{"id":245,"date":"2026-06-20T07:00:00","date_gmt":"2026-06-20T07:00:00","guid":{"rendered":"https:\/\/shattered.io\/de\/?p=245"},"modified":"2026-06-20T08:14:55","modified_gmt":"2026-06-20T08:14:55","slug":"clickfix-angriff-social-engineering-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/clickfix-angriff-social-engineering-2026\/","title":{"rendered":"ClickFix: 47% aller Cyberangriffe, 631% Anstieg in 6 Monaten [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Eine gef\u00e4lschte Cloudflare-Verifikationsseite erscheint. Der Nutzer klickt auf &#8220;Ich bin kein Roboter&#8221;. Ein Befehl landet in der Zwischenablage. Drei\u00dfig Sekunden sp\u00e4ter ist der Rechner kompromittiert, ohne dass eine einzige Schadsoftware per E-Mail-Anhang zugestellt wurde. Das ist ClickFix, und laut <strong>Microsoft 2025 Digital Defense Report<\/strong> ist diese Methode inzwischen f\u00fcr <strong>47 Prozent aller gemessenen Erstzug\u00e4nge<\/strong> in Unternehmensnetzwerken verantwortlich, mehr als klassisches Phishing mit 35 Prozent.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">ESET registrierte zwischen Ende 2024 und Mitte 2025 einen <strong>Anstieg von 517 Prozent<\/strong> bei ClickFix-Erkennungen. Huntress meldete in nur sechs Monaten eine <strong>Steigerung von 631 Prozent<\/strong> bei ClickFix-bezogenen Vorf\u00e4llen in betreuten Unternehmensumgebungen. Recorded Future bewertet in seiner Einsch\u00e4tzung vom M\u00e4rz 2026, dass ClickFix mit sehr hoher Wahrscheinlichkeit <strong>der dominante Erstangriffsvektoren des gesamten Jahres 2026<\/strong> bleiben wird. Dieses Analyse beleuchtet, wie die Methode funktioniert, warum sie so effektiv ist, und was DACH-Unternehmen konkret dagegen tun k\u00f6nnen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"was-ist-clickfix-die-neue-nummer-eins-bedrohung\">Was ist ClickFix? Die neue Nummer-eins-Bedrohung<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">ClickFix ist keine Malware im klassischen Sinne und kein Exploit gegen eine Softwarel\u00fccke. Es ist eine <strong>Social-Engineering-Technik<\/strong>, die Opfer dazu bringt, Schadcode selbst auszuf\u00fchren, indem sie legitime Systemprogramme des eigenen Betriebssystems nutzen. Der Name leitet sich von der Kernmechanik ab: Eine gef\u00e4lschte Webseite pr\u00e4sentiert ein Problem und bietet einen vermeintlichen &#8220;Fix&#8221; an.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das MITRE ATT&amp;CK-Framework klassifiziert ClickFix unter <strong>Technik T1204.004 &#8220;Malicious Copy and Paste&#8221;<\/strong> innerhalb der User-Execution-Kategorie. Diese Einordnung verdeutlicht das Kernprinzip: Der Nutzer f\u00fchrt den Angriff selbst durch. Anstatt Malware zuzustellen, liefern Angreifer Instruktionen. Das Ergebnis ist identisch, die Erkennungsrate durch klassische Sicherheitssoftware jedoch dramatisch geringer.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Seit der ersten dokumentierten Beobachtung im M\u00e4rz 2024 hat sich ClickFix von einer Randerscheinung zum meistgenutzten Erstangriffsmechanismus entwickelt. <strong>Blackpoint Cyber<\/strong> ermittelte, dass Fake-CAPTCHA- und ClickFix-Kampagnen zusammen <strong>58 Prozent aller identifizierbaren Vorf\u00e4lle<\/strong> im Jahr 2025 ausmachten, weil die Methode ein Kernproblem f\u00fcr Angreifer elegant l\u00f6st: Sicherheitsl\u00f6sungen erkennen b\u00f6swilliges Verhalten, nicht aber b\u00f6swillige Absichten eines Nutzers.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"die-5-stufige-angriffskette-wie-clickfix-funktioniert\">Die 5-stufige Angriffskette: Wie ClickFix funktioniert<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Angriff l\u00e4uft in einem konsistenten Muster ab, das Palo Alto Networks Unit 42 in f\u00fcnf Stufen dokumentiert hat. Das Verst\u00e4ndnis dieser Kette ist die Grundlage f\u00fcr jede wirksame Gegenma\u00dfnahme.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Stufe 1: Kompromittierter oder b\u00f6sartiger Kontaktpunkt.<\/strong> Das Opfer landet auf einer manipulierten legitimen Website, einer Malvertising-Seite, einer gef\u00e4lschten Tech-Support-Seite oder folgt einem Link aus einer Phishing-E-Mail. Die Seiten sind h\u00e4ufig t\u00e4uschend echt gestaltet und imitieren bekannte Dienste wie Cloudflare Turnstile, Google reCAPTCHA, Microsoft-Anmeldeseiten oder Okta-Login-Flows.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Stufe 2: Fake-Verifikationsaufforderung.<\/strong> JavaScript auf der Seite blendet eine Fehlermeldung oder Verifikationsanforderung ein. Typische Szenarien: &#8220;Ihr Browser kann dieses Dokument nicht anzeigen&#8221; mit Schaltfl\u00e4che &#8220;Fix It&#8221;, eine gef\u00e4lschte CAPTCHA-Seite die nach Abschluss eine Aktion fordert, oder eine angebliche Sicherheits\u00fcberpr\u00fcfung. Der Klick auf die Schaltfl\u00e4che kopiert automatisch einen Befehl in die Zwischenablage des Opfers.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Stufe 3: Clipboard-Hijacking und Ausf\u00fchrung.<\/strong> Der Nutzer wird angewiesen, die Tastenkombination Windows+R zu dr\u00fccken (Ausf\u00fchren-Dialog), Strg+V einzuf\u00fcgen und Enter zu dr\u00fccken, oder PowerShell zu \u00f6ffnen und den &#8220;Fix&#8221;-Befehl einzuf\u00fcgen. Huntress dokumentierte den typischen Windows-Prozesspfad: <code>explorer.exe<\/code> erzeugt <code>conhost.exe<\/code> mit dem Parameter <code>--headless<\/code>, das wiederum <code>cmd.exe<\/code> ausf\u00fchrt, ein Artefakt der Ausf\u00fchrung \u00fcber den Run-Dialog.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Stufe 4: Payload-Download.<\/strong> Der ausgef\u00fchrte Befehl ruft in der Regel <code>mshta.exe<\/code> auf, ein legitimes, von Microsoft signiertes Windows-Executable zur Ausf\u00fchrung von HTML-Anwendungen. Dieses l\u00e4dt einen Dropper von einer angreiferkontrollierten Domain, der wiederum die eigentliche Malware herunterl\u00e4dt. In manchen Varianten nutzen Angreifer die &#8220;EtherHiding&#8221;-Methode, bei der Blockchain-Smart-Contracts genutzt werden, um Payloads zu liefern und klassische URL-Blockierung zu umgehen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Stufe 5: Persistenz und Ausbreitung.<\/strong> Nach der Malware-Installation richtet das Programm \u00fcblicherweise eine geplante Aufgabe oder Registry-Eintr\u00e4ge f\u00fcr Persistenz ein. Je nach Payload folgen dann Credential-Diebstahl, Lateral Movement, Datenexfiltration oder die Installation weiterer Backdoors. Die mediane Zeit vom Erstzugang bis zur Kompromittierung von Active Directory lag 2026 laut Sophos Active Adversary Report bei <strong>nur 3,40 Stunden<\/strong>, 70 Prozent schneller als im Vorjahr.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"explosives-wachstum-631-mehr-faelle-in-nur-6-monaten\">Explosives Wachstum: 631% mehr F\u00e4lle in nur 6 Monaten<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Wachstumszahlen f\u00fcr ClickFix sind ohne Parallele in der j\u00fcngeren Geschichte der Cybersicherheit. W\u00e4hrend neue Angriffstechniken \u00fcblicherweise Jahre ben\u00f6tigen, um sich zu etablieren, hat ClickFix in weniger als 24 Monaten den Status des dominanten Erstangriffsvektors erreicht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Das IT-Sicherheitsunternehmen <strong>Huntress<\/strong> berichtete in seinem September 2025 erschienenen Bericht: &#8220;In den vergangenen sechs Monaten beobachteten wir einen Anstieg von 631 Prozent bei ClickFix-bezogenen Vorf\u00e4llen. Diese Technik hat sich von einer Windows-spezifischen Bedrohung zu einem plattform\u00fcbergreifenden Angriffsmechanismus entwickelt, der jetzt auch native macOS- und Linux-Funktionen ausnutzt.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">ESET-Forscher ermittelten gleichzeitig eine Wachstumsrate von <strong>517 Prozent zwischen Ende 2024 und Mitte 2025<\/strong>. Stormshield fasst es in seiner M\u00e4rz 2026 Analyse so zusammen: &#8220;ClickFix hat sich seit seiner ersten Beobachtung im M\u00e4rz 2024 mit einer Geschwindigkeit verbreitet, die selbst f\u00fcr die Cybersicherheitsbranche au\u00dfergew\u00f6hnlich ist. Die Technik trifft einen toten Winkel: Sie nutzt legitime Systemprozesse auf eine Weise, die f\u00fcr den Nutzer plausibel erscheint.&#8221;<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Recorded Future&#8217;s Insikt Group h\u00e4lt in ihrer <strong>M\u00e4rz-2026-Bewertung<\/strong> fest: &#8220;Mit sehr hoher Wahrscheinlichkeit wird ClickFix der dominante initiale Angriffsvektor f\u00fcr den Rest des Jahres 2026 bleiben. Die Technik bietet Angreifern ein optimales Kosten-Nutzen-Verh\u00e4ltnis: geringe Entwicklungskosten, hohe Erfolgsrate, minimales Erkennungsrisiko.&#8221;<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"clickfix-2026-die-wichtigsten-statistiken-im-ueberblick\">ClickFix 2026: Die wichtigsten Statistiken im \u00dcberblick<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Metrik<\/th><th>Wert<\/th><th>Quelle<\/th><\/tr><\/thead><tbody><tr><td>Anteil an allen Erstzug\u00e4ngen<\/td><td>47%<\/td><td>Microsoft Digital Defense Report 2025<\/td><\/tr><tr><td>Wachstum H1 2025 vs. H2 2024<\/td><td>+517%<\/td><td>ESET, 2025<\/td><\/tr><tr><td>Wachstum in 6 Monaten (Unternehmensumgebungen)<\/td><td>+631%<\/td><td>Huntress, Sep. 2025<\/td><\/tr><tr><td>Anteil an identifizierbaren Vorf\u00e4llen 2025<\/td><td>58%<\/td><td>Blackpoint Cyber, Apr. 2026<\/td><\/tr><tr><td>H\u00e4ufigste Nutzlast (Anteil)<\/td><td>Lumma Stealer (51%)<\/td><td>Microsoft, 2025<\/td><\/tr><tr><td>Klassisches Phishing als Erstvektor<\/td><td>35%<\/td><td>Microsoft Digital Defense Report 2025<\/td><\/tr><tr><td>Prognose f\u00fcr 2026<\/td><td>Dominanter Vektor bleibt<\/td><td>Recorded Future Insikt Group, Mrz. 2026<\/td><\/tr><tr><td>Betroffene Plattformen<\/td><td>Windows, macOS, Linux<\/td><td>Microsoft, Huntress 2026<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"welche-malware-clickfix-verbreitet\">Welche Malware ClickFix verbreitet<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">ClickFix ist kein eigenst\u00e4ndiges Schadprogramm, sondern ein Zustellmechanismus. Was nach der Ausf\u00fchrung des eingeschleusten Befehls landet, variiert je nach Kampagne und Angreifer. Microsoft Security hat in seiner <strong>August-2025-Analyse<\/strong> eine detaillierte Aufstellung der h\u00e4ufigsten Nutzlasten ver\u00f6ffentlicht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Infostealers<\/strong> machen die h\u00e4ufigste Nutzlastkategorie aus. Lumma Stealer allein ist laut Microsoft f\u00fcr <strong>51 Prozent aller ClickFix-Infektionen<\/strong> verantwortlich. Lumma stiehlt Browser-Anmeldedaten, Kryptowallet-Daten, Sitzungscookies und Authentifizierungstoken. Weitere dokumentierte Infostealers: Vidar Stealer, SectopRAT und Atomic macOS Stealer (AMOS) f\u00fcr Apple-Ger\u00e4te.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Remote-Access-Trojaner (RATs)<\/strong> sind die zweith\u00e4ufigste Kategorie und erm\u00f6glichen Angreifern dauerhaften, interaktiven Zugang zu kompromittierten Systemen. Dokumentiert via ClickFix: AsyncRAT, NetSupport RAT und Xworm. Diese Tools erlauben Tastenprotokollierung, Screenshot-Erfassung, Datei\u00fcbertragung und vollst\u00e4ndige Remote-Kontrolle des infizierten Systems.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Loader und Droppers<\/strong> wie Latrodectus und MintsLoader sind mehrstufige Bedrohungen: Sie laden nach der Installation zus\u00e4tzliche Malware nach, oft je nach Wertigkeitseinsch\u00e4tzung des kompromittierten Systems durch den Angreifer. DarkGate als Multi-Stage-Bedrohung verbindet Infostealer-F\u00e4higkeiten mit RAT-Funktionen und Cryptomining-Komponenten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Rootkits<\/strong> bilden die gef\u00e4hrlichste Kategorie: Eine modifizierte Variante des Open-Source-Rootkits r77 wurde in ClickFix-Kampagnen eingesetzt, um tiefen und schwer erkennbaren Zugang zu infizieren Systemen zu gew\u00e4hrleisten. Das HHS-Sicherheitsalert (US-amerikanisches Gesundheitsministerium) best\u00e4tigt Kampagnen mit dem Ziel, \u00fcber ClickFix Zugang zu kritischen Infrastrukturen im Gesundheitsbereich zu erlangen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"die-haeufigsten-clickfix-varianten-und-koeder\">Die h\u00e4ufigsten ClickFix-Varianten und K\u00f6der<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Angreifer setzen eine wachsende Zahl an K\u00f6derszenarien ein, die auf unterschiedliche Opfergruppen zugeschnitten sind. Palo Alto Networks Unit 42 dokumentierte in seiner <strong>2025-Analyse<\/strong> die Zustellwege und K\u00f6dertypen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Gef\u00e4lschte CAPTCHA-Seiten<\/strong> sind der h\u00e4ufigste K\u00f6der. Die Seiten imitieren Cloudflare Turnstile, Google reCAPTCHA oder Microsoft-Authentifizierungsflows. Nach dem vermeintlichen Abschluss der Verifikation erscheint eine Anweisung, einen &#8220;Sicherheitsschritt&#8221; durch Ausf\u00fchren eines kopierten Befehls abzuschlie\u00dfen. Diese Variante ist besonders effektiv, weil CAPTCHA-L\u00f6sung f\u00fcr Nutzer routinem\u00e4\u00dfig ist und kaum Misstrauen weckt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Browser-Update-Benachrichtigungen<\/strong> imitieren echte Update-Dialoge von Chrome, Firefox oder Edge. Die SocGholish-Malware-Familie nutzt diesen K\u00f6der mit besonders authentisch gestalteten Dialogen, oft verbreitet \u00fcber kompromittierte WordPress-Websites mit hohem Besucheraufkommen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Dokument-Darstellungsprobleme<\/strong> t\u00e4uschen vor, dass ein PDF oder Office-Dokument nicht korrekt geladen werden kann. Der &#8220;Fix&#8221; ist die Ausf\u00fchrung eines Befehls zur &#8220;Schriftinstallation&#8221; oder &#8220;Codec-Aktualisierung&#8221;. Diese Variante zielt besonders auf Berufsumgebungen ab, wo Dokumentenzugang allt\u00e4glich und dringend ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>YouTube-Tutorials und SEO-vergiftete Suchergebnisse<\/strong> locken technisch affine Nutzer, die nach L\u00f6sungen f\u00fcr Software-Probleme suchen. In diesen Szenarien erscheinen Anweisungen zur manuellen Ausf\u00fchrung von Befehlen als Teil einer legitimen Anleitung, was kritisches Hinterfragen deutlich reduziert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im Mai 2026 nutzten Angreifer eine kritische <strong>SQL-Injection-L\u00fccke in Ghost CMS (CVE-2026-10956)<\/strong>, um tausende Websites zu kompromittieren und Besucher dieser Seiten mit ClickFix-Inhalten zu konfrontieren. Der Angriff kombinierte eine Software-Schwachstelle mit ClickFix als Zustellmechanismus und weitete so die Opferbasis erheblich aus.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"technische-analyse-warum-klassische-sicherheitsloesungen-versagen\">Technische Analyse: Warum klassische Sicherheitsl\u00f6sungen versagen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Der Kern der Effektivit\u00e4t von ClickFix liegt in einer einfachen technischen Tatsache: <strong>Es gibt keine Malware-Datei, die erkannt werden m\u00fcsste.<\/strong> Klassische Antivirus-Software erkennt signaturbasiert bekannte Schadprogramme. ClickFix liefert jedoch keinen signaturpflichtigen Code, sondern eine Zeichenkette, die der Nutzer selbst ausf\u00fchrt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Die genutzten System-Tools, <code>mshta.exe<\/code>, <code>cmd.exe<\/code>, <code>powershell.exe<\/code> und <code>conhost.exe<\/code>, sind legitimate Microsoft-Komponenten mit g\u00fcltigen Signaturen. Endpoint-Detection-and-Response-L\u00f6sungen (EDR) k\u00f6nnen auf Verhaltensebene verd\u00e4chtige Muster erkennen, aber die Unterscheidung zwischen einem Administrator, der bewusst PowerShell ausf\u00fchrt, und einem get\u00e4uschten Nutzer ist technisch schwierig.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Microsoft beschreibt das Problem in seiner Analyse treffend: &#8220;ClickFix inverts the attack model. Instead of delivering malware to the victim, attackers convince victims to deliver it to themselves through legitimate Windows binaries that security tools have no reason to flag.&#8221; Dieser Ansatz umgeht E-Mail-Filter, Browser-Sicherheit, Datei-Sandboxen und viele EDR-Regeln gleichzeitig.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein weiteres Evasion-Element ist die Nutzung von <strong>Blockchain und Smart Contracts<\/strong> (EtherHiding) zur Payload-Auslieferung. Da Blockchain-Transaktionen nicht \u00fcber traditionelle Blacklists blockiert werden k\u00f6nnen, ist diese Methode gegen URL-Filter resistent. Angreifer hinterlegen verschl\u00fcsselte Payloads in Smart Contracts und rufen diese mit legitimen Blockchain-API-Aufrufen ab.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"clickfix-auf-macos-und-linux-keine-plattform-ist-sicher\">ClickFix auf macOS und Linux: Keine Plattform ist sicher<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Was als Windows-spezifische Technik begann, hat sich auf alle g\u00e4ngigen Betriebssysteme ausgeweitet. Microsoft dokumentierte im <strong>Juni 2025<\/strong> eine ClickFix-Kampagne gegen macOS-Nutzer, die Atomic macOS Stealer (AMOS) \u00fcber Terminal-Befehle installierte. Die K\u00f6der-Seite forderte macOS-Nutzer auf, ein Terminal zu \u00f6ffnen und einen kopierten Befehl auszuf\u00fchren, um ein &#8220;Sicherheitszertifikat zu installieren&#8221;.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Huntress best\u00e4tigte in seinem September 2025 Report, dass ClickFix-Varianten inzwischen auch Linux-spezifische Systemwerkzeuge ausnutzen. Gerade in Unternehmensumgebungen mit heterogenen Betriebssystemen stellt dies eine erhebliche Ausweitung der Angriffsfl\u00e4che dar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">F\u00fcr DACH-Unternehmen mit Mac-lastigen Kreativteams oder Linux-basierten Entwicklungsumgebungen bedeutet dies: Die verbreitete Annahme, Apple- oder Linux-Systeme seien gegen\u00fcber solchen Angriffen resistenter, ist im ClickFix-Zeitalter nicht mehr haltbar. Awareness-Schulungen und technische Gegenma\u00dfnahmen m\u00fcssen alle Plattformen abdecken.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"dach-unternehmen-im-visier-die-bedrohungslage-fuer-deutschland\">DACH-Unternehmen im Visier: Die Bedrohungslage f\u00fcr Deutschland<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Deutschland ist laut dem <strong>Darktrace Report 2026<\/strong> das beliebteste Ziel f\u00fcr Cyberangriffe in ganz Europa. Deutsche Unternehmen erlebten durchschnittlich <strong>1.223 Cyberangriffe pro Woche<\/strong>, das entspricht 175 Angriffen t\u00e4glich. Bildungseinrichtungen waren mit 2.885 Angriffen pro Woche am st\u00e4rksten betroffen, mehr als doppelt so viele wie der nationale Durchschnitt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Der durch Cyberkriminalit\u00e4t verursachte Gesamtschaden in Deutschland bel\u00e4uft sich laut Bitkom und BSI auf <strong>289 Milliarden Euro<\/strong> f\u00fcr das Jahr 2025\/2026. Davon entf\u00e4llt ein wachsender Anteil auf Angriffe, die \u00fcber Social-Engineering-Techniken wie ClickFix eingeleitet wurden. Das BKA registrierte <strong>333.922 Cyberkriminalit\u00e4tsf\u00e4lle<\/strong> in Deutschland im Jahr 2025.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Besonders anf\u00e4llig f\u00fcr ClickFix-Kampagnen sind Branchen mit hohem Anteil an Wissensarbeitern, die regelm\u00e4\u00dfig digitale Tools nutzen: Finanzdienstleistungen, Gesundheitswesen, Maschinenbau und \u00f6ffentliche Verwaltung. In diesen Branchen sind Mitarbeiter es gewohnt, Software-Aufforderungen zu folgen, was die Erfolgsrate von ClickFix-K\u00f6dern erh\u00f6ht.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ein weiterer Faktor: <strong>82,6 Prozent aller Phishing-E-Mails<\/strong> sind laut KnowBe4 inzwischen KI-generiert, was bedeutet, dass ClickFix-Kampagnen, die per E-Mail eingeleitet werden, immer \u00fcberzeugender werden. Die Kombination aus KI-generiertem Social Engineering und ClickFix als Ausf\u00fchrungsmechanismus ist die gef\u00e4hrlichste Angriffskombination des Jahres 2026.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"clickfix-vs-klassisches-phishing-vergleich-der-angriffsmethoden\">ClickFix vs. klassisches Phishing: Vergleich der Angriffsmethoden<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Merkmal<\/th><th>Klassisches Phishing<\/th><th>ClickFix<\/th><\/tr><\/thead><tbody><tr><td>Ersterkennungsjahr<\/td><td>1990er<\/td><td>M\u00e4rz 2024<\/td><\/tr><tr><td>Anteil Erstzug\u00e4nge 2025<\/td><td>35%<\/td><td>47%<\/td><\/tr><tr><td>Wachstum 2024-2025<\/td><td>Stagnierend<\/td><td>+517% (ESET)<\/td><\/tr><tr><td>Erkennung durch AV\/EDR<\/td><td>Mittel (Anhang-Signaturen)<\/td><td>Niedrig (keine Malware-Datei)<\/td><\/tr><tr><td>Betroffene Plattformen<\/td><td>Windows, macOS<\/td><td>Windows, macOS, Linux<\/td><\/tr><tr><td>Technische Vorkenntnisse Opfer n\u00f6tig<\/td><td>Keine<\/td><td>Minimale (Run-Dialog \u00f6ffnen)<\/td><\/tr><tr><td>H\u00e4ufigste Nutzlast<\/td><td>Malware-Anhang, Link<\/td><td>Lumma Stealer (51%)<\/td><\/tr><tr><td>Bypass-Rate klassischer E-Mail-Filter<\/td><td>~30%<\/td><td>Bis zu 90% (keine Anh\u00e4nge)<\/td><\/tr><tr><td>Einsatz durch APT-Gruppen<\/td><td>H\u00e4ufig<\/td><td>Zunehmend<\/td><\/tr><tr><td>MITRE ATT&#038;CK-Technik<\/td><td>T1566 Phishing<\/td><td>T1204.004 Malicious Copy and Paste<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"erkennung-und-abwehr-8-konkrete-schutzmassnahmen\">Erkennung und Abwehr: 8 konkrete Schutzma\u00dfnahmen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die gute Nachricht: ClickFix l\u00e4sst sich mit einer Kombination aus technischen und organisatorischen Ma\u00dfnahmen wirksam eind\u00e4mmen. Die folgenden acht Empfehlungen basieren auf den Handlungsempfehlungen von Microsoft, Huntress und Palo Alto Networks Unit 42.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>1. Security Awareness Training mit ClickFix-Szenarien.<\/strong> Mitarbeiter m\u00fcssen konkret trainieren, wie ein ClickFix-Angriff aussieht. Simulations\u00fcbungen, die gef\u00e4lschte CAPTCHA-Seiten, Browser-Update-Aufforderungen und Dokumentenfehler nachbilden, bauen die n\u00f6tige Skepsis auf. Kein Sicherheitssystem kann menschliche Entscheidungen ersetzen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>2. PowerShell- und CMD-Zugriffsbeschr\u00e4nkung.<\/strong> F\u00fcr die meisten Mitarbeiter besteht keine betriebliche Notwendigkeit, PowerShell oder den Run-Dialog zu nutzen. Group Policy Objects (GPOs) k\u00f6nnen den Zugriff auf diese Werkzeuge f\u00fcr Standard-Nutzer einschr\u00e4nken oder protokollieren. AppLocker und Windows Defender Application Control erm\u00f6glichen granulare Kontrolle.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>3. AMSI-Monitoring und PowerShell-Protokollierung.<\/strong> Das Antimalware Scan Interface (AMSI) pr\u00fcft PowerShell-Skripte vor der Ausf\u00fchrung. Vollst\u00e4ndige PowerShell-Protokollierung (Script Block Logging, Module Logging) erm\u00f6glicht nachtr\u00e4gliche forensische Analyse selbst dann, wenn der Angriff die Erstbarrieren \u00fcberwindet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>4. Behavioral Analytics und Process-Relationship-Monitoring.<\/strong> Huntress betont: &#8220;Wirksame Erkennung erfordert die \u00dcberwachung legitimer Systemtools, die durch Nutzerinteraktion missbraucht werden. Das macht Verhaltensanalyse und Process-Relationship-Monitoring zu unverzichtbaren Komponenten.&#8221; Suchen Sie nach dem Muster <code>explorer.exe -> conhost.exe --headless<\/code> als Erkennungssignal.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>5. Web-Proxy mit Inhaltsfilterung.<\/strong> Viele ClickFix-Seiten nutzen bekannte Infrastrukturen. DNS-Filterung (DNS over HTTPS mit Blocklisten), Browser-Isolationstechnologie und Web-Proxies mit KI-basierter Inhaltsanalyse k\u00f6nnen ClickFix-Seiten vor dem Laden blockieren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>6. Clipboard-Monitoring.<\/strong> Spezialisierte Endpoint-L\u00f6sungen k\u00f6nnen den Inhalt der Zwischenablage auf verd\u00e4chtige Befehlsmuster \u00fcberwachen. Befehlsstrings, die <code>mshta.exe<\/code>, <code>cmd.exe \/c<\/code>, <code>powershell -enc<\/code> oder obfuskierten Code enthalten, sollten automatisch geblockt und gemeldet werden.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>7. Netzwerksegmentierung und Zero Trust.<\/strong> ClickFix zielt auf initiale Kompromittierung, anschlie\u00dfendes Lateral Movement ist der zweite Schritt. Mikrosegmentierung und Zero-Trust-Prinzipien begrenzen den Schaden, auch wenn ein Arbeitsplatz kompromittiert wird. Der Sophos-Befund von 3,40 Stunden bis zur AD-Kompromittierung zeigt, wie wichtig schnelle Eind\u00e4mmung ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>8. Incident Response Playbook f\u00fcr ClickFix.<\/strong> Unternehmen sollten spezifische Playbooks f\u00fcr ClickFix-Verdachtsf\u00e4lle erstellen. Schl\u00fcsselelemente: sofortige Netzwerkisolation des betroffenen Systems, Zwischenablage-Forensik, Prozessbaum-Analyse und Suche nach geplanten Aufgaben oder Autostart-Eintr\u00e4gen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"ki-beschleunigt-clickfix-deepfakes-und-automatisierte-koeder\">KI beschleunigt ClickFix: Deepfakes und automatisierte K\u00f6der<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Verbindung von ClickFix mit KI-gest\u00fctzten Angriffsmethoden ist die besorgniserregendste Entwicklung im Jahr 2026. <strong>82,6 Prozent aller Phishing-E-Mails<\/strong> sind bereits KI-generiert (KnowBe4). Deepfake-Angriffe auf Unternehmen stiegen um \u00fcber 300 Prozent. ClickFix-Kampagnen profitieren von dieser Entwicklung doppelt.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Erstens werden die K\u00f6der-Seiten selbst mit KI \u00fcberzeugender gestaltet. Statt generischer Fehlermeldungen erscheinen kontextspezifische, personalisierte Hinweise, die auf die besuchte Webseite, den genutzten Browser oder sogar den erkannten Unternehmenskontext zugeschnitten sind. KI kann aus \u00f6ffentlich verf\u00fcgbaren Daten (LinkedIn, Unternehmenswebseiten) K\u00f6der generieren, die wie interne IT-Kommunikation des Zielunternehmens wirken.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Zweitens erm\u00f6glicht KI die <strong>Automatisierung von Erstzugangskampagnen<\/strong> in einem Ausma\u00df, das manuell nicht m\u00f6glich w\u00e4re. Angreifer k\u00f6nnen mit KI tausende Zielorganisationen analysieren, spezifische K\u00f6der generieren und Kampagnen vollautomatisch ausrollen. Der Center for Internet Security dokumentierte ClickFix als verantwortlich f\u00fcr <strong>mehr als ein Drittel aller Non-Malware-Alerts<\/strong> gegen US-amerikanische Beh\u00f6rden in H1 2025.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-prognosen-fuer-clickfix-2026-und-2027\">5 Prognosen f\u00fcr ClickFix 2026 und 2027<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Basierend auf den aktuellen Wachstumsraten, den dokumentierten Angreifer-TTPs (Taktiken, Techniken, Prozeduren) und den Einsch\u00e4tzungen f\u00fchrender Sicherheitsunternehmen lassen sich f\u00fcnf klare Prognosen f\u00fcr die weitere Entwicklung treffen.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Prognose 1: ClickFix wird 50% aller dokumentierten Erstzug\u00e4nge \u00fcberschreiten.<\/strong> Ausgehend von 47 Prozent in 2025 und den anhaltenden Wachstumsraten ist eine \u00dcberschreitung der 50-Prozent-Marke bis Ende 2026 wahrscheinlich. Recorded Future hat dies als sehr wahrscheinliches Szenario bewertet.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Prognose 2: Mobile Plattformen werden das n\u00e4chste Ziel.<\/strong> W\u00e4hrend ClickFix bisher haupts\u00e4chlich Desktop-Systeme trifft, werden mobile Varianten f\u00fcr iOS und Android erscheinen. Die technische \u00dcbertragung auf mobile Ger\u00e4te, etwa \u00fcber Shortcuts oder Automatisierungsapps, ist algorithmisch umsetzbar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Prognose 3: Browser-Hersteller werden mit nativen Gegenma\u00dfnahmen reagieren.<\/strong> Google Chrome und Microsoft Edge werden im Jahr 2026\/2027 Warnmeldungen f\u00fcr Clipboard-Injection-Versuche einf\u00fchren, \u00e4hnlich wie bei verd\u00e4chtigen Download-Links. Erste Prototypen sind f\u00fcr Edge bereits dokumentiert.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Prognose 4: ClickFix wird der Standardzugangsweg f\u00fcr Ransomware-Gruppen.<\/strong> Derzeit nutzen Ransomware-Gruppen wie Qilin (15% Marktanteil), LockBit (12%) und Akira (9%) verschiedene Zugangsverfahren. ClickFix bietet aufgrund seiner Erkennungsresistenz klare Vorteile und d\u00fcrfte sich als Standardverfahren etablieren.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Prognose 5: Deutschland wird ClickFix-spezifische BSI-Warnungen und NIS-2-Leitlinien erhalten.<\/strong> Das BSI hat begonnen, spezifische Warnungen f\u00fcr Angriffstechniken herauszugeben. Angesichts der Verbreitung von ClickFix in deutschen Unternehmensumgebungen ist eine spezifische BSI-Lageeinsch\u00e4tzung mit Handlungsempfehlungen bis Ende 2026 zu erwarten.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"verwandte-berichte-und-hintergruende\">Verwandte Berichte und Hintergr\u00fcnde<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Weiterf\u00fchrende Analysen zur aktuellen Bedrohungslage auf shattered.io:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/de\/lumma-stealer-resurgence-2026\/\">Lumma Stealer: 394.000 Ger\u00e4te kompromittiert, das h\u00e4ufigste ClickFix-Payload [2026]<\/a><\/li>\n<li><a href=\"\/de\/infostealer-malware-1-8b-credentials\/\">Infostealers: 1,8 Milliarden Zugangsdaten gestohlen in 2025 [2026]<\/a><\/li>\n<li><a href=\"\/de\/ai-cyberattacks-2026\/\">KI-gest\u00fctzte Cyberangriffe: 90% autonom, 40.000 Schwachstellen entdeckt [2026]<\/a><\/li>\n<li><a href=\"\/de\/bka-cybercrime-bericht-2025\/\">BKA Cybercrime-Bericht 2025: 333.922 F\u00e4lle, 202 Mrd. Euro Schaden<\/a><\/li>\n<li><a href=\"\/de\/phishing-angriffe\/\">Phishing-Angriffe erkennen und richtig reagieren: Praxis-Leitfaden<\/a><\/li>\n<li><a href=\"\/de\/security\/\">Sicherheits-Ratgeber: Alle Themen zur Cybersicherheit im \u00dcberblick<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"externe-quellen-und-weiterfuehrende-ressourcen\">Externe Quellen und weiterf\u00fchrende Ressourcen<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Offizielle Analysen und technische Dokumentation:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/08\/21\/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique\/\" rel=\"noopener noreferrer\" target=\"_blank\">Microsoft Security Blog: Think before you Click(Fix) \u2013 Technische ClickFix-Analyse (Aug. 2025)<\/a><\/li>\n<li><a href=\"https:\/\/attack.mitre.org\/techniques\/T1204\/004\/\" rel=\"noopener noreferrer\" target=\"_blank\">MITRE ATT&#038;CK: T1204.004 \u2013 Malicious Copy and Paste (offizielle Klassifizierung)<\/a><\/li>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/preventing-clickfix-attack-vector\/\" rel=\"noopener noreferrer\" target=\"_blank\">Palo Alto Networks Unit 42: Preventing the ClickFix Attack Vector (2025)<\/a><\/li>\n<li><a href=\"https:\/\/www.bsi.bund.de\" rel=\"noopener noreferrer\" target=\"_blank\">BSI \u2013 Bundesamt f\u00fcr Sicherheit in der Informationstechnik: Aktuelle Warnmeldungen<\/a><\/li>\n<li><a href=\"https:\/\/www.huntress.com\/blog\/dont-sweat-clickfix-techniques\" rel=\"noopener noreferrer\" target=\"_blank\">Huntress: Don&#8217;t Sweat ClickFix \u2013 Technische Analyse mit Prozessbaum-Forensik (Sep. 2025)<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"faq-clickfix-angriffe-in-deutschen-unternehmen\">FAQ: ClickFix-Angriffe in deutschen Unternehmen<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-clickfix-und-wann-tauchte-es-erstmals-auf\">Was ist ClickFix und wann tauchte es erstmals auf?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">ClickFix ist eine Social-Engineering-Technik, bei der Opfer dazu verleitet werden, selbst einen Schadbefehl aus der Zwischenablage auszuf\u00fchren. Die erste dokumentierte Beobachtung stammt aus dem M\u00e4rz 2024. Das MITRE ATT&amp;CK-Framework klassifiziert ClickFix unter T1204.004 &#8220;Malicious Copy and Paste&#8221;.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"warum-ist-clickfix-schwerer-zu-erkennen-als-klassische-malware\">Warum ist ClickFix schwerer zu erkennen als klassische Malware?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">ClickFix liefert keine Malware-Datei, die von Antivirusprogrammen erkannt werden k\u00f6nnte. Stattdessen f\u00fchrt das Opfer den Schadcode selbst aus, indem es legitime Windows-Tools wie <code>mshta.exe<\/code>, <code>powershell.exe<\/code> oder <code>cmd.exe<\/code> nutzt. Diese Tools sind digital signiert und werden von Sicherheitsl\u00f6sungen nicht pauschal geblockt.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-branchen-sind-in-deutschland-besonders-gefaehrdet\">Welche Branchen sind in Deutschland besonders gef\u00e4hrdet?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Besonders betroffen sind Branchen mit hohem Anteil an Wissensarbeitern: Finanzdienstleistungen, Gesundheitswesen, Bildungseinrichtungen (2.885 Angriffe pro Woche) und \u00f6ffentliche Verwaltung. Auch Fertigungsunternehmen mit Digital-Transformation-Initiativen z\u00e4hlen zu h\u00e4ufigen Zielen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-ist-die-haeufigste-nutzlast-bei-clickfix-angriffen\">Was ist die h\u00e4ufigste Nutzlast bei ClickFix-Angriffen?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Lumma Stealer ist laut Microsoft-Analyse f\u00fcr 51 Prozent aller ClickFix-Infektionen verantwortlich. Lumma stiehlt Browser-Zugangsdaten, Kryptowallet-Daten und Sitzungscookies. Weitere h\u00e4ufige Nutzlasten: AsyncRAT, NetSupport, Xworm, Vidar Stealer und DarkGate.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"ist-clickfix-nur-ein-problem-fuer-windows-nutzer\">Ist ClickFix nur ein Problem f\u00fcr Windows-Nutzer?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Nein. Seit Mitte 2025 sind Varianten f\u00fcr macOS (Atomic macOS Stealer via Terminal-Befehle) und Linux dokumentiert. Huntress best\u00e4tigte im September 2025 die Ausweitung auf alle g\u00e4ngigen Betriebssysteme. Alle Unternehmensger\u00e4te unabh\u00e4ngig vom Betriebssystem sind potenziell gef\u00e4hrdet.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"welche-sofortigen-massnahmen-sind-besonders-wirksam\">Welche sofortigen Ma\u00dfnahmen sind besonders wirksam?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die effektivsten kurzfristigen Ma\u00dfnahmen sind: Security Awareness Training mit realen ClickFix-Simulationen, Einschr\u00e4nkung von PowerShell- und Run-Dialog-Zugriff f\u00fcr Standard-Nutzer via GPO, sowie Implementierung von Behavioral Analytics, die auf den Prozessmuster <code>explorer.exe -> conhost.exe --headless -> cmd.exe<\/code> reagieren.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"was-besagt-die-nis-2-richtlinie-zu-social-engineering-wie-clickfix\">Was besagt die NIS-2-Richtlinie zu Social Engineering wie ClickFix?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">NIS-2 verpflichtet betroffene Unternehmen (rund 29.500 in Deutschland) zu Risikomanagement, das auch Bedrohungen durch Social Engineering umfasst. Konkret fordert NIS-2 Artikel 21 Ma\u00dfnahmen zur Sicherheit der Lieferkette, Mitarbeiterschulungen und Incident-Response-Kapazit\u00e4ten, die alle direkt auf ClickFix-Abwehr anwendbar sind. Bei Verst\u00f6\u00dfen drohen Bu\u00dfgelder bis 10 Millionen Euro oder 2 Prozent des globalen Jahresumsatzes.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine gef\u00e4lschte Cloudflare-Verifikationsseite erscheint. Der Nutzer klickt auf &#8220;Ich bin kein Roboter&#8221;. Ein Befehl landet in der Zwischenablage. Drei\u00dfig Sekunden sp\u00e4ter ist der Rechner kompromittiert, ohne dass eine einzige Schadsoftware\u2026<\/p>\n","protected":false},"author":6,"featured_media":246,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-245","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/245","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/comments?post=245"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/245\/revisions"}],"predecessor-version":[{"id":247,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/posts\/245\/revisions\/247"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media\/246"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/media?parent=245"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/categories?post=245"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/de\/wp-json\/wp\/v2\/tags?post=245"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}