Technologieführer

Keylogger: Was sie sind, Risiken und Schutz

5 min read Sicherheit Aktualisiert 20 Oct 2025
Keylogger: Was sie sind, Risiken und Schutz
Keylogger: Was sie sind, Risiken und Schutz

Symbolische Darstellung von Keylogger-Überwachung auf einem Bildschirm

Einführung

Ein Keylogger ist ein kleines Hardwaregerät oder ein Softwareprogramm, das in Echtzeit die Aktivitäten eines Computers aufzeichnet, etwa Tastatureingaben, Mausklicks und in manchen Fällen Bildschirmaufnahmen. Keylogger sind ein Werkzeug — wie jedes Werkzeug können sie für legitime Zwecke oder für Missbrauch verwendet werden.

Kernbegriffe in einer Zeile

  • Keylogger: Programm oder Gerät, das Eingaben und Aktivitäten protokolliert.
  • Client/Agent: Die Software-Komponente, die auf dem Zielgerät läuft.
  • C2/Server: Der Ort, an den Daten gesendet oder gespeichert werden.

Typen von Keyloggern

Primär lassen sich Keylogger in zwei große Kategorien einteilen:

Grafik: Aufteilung in Software- und Hardware-Keylogger

Software Keylogger

Software-Keylogger laufen als Programme unter dem Betriebssystem. Sie können als ausführbare Datei, als scheinbar legales Tool oder als Malware auftreten. Beispiele: Überwachungssoftware, Tastaturtreiber-Manipulation, Browser-Add-ons mit Keylogging-Funktionen.

Hardware Keylogger

Hardware-Keylogger sind physische Geräte, die zwischen Tastatur und Rechner gesteckt oder innerhalb des Geräts versteckt werden. Auch kompromittierte USB-Adapter oder spezielle Aufsteckmodule zählen dazu.

Wie Keylogger funktionieren

Nach der Installation zeichnen Keylogger typischerweise auf:

  • Tastatureingaben (keystrokes)
  • Mausklicks und -bewegungen
  • Geöffnete Anwendungen und Fenster
  • Zeitstempel und manchmal IP‑Informationen
  • Gelegentlich Screenshots in definierten Intervallen

Daten werden lokal gespeichert, verschlüsselt abgelegt oder automatisch an einen externen Server gesendet. Viele Keylogger laufen im Hintergrund und verstecken Prozesse oder Dienste, um der Entdeckung zu entgehen.

Legale Anwendungen und Missbrauch

Wichtig: Keylogger sind nicht per se illegal. Sie werden eingesetzt für:

  • Forensische Untersuchungen und Incident-Response
  • Parental Control zur Überwachung von Kindern
  • Mitarbeitermonitoring in Unternehmen (bei gesetzlicher und transparenter Regelung)
  • Usability-Forschung und Fehleranalyse

Missbräuchlich eingesetzt dienen sie zum Diebstahl von Passwörtern, Bankdaten und privaten Nachrichten.

Wie man Keylogger bekommt und wie Angreifer vorgehen

Keylogger sind frei verfügbar, sowohl als freie Tools als auch als kommerzielle Überwachungssoftware. Verbreitungsmethoden der Angreifer:

  • Phishing-E-Mails mit getarnter Installationsdatei
  • Drive-by-Downloads über unsichere Webseiten
  • Bundles in scheinbar harmloser Freeware
  • Physischer Zugriff (Einstecken eines Hardware-Keyloggers)

Angreifer verschicken oft ein Installationsmodul, das in ein ZIP‑Archiv gepackt ist, weil viele Antivirus-Programme Archive seltener prüfen. Nachdem das Modul ausgeführt wurde, kommuniziert die Malware mit einem Command‑and‑Control-Server oder sendet Logdateien per E‑Mail.

Erkennung und Entfernung

Wichtig: Handel zügig, wenn der Verdacht besteht.

Praktische Schritte zur Erkennung:

  1. Task-Manager/Systemmonitor prüfen: Unbekannte Prozesse, Dienste oder Programme identifizieren.
  2. Autostart-Einträge kontrollieren: Dienste, geplante Tasks und Startup-Programme prüfen.
  3. Netzwerkverkehr überwachen: Ungewöhnliche Verbindungen oder regelmäßige Uploads.
  4. Datei-Integritätsprüfung: Neue oder veränderte Binärdateien in Systempfaden.
  5. Antivirus- und Anti-Malware-Scans mit aktuellen Signaturen laufen lassen.

Entfernungsschritte (Mini-SOP):

  1. Netzwerkanbindung trennen, um Datenaustritt zu stoppen.
  2. Volles Backup wichtiger Daten erstellen (nur lesend, wenn möglich).
  3. Antivirus-Scan im abgesicherten Modus durchführen.
  4. Unbekannte Prozesse stoppen und Autostart-Einträge löschen.
  5. Systemdateien mit sauberen Versionen ersetzen oder System neu aufsetzen, falls Unsicherheit bleibt.
  6. Passwörter ändern von einem sauberen Gerät aus und Zwei-Faktor-Authentifizierung aktivieren.

Wenn der Keylogger Hardware-basiert ist, kontrollieren Sie physisch alle Peripheriegeräte und Kabelverbindungen.

Prävention und Security Hardening

  • Halten Sie Betriebssystem und Anwendungen aktuell.
  • Verwenden Sie eine moderne Antivirus-/EDR-Lösung und aktivieren Sie Exploit-Schutz.
  • Beschränken Sie Benutzerrechte: Keine dauerhaften Admin-Rechte für Alltagsaufgaben.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle wichtigen Konten.
  • Verwenden Sie Passwortmanager, damit Passwörter nicht direkt eingegeben werden müssen.
  • Misstrauen Sie komprimierten Anhängen aus unbekannten Quellen.
  • Für Online-Banking: optional virtuelle Tastaturen, allerdings sind diese kein Allheilmittel.
  • Physikalische Schutzmaßnahmen: verschlossene Anschlusspanels, Überwachungsprotokolle für Serverräume.

Wann Keylogger scheitern oder nutzlos sind

  • Vollständige Festplattenverschlüsselung oder abgesicherte Sandbox-Umgebungen verhindern nicht das Erfassen von Tastenanschlägen, aber erschweren Datenabfluss.
  • Zwei-Faktor-Authentifizierung (TOTP, Hardware-Token) macht allein erbeutete Passwörter oft nutzlos.
  • Wenn ein Passwortmanager automatisch ausfüllt, werden weniger Tastenanschläge erfasst.

Alternative Ansätze zur Absicherung

  • Endpoint-Detection-and-Response (EDR) statt reiner Signatur-AV: Bessere Erkennung verdächtigen Verhaltens.
  • Application Allowlisting reduziert die Ausführbarkeit unbekannter Binärdateien.
  • Netzwerksegmentierung und Egress-Filter verhindern unerwünschten Datentransfer.

Checklisten nach Rolle

IT-Admin:

  • EDR/AV auf allen Endpoints aktiviert
  • Regelmäßige Inventur aller USB- und Peripheriegeräte
  • Monitoring für ausgehenden Traffic

Privatanwender:

  • Systemupdates aktivieren
  • Misstrauisch bei Anhängen und Links bleiben
  • Passwortmanager + 2FA nutzen

Eltern:

  • Transparente Regeln und Gespräche statt heimlicher Überwachung
  • Kindgerechte Monitoring‑Tools mit klarer Zweckbindung

Testfälle und Akzeptanzkriterien für Entfernen

  • Nach Reinigung keine unbekannten Autostart-Einträge mehr
  • Kein ungewöhnlicher ausgehender Netzwerkverkehr
  • Vollständiger AV-Scan zeigt keine Erkennungen
  • Passwörter von einem anderen, sauberen System aus geändert

Datenschutz und rechtliche Hinweise

Die Überwachung von Mitarbeitern oder Dritten durch Keylogger unterliegt strengen rechtlichen Regeln. In vielen Ländern ist eine klare Information der Betroffenen und eine Zweckbindung erforderlich. Bei personenbezogenen Daten ist die Datenschutz-Grundverordnung (DSGVO) in der EU relevant: Verarbeitung nur bei Rechtsgrundlage, Transparenzpflichten und angemessene Sicherheitsmaßnahmen.

Entscheidungshilfe (Merke)

  • Verdacht auf Keylogger: Sofort isolieren, sichern, scannen und Experten hinzuziehen.
  • Keine Panik: Viele Fälle lassen sich durch standardisierte Removal-Prozesse beheben.

Glossar (ein Satz je Begriff)

  • Keystroke: Eine einzelne Tastatureingabe.
  • Agent: Software, die auf dem Zielgerät Daten sammelt.
  • C2: Command-and-Control-Server, über den Angreifer kommunizieren.
  • EDR: Endpoint Detection and Response, modernes Sicherheitsprodukt.

Zusammenfassung

Keylogger sind leistungsfähige Überwachungswerkzeuge mit berechtigten und missbräuchlichen Anwendungen. Erkennung und Entfernung erfordern systematische Prüfungen, aktuelle Sicherheitssoftware und organisatorische Maßnahmen. Der beste Schutz ist Prävention: Updates, begrenzte Rechte, EDR, MFA und vorsichtiger Umgang mit Anhängen und externen Geräten.

Wichtig: Wenn Sie den Verdacht haben, Opfer eines Keyloggers zu sein, handeln Sie zügig und nutzen Sie ein sauberes Gerät zur Wiederherstellung von Zugangsdaten.

Teilen: X/Twitter Facebook LinkedIn Telegram
Autor
Redaktion

Ähnliche Materialien

Auf YouTube berühmt werden – 9 Strategien
YouTube

Auf YouTube berühmt werden – 9 Strategien

Plex Wiedergabefehler beheben
Technischer Support

Plex Wiedergabefehler beheben

Mattermost mit PostgreSQL & Nginx auf Ubuntu 16.04
DevOps

Mattermost mit PostgreSQL & Nginx auf Ubuntu 16.04

Software Reporter Tool in Chrome deaktivieren
Anleitung

Software Reporter Tool in Chrome deaktivieren

Netflix: Eigenes Profilbild nutzen
Streaming

Netflix: Eigenes Profilbild nutzen

Verstecktes Administrator-Konto in Windows einblenden
Windows Support

Verstecktes Administrator-Konto in Windows einblenden