder verschlüsselten Kommunikationskanälen an einen Remote-Server übertragen.
  • Stealth Operations: Um die Erkennung zu vermeiden, verbergen sich Keylogger oft als legitime Prozesse, verwenden Rootkit-Techniken, um ihre Präsenz auszublenden, oder arbeiten ausschließlich im Systemspeicher, um dateibasierte Antivirus-Scans zu umgehen.

Reale Verwendung von Keyloggern

Schädliche Anwendungsfälle

  • Identitätsdiebstahl: Cyberkriminelle können Keylogger verwenden, um Benutzernamen, Passwörter, Bankanmeldedaten und persönliche Identifikationsnummern (PINs) zu erfassen.
  • Überwachung: Hacker können die Online-Aktivitäten eines Opfers überwachen, E-Mails lesen oder Gespräche verfolgen.
  • Unternehmensspionage: In Geschäftsumgebungen können Keylogger eingesetzt werden, um Geschäftsgeheimnisse zu stehlen oder unbefugten Zugriff auf vertrauliche Informationen zu erhalten.

Legitime Anwendungsfälle

  • Parentale Kontrollen: Einige Eltern installieren Keylogger, um das Online-Verhalten ihrer Kinder zu überwachen und sicherzustellen, dass sie sicher sind und sich nicht mit schädlichen Inhalten beschäftigen.

  • Arbeitsplatzüberwachung: Arbeitgeber können Keylogger als Teil von Endpunktüberwachungstools verwenden, um die Produktivität zu verfolgen und die Einhaltung der Unternehmensrichtlinien sicherzustellen. Dies muss jedoch transparent und ethisch erfolgen und die Datenschutzrechte der Mitarbeiter respektieren.

So infizieren Keylogger Geräte

Keylogger werden häufig über Methoden bereitgestellt, die anderen Malware-Typen ähneln, darunter:

  • Phishing-E-Mails und bösartige Anhänge: Angreifer senden überzeugende E-Mails, die infizierte Dokumente oder Links enthalten. Das Öffnen einer booby-trapped-Datei, wie z. B. eines makroaktivierten Word-Dokuments, kann einen Keylogger still installieren.
  • Fileless Malware-Techniken: Anstatt offensichtliche Spuren zu hinterlassen, spritzen dateilose Keylogger Code mithilfe von Tools wie PowerShell oder DLL Injection direkt in den Speicher ein.
  • Trojanisierte Software und Software Bundling: Keylogger werden manchmal in scheinbar legitimen Anwendungen oder raubkopierten Software-Downloads versteckt. Durch die Installation dieser manipulierten Programme wird der Logger unwissentlich im Hintergrund installiert.
  • Schädliche Browsererweiterungen (Man-in-the-Browser-Angriffe): Gefälschte oder kompromittierte Browser-Add-ons können alles erfassen, was in Webformulare eingegeben wird, und umgehen Schutzfunktionen wie Passwortmanager oder virtuelle Tastaturen.
  • Drive-by Downloads und Exploit Kits: Selbst wenn Sie einfach eine kompromittierte Website mit einem veralteten Browser oder Plug-in besuchen, kann ein automatischer Download ausgelöst werden, der einen Keylogger auf Ihrem Gerät im Hintergrund installiert.
  • USB-Drops und physischer Zugriff: Angreifer können infizierte USB-Geräte pflanzen oder Hardware-Keylogger physisch zwischen einer Tastatur und einem Computer installieren, um Daten still zu erfassen, ohne dass eine Benutzerinteraktion erforderlich ist.

Persistenztechniken

Nach der Installation wollen Keylogger Neustarts überdauern und sich mithilfe von Methoden wie:

  • Autostart-Einträge und geplante Aufgaben: Keylogger fügen sich zu Startordnern, Registrierungsschlüsseln oder geplanten Aufgaben hinzu, um automatisch beim Booten neu zu starten.
  • Serviceinstallation und Prozessinjektion: Einige Logger werden als Systemdienste installiert oder in legitime Prozesse eingespeist (wie Explorer.exe), um sich in den regulären Systembetrieb einzumischen.
  • Missbrauch legitimer Tools: Keylogger können mithilfe von Binärdateien (wie wscript.exe oder powershell.exe) ohne offensichtliche Malware-Artefakte still ausführen.
  • Firmware oder Bootkits: Hochentwickelte Keylogger können das System-BIOS oder die Gerätefirmware infizieren und aktivieren, noch bevor das Betriebssystem geladen wird – eine Taktik, die normalerweise bei gezielten, hochwertigen Angriffen beobachtet wird.

So erkennen und entfernen Sie einen Keylogger

Die Erkennung des Vorhandenseins eines Keyloggers kann schwierig sein, aber es gibt verräterische Anzeichen:

  • Unerwartete Verzögerung oder Verlangsamung der Tastaturantwort
  • Unbekannte oder verdächtige Prozesse, die in Task Manager oder Activity Monitor ausgeführt werden
  • Häufige Anwendungsabstürze oder ungewöhnliches Systemverhalten
  • Deutlich langsamere Web-Browsing-Performance

So entfernen Sie Keylogger:

  • Verwenden Sie Anti-Malware oder dedizierte Anti-Keylogger-Tools, um Ihr Gerät zu scannen.
  • Halten Sie Ihre Antivirensoftware auf dem neuesten Stand und führen Sie regelmäßige Scans durch, um neue Bedrohungen zu erkennen.
  • Starten Sie in den sicheren Modus, um tiefere Systemprüfungen durchzuführen.
  • Setzen Sie Browser- und App-Einstellungen zurück, um bösartige Erweiterungen auszuschließen.

Schutz vor Keyloggern

Hier sind einige proaktive Schritte zur Prävention von Keylogger-Infektionen:

  • Software auf dem neuesten Stand halten – Aktualisieren Sie regelmäßig Ihr Betriebssystem, Ihre Browser und Anwendungen, um bekannte Schwachstellen zu beheben, die Keylogger und Malware häufig ausnutzen.
  • Nutzen Sie Antiviren- und Endpoint Security – Installieren Sie seriöse Antiviren- oder Endpoint-Sicherheitslösungen mit Echtzeitschutz und Verhaltenserkennung, um bekannte und neu auftretende Bedrohungen zu erkennen.
  • Multi-Faktor-Authentifizierung (MFA) aktivieren – Auch wenn ein Passwort erfasst wird, fügt MFA eine wichtige zusätzliche Sicherheitsebene hinzu, die unbefugten Zugriff blockieren kann.
  • Virtuelle Tastaturen – Virtuelle Tastaturen ermöglichen es Ihnen, auf Bildschirmtasten zu klicken, anstatt zu tippen, was es für grundlegende Keylogger schwieriger macht, Ihre Eingaben zu erfassen.
  • Benutzerschulung und Sicherheitsbewusstsein – Informieren Sie Benutzer regelmäßig über Phishing-Risiken, verdächtige Downloads und Keylogger-Warnzeichen.

Was ist ein Keylogger?

Ressourcen

Support

Über Trend

Hauptniederlassung DACH

  • Trend Micro - Germany (DE)
  • Parkring 29
    85748 Garching
    Deutschland
  • Phone:: +49 (0)89 8393 29700

Land/Region auswählen

close

Nord-, Mittel- und Südamerika

Naher Osten und Afrika

Europa

Asien-Pazifik

Überzeugen Sie sich selbst von der einheitlichen Plattform – kostenlos

Copyright ©2025 Trend Micro Incorporated. All rights reserved.