Eine gefälschte Cloudflare-Verifikationsseite erscheint. Der Nutzer klickt auf “Ich bin kein Roboter”. Ein Befehl landet in der Zwischenablage. Dreißig Sekunden später ist der Rechner kompromittiert, ohne dass eine einzige Schadsoftware per E-Mail-Anhang zugestellt wurde. Das ist ClickFix, und laut Microsoft 2025 Digital Defense Report ist diese Methode inzwischen für 47 Prozent aller gemessenen Erstzugänge in Unternehmensnetzwerken verantwortlich, mehr als klassisches Phishing mit 35 Prozent.

ESET registrierte zwischen Ende 2024 und Mitte 2025 einen Anstieg von 517 Prozent bei ClickFix-Erkennungen. Huntress meldete in nur sechs Monaten eine Steigerung von 631 Prozent bei ClickFix-bezogenen Vorfällen in betreuten Unternehmensumgebungen. Recorded Future bewertet in seiner Einschätzung vom März 2026, dass ClickFix mit sehr hoher Wahrscheinlichkeit der dominante Erstangriffsvektoren des gesamten Jahres 2026 bleiben wird. Dieses Analyse beleuchtet, wie die Methode funktioniert, warum sie so effektiv ist, und was DACH-Unternehmen konkret dagegen tun können.

Was ist ClickFix? Die neue Nummer-eins-Bedrohung

ClickFix ist keine Malware im klassischen Sinne und kein Exploit gegen eine Softwarelücke. Es ist eine Social-Engineering-Technik, die Opfer dazu bringt, Schadcode selbst auszuführen, indem sie legitime Systemprogramme des eigenen Betriebssystems nutzen. Der Name leitet sich von der Kernmechanik ab: Eine gefälschte Webseite präsentiert ein Problem und bietet einen vermeintlichen “Fix” an.

Das MITRE ATT&CK-Framework klassifiziert ClickFix unter Technik T1204.004 “Malicious Copy and Paste” innerhalb der User-Execution-Kategorie. Diese Einordnung verdeutlicht das Kernprinzip: Der Nutzer führt den Angriff selbst durch. Anstatt Malware zuzustellen, liefern Angreifer Instruktionen. Das Ergebnis ist identisch, die Erkennungsrate durch klassische Sicherheitssoftware jedoch dramatisch geringer.

Seit der ersten dokumentierten Beobachtung im März 2024 hat sich ClickFix von einer Randerscheinung zum meistgenutzten Erstangriffsmechanismus entwickelt. Blackpoint Cyber ermittelte, dass Fake-CAPTCHA- und ClickFix-Kampagnen zusammen 58 Prozent aller identifizierbaren Vorfälle im Jahr 2025 ausmachten, weil die Methode ein Kernproblem für Angreifer elegant löst: Sicherheitslösungen erkennen böswilliges Verhalten, nicht aber böswillige Absichten eines Nutzers.

Die 5-stufige Angriffskette: Wie ClickFix funktioniert

Der Angriff läuft in einem konsistenten Muster ab, das Palo Alto Networks Unit 42 in fünf Stufen dokumentiert hat. Das Verständnis dieser Kette ist die Grundlage für jede wirksame Gegenmaßnahme.

Stufe 1: Kompromittierter oder bösartiger Kontaktpunkt. Das Opfer landet auf einer manipulierten legitimen Website, einer Malvertising-Seite, einer gefälschten Tech-Support-Seite oder folgt einem Link aus einer Phishing-E-Mail. Die Seiten sind häufig täuschend echt gestaltet und imitieren bekannte Dienste wie Cloudflare Turnstile, Google reCAPTCHA, Microsoft-Anmeldeseiten oder Okta-Login-Flows.

Stufe 2: Fake-Verifikationsaufforderung. JavaScript auf der Seite blendet eine Fehlermeldung oder Verifikationsanforderung ein. Typische Szenarien: “Ihr Browser kann dieses Dokument nicht anzeigen” mit Schaltfläche “Fix It”, eine gefälschte CAPTCHA-Seite die nach Abschluss eine Aktion fordert, oder eine angebliche Sicherheitsüberprüfung. Der Klick auf die Schaltfläche kopiert automatisch einen Befehl in die Zwischenablage des Opfers.

Stufe 3: Clipboard-Hijacking und Ausführung. Der Nutzer wird angewiesen, die Tastenkombination Windows+R zu drücken (Ausführen-Dialog), Strg+V einzufügen und Enter zu drücken, oder PowerShell zu öffnen und den “Fix”-Befehl einzufügen. Huntress dokumentierte den typischen Windows-Prozesspfad: explorer.exe erzeugt conhost.exe mit dem Parameter --headless, das wiederum cmd.exe ausführt, ein Artefakt der Ausführung über den Run-Dialog.

Stufe 4: Payload-Download. Der ausgeführte Befehl ruft in der Regel mshta.exe auf, ein legitimes, von Microsoft signiertes Windows-Executable zur Ausführung von HTML-Anwendungen. Dieses lädt einen Dropper von einer angreiferkontrollierten Domain, der wiederum die eigentliche Malware herunterlädt. In manchen Varianten nutzen Angreifer die “EtherHiding”-Methode, bei der Blockchain-Smart-Contracts genutzt werden, um Payloads zu liefern und klassische URL-Blockierung zu umgehen.

Stufe 5: Persistenz und Ausbreitung. Nach der Malware-Installation richtet das Programm üblicherweise eine geplante Aufgabe oder Registry-Einträge für Persistenz ein. Je nach Payload folgen dann Credential-Diebstahl, Lateral Movement, Datenexfiltration oder die Installation weiterer Backdoors. Die mediane Zeit vom Erstzugang bis zur Kompromittierung von Active Directory lag 2026 laut Sophos Active Adversary Report bei nur 3,40 Stunden, 70 Prozent schneller als im Vorjahr.

Explosives Wachstum: 631% mehr Fälle in nur 6 Monaten

Die Wachstumszahlen für ClickFix sind ohne Parallele in der jüngeren Geschichte der Cybersicherheit. Während neue Angriffstechniken üblicherweise Jahre benötigen, um sich zu etablieren, hat ClickFix in weniger als 24 Monaten den Status des dominanten Erstangriffsvektors erreicht.

Das IT-Sicherheitsunternehmen Huntress berichtete in seinem September 2025 erschienenen Bericht: “In den vergangenen sechs Monaten beobachteten wir einen Anstieg von 631 Prozent bei ClickFix-bezogenen Vorfällen. Diese Technik hat sich von einer Windows-spezifischen Bedrohung zu einem plattformübergreifenden Angriffsmechanismus entwickelt, der jetzt auch native macOS- und Linux-Funktionen ausnutzt.”

ESET-Forscher ermittelten gleichzeitig eine Wachstumsrate von 517 Prozent zwischen Ende 2024 und Mitte 2025. Stormshield fasst es in seiner März 2026 Analyse so zusammen: “ClickFix hat sich seit seiner ersten Beobachtung im März 2024 mit einer Geschwindigkeit verbreitet, die selbst für die Cybersicherheitsbranche außergewöhnlich ist. Die Technik trifft einen toten Winkel: Sie nutzt legitime Systemprozesse auf eine Weise, die für den Nutzer plausibel erscheint.”

Recorded Future’s Insikt Group hält in ihrer März-2026-Bewertung fest: “Mit sehr hoher Wahrscheinlichkeit wird ClickFix der dominante initiale Angriffsvektor für den Rest des Jahres 2026 bleiben. Die Technik bietet Angreifern ein optimales Kosten-Nutzen-Verhältnis: geringe Entwicklungskosten, hohe Erfolgsrate, minimales Erkennungsrisiko.”

ClickFix 2026: Die wichtigsten Statistiken im Überblick

MetrikWertQuelle
Anteil an allen Erstzugängen47%Microsoft Digital Defense Report 2025
Wachstum H1 2025 vs. H2 2024+517%ESET, 2025
Wachstum in 6 Monaten (Unternehmensumgebungen)+631%Huntress, Sep. 2025
Anteil an identifizierbaren Vorfällen 202558%Blackpoint Cyber, Apr. 2026
Häufigste Nutzlast (Anteil)Lumma Stealer (51%)Microsoft, 2025
Klassisches Phishing als Erstvektor35%Microsoft Digital Defense Report 2025
Prognose für 2026Dominanter Vektor bleibtRecorded Future Insikt Group, Mrz. 2026
Betroffene PlattformenWindows, macOS, LinuxMicrosoft, Huntress 2026

Welche Malware ClickFix verbreitet

ClickFix ist kein eigenständiges Schadprogramm, sondern ein Zustellmechanismus. Was nach der Ausführung des eingeschleusten Befehls landet, variiert je nach Kampagne und Angreifer. Microsoft Security hat in seiner August-2025-Analyse eine detaillierte Aufstellung der häufigsten Nutzlasten veröffentlicht.

Infostealers machen die häufigste Nutzlastkategorie aus. Lumma Stealer allein ist laut Microsoft für 51 Prozent aller ClickFix-Infektionen verantwortlich. Lumma stiehlt Browser-Anmeldedaten, Kryptowallet-Daten, Sitzungscookies und Authentifizierungstoken. Weitere dokumentierte Infostealers: Vidar Stealer, SectopRAT und Atomic macOS Stealer (AMOS) für Apple-Geräte.

Remote-Access-Trojaner (RATs) sind die zweithäufigste Kategorie und ermöglichen Angreifern dauerhaften, interaktiven Zugang zu kompromittierten Systemen. Dokumentiert via ClickFix: AsyncRAT, NetSupport RAT und Xworm. Diese Tools erlauben Tastenprotokollierung, Screenshot-Erfassung, Dateiübertragung und vollständige Remote-Kontrolle des infizierten Systems.

Loader und Droppers wie Latrodectus und MintsLoader sind mehrstufige Bedrohungen: Sie laden nach der Installation zusätzliche Malware nach, oft je nach Wertigkeitseinschätzung des kompromittierten Systems durch den Angreifer. DarkGate als Multi-Stage-Bedrohung verbindet Infostealer-Fähigkeiten mit RAT-Funktionen und Cryptomining-Komponenten.

Rootkits bilden die gefährlichste Kategorie: Eine modifizierte Variante des Open-Source-Rootkits r77 wurde in ClickFix-Kampagnen eingesetzt, um tiefen und schwer erkennbaren Zugang zu infizieren Systemen zu gewährleisten. Das HHS-Sicherheitsalert (US-amerikanisches Gesundheitsministerium) bestätigt Kampagnen mit dem Ziel, über ClickFix Zugang zu kritischen Infrastrukturen im Gesundheitsbereich zu erlangen.

Die häufigsten ClickFix-Varianten und Köder

Angreifer setzen eine wachsende Zahl an Köderszenarien ein, die auf unterschiedliche Opfergruppen zugeschnitten sind. Palo Alto Networks Unit 42 dokumentierte in seiner 2025-Analyse die Zustellwege und Ködertypen.

Gefälschte CAPTCHA-Seiten sind der häufigste Köder. Die Seiten imitieren Cloudflare Turnstile, Google reCAPTCHA oder Microsoft-Authentifizierungsflows. Nach dem vermeintlichen Abschluss der Verifikation erscheint eine Anweisung, einen “Sicherheitsschritt” durch Ausführen eines kopierten Befehls abzuschließen. Diese Variante ist besonders effektiv, weil CAPTCHA-Lösung für Nutzer routinemäßig ist und kaum Misstrauen weckt.

Browser-Update-Benachrichtigungen imitieren echte Update-Dialoge von Chrome, Firefox oder Edge. Die SocGholish-Malware-Familie nutzt diesen Köder mit besonders authentisch gestalteten Dialogen, oft verbreitet über kompromittierte WordPress-Websites mit hohem Besucheraufkommen.

Dokument-Darstellungsprobleme täuschen vor, dass ein PDF oder Office-Dokument nicht korrekt geladen werden kann. Der “Fix” ist die Ausführung eines Befehls zur “Schriftinstallation” oder “Codec-Aktualisierung”. Diese Variante zielt besonders auf Berufsumgebungen ab, wo Dokumentenzugang alltäglich und dringend ist.

YouTube-Tutorials und SEO-vergiftete Suchergebnisse locken technisch affine Nutzer, die nach Lösungen für Software-Probleme suchen. In diesen Szenarien erscheinen Anweisungen zur manuellen Ausführung von Befehlen als Teil einer legitimen Anleitung, was kritisches Hinterfragen deutlich reduziert.

Im Mai 2026 nutzten Angreifer eine kritische SQL-Injection-Lücke in Ghost CMS (CVE-2026-10956), um tausende Websites zu kompromittieren und Besucher dieser Seiten mit ClickFix-Inhalten zu konfrontieren. Der Angriff kombinierte eine Software-Schwachstelle mit ClickFix als Zustellmechanismus und weitete so die Opferbasis erheblich aus.

Technische Analyse: Warum klassische Sicherheitslösungen versagen

Der Kern der Effektivität von ClickFix liegt in einer einfachen technischen Tatsache: Es gibt keine Malware-Datei, die erkannt werden müsste. Klassische Antivirus-Software erkennt signaturbasiert bekannte Schadprogramme. ClickFix liefert jedoch keinen signaturpflichtigen Code, sondern eine Zeichenkette, die der Nutzer selbst ausführt.

Die genutzten System-Tools, mshta.exe, cmd.exe, powershell.exe und conhost.exe, sind legitimate Microsoft-Komponenten mit gültigen Signaturen. Endpoint-Detection-and-Response-Lösungen (EDR) können auf Verhaltensebene verdächtige Muster erkennen, aber die Unterscheidung zwischen einem Administrator, der bewusst PowerShell ausführt, und einem getäuschten Nutzer ist technisch schwierig.

Microsoft beschreibt das Problem in seiner Analyse treffend: “ClickFix inverts the attack model. Instead of delivering malware to the victim, attackers convince victims to deliver it to themselves through legitimate Windows binaries that security tools have no reason to flag.” Dieser Ansatz umgeht E-Mail-Filter, Browser-Sicherheit, Datei-Sandboxen und viele EDR-Regeln gleichzeitig.

Ein weiteres Evasion-Element ist die Nutzung von Blockchain und Smart Contracts (EtherHiding) zur Payload-Auslieferung. Da Blockchain-Transaktionen nicht über traditionelle Blacklists blockiert werden können, ist diese Methode gegen URL-Filter resistent. Angreifer hinterlegen verschlüsselte Payloads in Smart Contracts und rufen diese mit legitimen Blockchain-API-Aufrufen ab.

ClickFix auf macOS und Linux: Keine Plattform ist sicher

Was als Windows-spezifische Technik begann, hat sich auf alle gängigen Betriebssysteme ausgeweitet. Microsoft dokumentierte im Juni 2025 eine ClickFix-Kampagne gegen macOS-Nutzer, die Atomic macOS Stealer (AMOS) über Terminal-Befehle installierte. Die Köder-Seite forderte macOS-Nutzer auf, ein Terminal zu öffnen und einen kopierten Befehl auszuführen, um ein “Sicherheitszertifikat zu installieren”.

Huntress bestätigte in seinem September 2025 Report, dass ClickFix-Varianten inzwischen auch Linux-spezifische Systemwerkzeuge ausnutzen. Gerade in Unternehmensumgebungen mit heterogenen Betriebssystemen stellt dies eine erhebliche Ausweitung der Angriffsfläche dar.

Für DACH-Unternehmen mit Mac-lastigen Kreativteams oder Linux-basierten Entwicklungsumgebungen bedeutet dies: Die verbreitete Annahme, Apple- oder Linux-Systeme seien gegenüber solchen Angriffen resistenter, ist im ClickFix-Zeitalter nicht mehr haltbar. Awareness-Schulungen und technische Gegenmaßnahmen müssen alle Plattformen abdecken.

DACH-Unternehmen im Visier: Die Bedrohungslage für Deutschland

Deutschland ist laut dem Darktrace Report 2026 das beliebteste Ziel für Cyberangriffe in ganz Europa. Deutsche Unternehmen erlebten durchschnittlich 1.223 Cyberangriffe pro Woche, das entspricht 175 Angriffen täglich. Bildungseinrichtungen waren mit 2.885 Angriffen pro Woche am stärksten betroffen, mehr als doppelt so viele wie der nationale Durchschnitt.

Der durch Cyberkriminalität verursachte Gesamtschaden in Deutschland beläuft sich laut Bitkom und BSI auf 289 Milliarden Euro für das Jahr 2025/2026. Davon entfällt ein wachsender Anteil auf Angriffe, die über Social-Engineering-Techniken wie ClickFix eingeleitet wurden. Das BKA registrierte 333.922 Cyberkriminalitätsfälle in Deutschland im Jahr 2025.

Besonders anfällig für ClickFix-Kampagnen sind Branchen mit hohem Anteil an Wissensarbeitern, die regelmäßig digitale Tools nutzen: Finanzdienstleistungen, Gesundheitswesen, Maschinenbau und öffentliche Verwaltung. In diesen Branchen sind Mitarbeiter es gewohnt, Software-Aufforderungen zu folgen, was die Erfolgsrate von ClickFix-Ködern erhöht.

Ein weiterer Faktor: 82,6 Prozent aller Phishing-E-Mails sind laut KnowBe4 inzwischen KI-generiert, was bedeutet, dass ClickFix-Kampagnen, die per E-Mail eingeleitet werden, immer überzeugender werden. Die Kombination aus KI-generiertem Social Engineering und ClickFix als Ausführungsmechanismus ist die gefährlichste Angriffskombination des Jahres 2026.

ClickFix vs. klassisches Phishing: Vergleich der Angriffsmethoden

MerkmalKlassisches PhishingClickFix
Ersterkennungsjahr1990erMärz 2024
Anteil Erstzugänge 202535%47%
Wachstum 2024-2025Stagnierend+517% (ESET)
Erkennung durch AV/EDRMittel (Anhang-Signaturen)Niedrig (keine Malware-Datei)
Betroffene PlattformenWindows, macOSWindows, macOS, Linux
Technische Vorkenntnisse Opfer nötigKeineMinimale (Run-Dialog öffnen)
Häufigste NutzlastMalware-Anhang, LinkLumma Stealer (51%)
Bypass-Rate klassischer E-Mail-Filter~30%Bis zu 90% (keine Anhänge)
Einsatz durch APT-GruppenHäufigZunehmend
MITRE ATT&CK-TechnikT1566 PhishingT1204.004 Malicious Copy and Paste

Erkennung und Abwehr: 8 konkrete Schutzmaßnahmen

Die gute Nachricht: ClickFix lässt sich mit einer Kombination aus technischen und organisatorischen Maßnahmen wirksam eindämmen. Die folgenden acht Empfehlungen basieren auf den Handlungsempfehlungen von Microsoft, Huntress und Palo Alto Networks Unit 42.

1. Security Awareness Training mit ClickFix-Szenarien. Mitarbeiter müssen konkret trainieren, wie ein ClickFix-Angriff aussieht. Simulationsübungen, die gefälschte CAPTCHA-Seiten, Browser-Update-Aufforderungen und Dokumentenfehler nachbilden, bauen die nötige Skepsis auf. Kein Sicherheitssystem kann menschliche Entscheidungen ersetzen.

2. PowerShell- und CMD-Zugriffsbeschränkung. Für die meisten Mitarbeiter besteht keine betriebliche Notwendigkeit, PowerShell oder den Run-Dialog zu nutzen. Group Policy Objects (GPOs) können den Zugriff auf diese Werkzeuge für Standard-Nutzer einschränken oder protokollieren. AppLocker und Windows Defender Application Control ermöglichen granulare Kontrolle.

3. AMSI-Monitoring und PowerShell-Protokollierung. Das Antimalware Scan Interface (AMSI) prüft PowerShell-Skripte vor der Ausführung. Vollständige PowerShell-Protokollierung (Script Block Logging, Module Logging) ermöglicht nachträgliche forensische Analyse selbst dann, wenn der Angriff die Erstbarrieren überwindet.

4. Behavioral Analytics und Process-Relationship-Monitoring. Huntress betont: “Wirksame Erkennung erfordert die Überwachung legitimer Systemtools, die durch Nutzerinteraktion missbraucht werden. Das macht Verhaltensanalyse und Process-Relationship-Monitoring zu unverzichtbaren Komponenten.” Suchen Sie nach dem Muster explorer.exe -> conhost.exe --headless als Erkennungssignal.

5. Web-Proxy mit Inhaltsfilterung. Viele ClickFix-Seiten nutzen bekannte Infrastrukturen. DNS-Filterung (DNS over HTTPS mit Blocklisten), Browser-Isolationstechnologie und Web-Proxies mit KI-basierter Inhaltsanalyse können ClickFix-Seiten vor dem Laden blockieren.

6. Clipboard-Monitoring. Spezialisierte Endpoint-Lösungen können den Inhalt der Zwischenablage auf verdächtige Befehlsmuster überwachen. Befehlsstrings, die mshta.exe, cmd.exe /c, powershell -enc oder obfuskierten Code enthalten, sollten automatisch geblockt und gemeldet werden.

7. Netzwerksegmentierung und Zero Trust. ClickFix zielt auf initiale Kompromittierung, anschließendes Lateral Movement ist der zweite Schritt. Mikrosegmentierung und Zero-Trust-Prinzipien begrenzen den Schaden, auch wenn ein Arbeitsplatz kompromittiert wird. Der Sophos-Befund von 3,40 Stunden bis zur AD-Kompromittierung zeigt, wie wichtig schnelle Eindämmung ist.

8. Incident Response Playbook für ClickFix. Unternehmen sollten spezifische Playbooks für ClickFix-Verdachtsfälle erstellen. Schlüsselelemente: sofortige Netzwerkisolation des betroffenen Systems, Zwischenablage-Forensik, Prozessbaum-Analyse und Suche nach geplanten Aufgaben oder Autostart-Einträgen.

KI beschleunigt ClickFix: Deepfakes und automatisierte Köder

Die Verbindung von ClickFix mit KI-gestützten Angriffsmethoden ist die besorgniserregendste Entwicklung im Jahr 2026. 82,6 Prozent aller Phishing-E-Mails sind bereits KI-generiert (KnowBe4). Deepfake-Angriffe auf Unternehmen stiegen um über 300 Prozent. ClickFix-Kampagnen profitieren von dieser Entwicklung doppelt.

Erstens werden die Köder-Seiten selbst mit KI überzeugender gestaltet. Statt generischer Fehlermeldungen erscheinen kontextspezifische, personalisierte Hinweise, die auf die besuchte Webseite, den genutzten Browser oder sogar den erkannten Unternehmenskontext zugeschnitten sind. KI kann aus öffentlich verfügbaren Daten (LinkedIn, Unternehmenswebseiten) Köder generieren, die wie interne IT-Kommunikation des Zielunternehmens wirken.

Zweitens ermöglicht KI die Automatisierung von Erstzugangskampagnen in einem Ausmaß, das manuell nicht möglich wäre. Angreifer können mit KI tausende Zielorganisationen analysieren, spezifische Köder generieren und Kampagnen vollautomatisch ausrollen. Der Center for Internet Security dokumentierte ClickFix als verantwortlich für mehr als ein Drittel aller Non-Malware-Alerts gegen US-amerikanische Behörden in H1 2025.

5 Prognosen für ClickFix 2026 und 2027

Basierend auf den aktuellen Wachstumsraten, den dokumentierten Angreifer-TTPs (Taktiken, Techniken, Prozeduren) und den Einschätzungen führender Sicherheitsunternehmen lassen sich fünf klare Prognosen für die weitere Entwicklung treffen.

Prognose 1: ClickFix wird 50% aller dokumentierten Erstzugänge überschreiten. Ausgehend von 47 Prozent in 2025 und den anhaltenden Wachstumsraten ist eine Überschreitung der 50-Prozent-Marke bis Ende 2026 wahrscheinlich. Recorded Future hat dies als sehr wahrscheinliches Szenario bewertet.

Prognose 2: Mobile Plattformen werden das nächste Ziel. Während ClickFix bisher hauptsächlich Desktop-Systeme trifft, werden mobile Varianten für iOS und Android erscheinen. Die technische Übertragung auf mobile Geräte, etwa über Shortcuts oder Automatisierungsapps, ist algorithmisch umsetzbar.

Prognose 3: Browser-Hersteller werden mit nativen Gegenmaßnahmen reagieren. Google Chrome und Microsoft Edge werden im Jahr 2026/2027 Warnmeldungen für Clipboard-Injection-Versuche einführen, ähnlich wie bei verdächtigen Download-Links. Erste Prototypen sind für Edge bereits dokumentiert.

Prognose 4: ClickFix wird der Standardzugangsweg für Ransomware-Gruppen. Derzeit nutzen Ransomware-Gruppen wie Qilin (15% Marktanteil), LockBit (12%) und Akira (9%) verschiedene Zugangsverfahren. ClickFix bietet aufgrund seiner Erkennungsresistenz klare Vorteile und dürfte sich als Standardverfahren etablieren.

Prognose 5: Deutschland wird ClickFix-spezifische BSI-Warnungen und NIS-2-Leitlinien erhalten. Das BSI hat begonnen, spezifische Warnungen für Angriffstechniken herauszugeben. Angesichts der Verbreitung von ClickFix in deutschen Unternehmensumgebungen ist eine spezifische BSI-Lageeinschätzung mit Handlungsempfehlungen bis Ende 2026 zu erwarten.

Verwandte Berichte und Hintergründe

Weiterführende Analysen zur aktuellen Bedrohungslage auf shattered.io:

Externe Quellen und weiterführende Ressourcen

Offizielle Analysen und technische Dokumentation:

FAQ: ClickFix-Angriffe in deutschen Unternehmen

Was ist ClickFix und wann tauchte es erstmals auf?

ClickFix ist eine Social-Engineering-Technik, bei der Opfer dazu verleitet werden, selbst einen Schadbefehl aus der Zwischenablage auszuführen. Die erste dokumentierte Beobachtung stammt aus dem März 2024. Das MITRE ATT&CK-Framework klassifiziert ClickFix unter T1204.004 “Malicious Copy and Paste”.

Warum ist ClickFix schwerer zu erkennen als klassische Malware?

ClickFix liefert keine Malware-Datei, die von Antivirusprogrammen erkannt werden könnte. Stattdessen führt das Opfer den Schadcode selbst aus, indem es legitime Windows-Tools wie mshta.exe, powershell.exe oder cmd.exe nutzt. Diese Tools sind digital signiert und werden von Sicherheitslösungen nicht pauschal geblockt.

Welche Branchen sind in Deutschland besonders gefährdet?

Besonders betroffen sind Branchen mit hohem Anteil an Wissensarbeitern: Finanzdienstleistungen, Gesundheitswesen, Bildungseinrichtungen (2.885 Angriffe pro Woche) und öffentliche Verwaltung. Auch Fertigungsunternehmen mit Digital-Transformation-Initiativen zählen zu häufigen Zielen.

Was ist die häufigste Nutzlast bei ClickFix-Angriffen?

Lumma Stealer ist laut Microsoft-Analyse für 51 Prozent aller ClickFix-Infektionen verantwortlich. Lumma stiehlt Browser-Zugangsdaten, Kryptowallet-Daten und Sitzungscookies. Weitere häufige Nutzlasten: AsyncRAT, NetSupport, Xworm, Vidar Stealer und DarkGate.

Ist ClickFix nur ein Problem für Windows-Nutzer?

Nein. Seit Mitte 2025 sind Varianten für macOS (Atomic macOS Stealer via Terminal-Befehle) und Linux dokumentiert. Huntress bestätigte im September 2025 die Ausweitung auf alle gängigen Betriebssysteme. Alle Unternehmensgeräte unabhängig vom Betriebssystem sind potenziell gefährdet.

Welche sofortigen Maßnahmen sind besonders wirksam?

Die effektivsten kurzfristigen Maßnahmen sind: Security Awareness Training mit realen ClickFix-Simulationen, Einschränkung von PowerShell- und Run-Dialog-Zugriff für Standard-Nutzer via GPO, sowie Implementierung von Behavioral Analytics, die auf den Prozessmuster explorer.exe -> conhost.exe --headless -> cmd.exe reagieren.

Was besagt die NIS-2-Richtlinie zu Social Engineering wie ClickFix?

NIS-2 verpflichtet betroffene Unternehmen (rund 29.500 in Deutschland) zu Risikomanagement, das auch Bedrohungen durch Social Engineering umfasst. Konkret fordert NIS-2 Artikel 21 Maßnahmen zur Sicherheit der Lieferkette, Mitarbeiterschulungen und Incident-Response-Kapazitäten, die alle direkt auf ClickFix-Abwehr anwendbar sind. Bei Verstößen drohen Bußgelder bis 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes.