Zum Inhalt springen
NEWS
IT-SicherheitStand: 7. Juli 2026

ClickFix: Wie gefälschte CAPTCHA-Abfragen Mitarbeitende zum Malware-Start verleiten

Eine harmlos wirkende Seite meldet: „Bestätigen Sie, dass Sie kein Roboter sind.“ Genau dieser vertraute Moment wird inzwischen ausgenutzt. Unter dem Namen ClickFix verbreitet sich eine Angriffsmethode, bei der Beschäftigte nicht auf einen Schadlink klicken, sondern den Schadcode mit eigenen Händen starten. Weil das Opfer selbst aktiv wird, greifen viele klassische Schutzmechanismen nicht. Für kleine und mittlere Unternehmen ist das ein wachsendes Risiko, das jeden Arbeitsplatz betrifft.

Was steckt hinter ClickFix?

ClickFix ist eine Form des Social Engineering, also der gezielten Manipulation von Menschen. Statt eine Datei einzuschleusen, präsentieren Angreifer eine gefälschte Überprüfungsseite, die seriösen Diensten wie Cloudflare oder Google reCAPTCHA täuschend ähnlich sieht. Der Aufbau soll möglichst wenig Misstrauen wecken und eine eingeübte Routine auslösen: schnell bestätigen, weitermachen.

Klickt die Person auf „Ich bin kein Roboter“, wird im Hintergrund unbemerkt ein Befehl in die Zwischenablage kopiert. Anschließend erscheint eine simple Anleitung, etwa: Drücken Sie die Tastenkombination Windows + R, dann Windows + V und zuletzt die Eingabetaste. Was wie ein letzter Verifizierungsschritt aussieht, ist in Wahrheit die Ausführung eines schädlichen PowerShell-Befehls über das Windows-Ausführen-Fenster.

Dieser Befehl lädt typischerweise Schadsoftware nach, beispielsweise Programme zum Diebstahl von Zugangsdaten oder Werkzeuge für den dauerhaften Fernzugriff. Solche gestohlenen Anmeldedaten sind oft der Einstieg für Konto-Übernahmen oder größere Angriffe.

FileFix: die Weiterentwicklung

Sicherheitsforscher haben mit FileFix eine Variante beschrieben, die noch einen Schritt weitergeht. Statt des Ausführen-Fensters wird hier der Windows-Datei-Explorer genutzt. Wenig bekannt ist, dass die Adresszeile des Explorers nicht nur Dateipfade akzeptiert, sondern auch Systembefehle ausführen kann. Das Opfer wird unter einem Vorwand dazu gebracht, einen vermeintlichen Dateipfad einzufügen, hinter dem sich in Wirklichkeit ein Schadbefehl verbirgt. Durch geschickt eingefügte Leerzeichen lässt sich der gefährliche Teil zusätzlich verschleiern.

Passend zum Thema
E-Mail-Sicherheit für Unternehmen
Wir setzen das für kleine und mittlere Unternehmen um, mit festem Ansprechpartner statt Hotline.

Warum die Masche für KMU so gefährlich ist

ClickFix ist deshalb so wirkungsvoll, weil das Opfer den Schadcode selbst eingibt und ausführt. Die Aktion erfolgt außerhalb des Browsers und sieht für viele Schutzlösungen wie eine normale Nutzereingabe aus. Außerdem wird häufig die in Windows bereits vorhandene PowerShell genutzt, sodass keine offensichtlich verdächtige Datei heruntergeladen werden muss.

Die Köder kommen über verschiedene Wege: gefälschte Verifizierungsseiten, manipulierte Werbung oder vorgetäuschte Fehlermeldungen und Update-Aufforderungen. In KMU, in denen einzelne Mitarbeitende oft selbst über Klicks entscheiden und keine spezialisierte IT-Abteilung im Hintergrund mitliest, kann ein einziger unbedachter Moment ausreichen.

Wie sich Ihr Unternehmen schützt

Der wichtigste Schutz ist Aufklärung. Vermitteln Sie eine klare Regel: Eine echte CAPTCHA-Abfrage verlangt niemals, Tastenkombinationen zu drücken oder einen kopierten Text in das Ausführen-Fenster oder den Explorer einzufügen. Wer dazu aufgefordert wird, sollte abbrechen und die IT informieren.

Technisch ergänzend wirken mehrere Maßnahmen:

  • Rechte einschränken, sodass nicht jede Person Skripte unbeschränkt ausführen kann.
  • Den Einsatz von PowerShell und Skript-Werkzeugen überwachen und protokollieren lassen.
  • Moderne Erkennungslösungen einsetzen, die verdächtiges Verhalten am Endgerät bemerken.
  • Mehr-Faktor-Anmeldung nutzen, damit gestohlene Passwörter allein nicht genügen.

Eine kompakte Einordnung gängiger Angriffsbegriffe finden Sie in unserem Cybersecurity-Lexikon.

Häufige Fragen

Ist ClickFix ein Virus?

Nein. ClickFix ist keine Schadsoftware, sondern eine Täuschungsmethode. Der Schaden entsteht erst, wenn die manipulierte Person den vorbereiteten Befehl selbst ausführt und dadurch eine Schadsoftware nachgeladen wird.

Erkennt mein Virenscanner solche Angriffe?

Nicht zwingend. Weil die Aktion vom Nutzer ausgelöst wird und oft Bordmittel von Windows verwendet, kann ein klassischer Virenscanner an seine Grenzen kommen. Verhaltensbasierte Erkennung und geschulte Mitarbeitende sind deshalb entscheidend.

Was sollten Beschäftigte sofort tun, wenn sie den Befehl ausgeführt haben?

Trennen Sie das Gerät vom Netzwerk und melden Sie den Vorfall umgehend der IT oder Ihrem IT-Dienstleister. Je schneller reagiert wird, desto eher lassen sich Datenabfluss und weitere Ausbreitung begrenzen.

So unterstützt Sie die High5Manufaktur GmbH

Die High5Manufaktur GmbH unterstützt KMU im Raum Karlsruhe dabei, Angriffe wie ClickFix frühzeitig zu erkennen und einzudämmen. Dazu gehören die Sensibilisierung Ihrer Belegschaft, sinnvoll konfigurierte Schutzeinstellungen sowie eine laufende Überwachung Ihrer Endgeräte im Rahmen unserer Managed Services. Wenn Sie wissen möchten, wo Ihr Unternehmen aktuell steht, vereinbaren Sie ein unverbindliches Erstgespräch. Gemeinsam legen wir die Schritte fest, die für Ihre Größe und Ihr Budget wirklich sinnvoll sind.

Quellen

Alexander Häffner

Alexander Häffner

Geschäftsführer der High5Manufaktur GmbH. Betreut seit 2021 kleine und mittlere Unternehmen bei Microsoft 365, IT-Sicherheit und Digitalisierung.

Fehler entdeckt oder eine Anmerkung zum Thema? Schreiben Sie uns an info@h5m.de. Wir freuen uns über Ihren Hinweis.