Click, Fix, Malware? Wie gefälschte CAPTCHAs zur ClickFix-Falle werden

Wer im Internet surft, stösst bei sehr vielen Webseiten auf eine inzwischen vertraute Abfrage: “Ich bin kein Roboter”. Kriminelle haben sich die Routine und Zielstrebigkeit, mit der Besucher die “Sicherheitsbarrieren” zum gewünschten Inhalt überwinden wollen, zunutze gemacht. Die Masche funktioniert ganz einfach. Anstatt eines Häkchens erscheint diesmal eine kurze Anleitung, in der der Besucher aufgefordert wird, ein paar einfache Schritte auszuführen: Win + R drücken, dann Strg + V, dann Enter. Wer die Schritte befolgt, installiert sich in wenigen Sekunden eine Schadsoftware. Das Kopieren des dafür benötigten bösartigen Befehls erfolgt meist im Hintergrund über JavaScript. Diese Masche heisst ClickFix. Das Bundesamt für Cybersicherheit (BACS) verzeichnet seit Anfang 2026 eine Zunahme entsprechender Meldungen aus der Schweiz. Der Angriff ist deshalb so wirksam, weil er das Vertrauen in Routineabfragen wie CAPTCHAs oder Fehlermeldungen ausnutzt, und so technische Sicherheitsmechanismen geschickt umgeht.

Welche CAPTCHA-Varianten gibt es?

Ein CAPTCHA ist die Sicherheitsabfrage, die einen Menschen von einem Bot unterscheidet. Die Abkürzung steht für “Completely Automated Public Turing test to tell computers and humans apart”. Am häufigsten ist Googles reCAPTCHA (das Häkchen “Ich bin kein Roboter” oder das Bildraster mit Ampeln und Fahrrädern), gefolgt von Cloudflares Turnstile und hCaptcha. Dazu kommen ältere Formen wie verzerrte Buchstabenfolgen sowie Audio- und Rätsel-Varianten. reCAPTCHA dominiert dabei klar und kommt auf rund 71 Prozent der CAPTCHA-geschützten Websites. Mit immer besserer künstlicher Intelligenz (KI) wird das eigentliche Ziel, Menschen von Computern zu unterscheiden, jedoch zunehmend schwieriger. Moderne KI-Modelle lösen gängige CAPTCHAs in Tests mit Trefferquoten von 80 bis 100 Prozent.

Wie funktioniert ein ClickFix-Angriff?

Am Anfang steht eine präparierte Webseite. Angreifer schalten Werbung, kapern schlecht gesicherte Seiten oder ködern Besucher über Suchergebnisse und Links. Die Seite zeigt dann ein gefälschtes Problem an, meist ein nachgebautes CAPTCHA, manchmal eine angebliche Browser-Aktualisierung oder einen Anzeigefehler.

Sobald ein Besucher auf “Ich bin kein Roboter” oder “Fehler beheben” klickt, kopiert ein kleines Skript im Hintergrund einen Befehl in die Zwischenablage. Sicherheitsfachleute nennen das Clipboard Hijacking. Die Anleitung lässt den Befehl anschliessend ausführen, unter Windows über das Ausführen-Fenster, unter macOS über das Terminal. Damit der gefährliche Teil nicht auffällt, hängen die Angreifer oft einen harmlos klingenden Kommentar an, etwa “reCAPTCHA Verification ID”, sodass im Ausführen-Fenster nur dieser Text sichtbar bleibt.

Der eingefügte Befehl nutzt in der Regel ein legitimes Windows-Programm wie powershell.exe oder mshta.exe, um im Hintergrund eine zweite Datei nachzuladen. Diese installiert dann die eigentliche Nutzlast. In den meisten Fällen ist das ein Infostealer, eine Form von Malware, die Passwörter aus dem Browser ausliest, Session-Cookies stiehlt und Krypto-Wallets leert. ClickFix ist damit eine besonders direkte Form von Social Engineering: Die ganze technische Arbeit überlässt der Angreifer dem Opfer.

Warum ist ClickFix schwerer zu erkennen?

Der entscheidende Unterschied zu klassischem Phishing liegt darin, wer den Schadcode startet. Bei einem Phishing-Anhang öffnet das Opfer eine Datei, die viele Schutzprogramme prüfen und blockieren können. Bei ClickFix gibt das Opfer den Befehl selbst in ein Systemwerkzeug ein, das das Betriebssystem ohnehin mitbringt und dem es vertraut oder bei dem es zumindest von einer legitimen Nutzeraktion ausgehen muss.

Für eine herkömmliche Endpoint-Protection sieht das zunächst aus wie eine normale Handlung einer berechtigten Person. Es gibt keine verdächtige heruntergeladene Datei und keine ausgenutzte Schwachstelle. Microsoft beschreibt ClickFix deshalb als Technik, die gezielt menschliches Verhalten statt einer Software-Lücke ausnutzt. Das bedeutet aber nicht, dass die Angriffe unsichtbar wären. Moderne, verhaltensbasierte Schutzsysteme können den Ablauf durchaus erkennen, etwa wenn kurz nach dem Surfen plötzlich PowerShell mit versteckten Parametern startet und eine unbekannte Adresse kontaktiert. Die Erkennung ist schwieriger, aber nicht unmöglich.

Wie verbreitet ist ClickFix?

Wie verbreitet ClickFix genau ist, hängt stark davon ab, was gemessen wird. Im Microsoft Digital Defense Report 2025 ist ClickFix mit rund 47 Prozent die häufigste beobachtete Methode für den Erstzugriff, noch vor klassischem Phishing mit 35 Prozent. Der Verizon Data Breach Investigations Report 2026 zählt dagegen nur im Browser blockierte Angriffe und kommt deshalb auf rund 2,7 Prozent (mehr dazu im DBIR-Überblick für KMU). Die einzelnen Werte gehen also weit auseinander, doch die Richtung ist überall dieselbe. ClickFix wächst schnell und hat sich von einer Randerscheinung zu einem etablierten Angriffsweg entwickelt.

Ist ClickFix auch in der Schweiz ein Thema?

Ja. Das BACS hat die Methode in seinem Wochenrückblick im Februar 2026 ausdrücklich unter dem Namen ClickFix beschrieben und auf eine steigende Zahl von Meldungen aus der Bevölkerung und von Unternehmen hingewiesen. Bereits im November 2024 warnte die Behörde vor gefälschten CAPTCHAs, die nach einem Klick einen PowerShell-Befehl in die Zwischenablage kopierten und Nutzende anwiesen, ihn über Win + R auszuführen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Anfang März 2025 ebenfalls vor genau diesem Ablauf mit gefälschten CAPTCHAs gewarnt. Microsoft beobachtete zudem eine ClickFix-Kampagne, die unter anderem Organisationen in der Schweiz angriff.

Wie kann man sich vor ClickFix schützen?

Für Einzelpersonen reicht eine Handvoll Verhaltensregeln, die sich auch im Team gut vermitteln lassen.

• Kopiere niemals Befehle von einer Website in PowerShell, das Terminal oder das Ausführen-Fenster. Ein echtes CAPTCHA prüft mit einem Klick oder einem Bildrätsel, ob du ein Mensch bist, und verlangt nie eine Tastenkombination auf Systemebene.
• Misstraue jeder Seite, die ein technisches Problem über Win + R lösen will. Legitime Browser- und Systemupdates laufen über die Einstellungen deines Browsers oder Betriebssystems und nie über eine beliebige Webseite.
• Schliesse die Seite, wenn ein CAPTCHA eine Tastenkombination verlangt. Falls bereits ein Befehl ausgeführt wurde, trenne das Gerät vom Internet, ändere deine wichtigsten Passwörter von einem anderen Gerät aus, beende in den betroffenen Konten alle aktiven Sitzungen und lasse das System auf Schadsoftware prüfen.

Im Unternehmen kommen technische Massnahmen hinzu, die den einfachsten Weg dieser Angriffe schliessen.

• Beschränke den Ausführen-Dialog über die Gruppenrichtlinie, wenn normale Nutzende ihn nicht benötigen. Damit entfällt der häufigste Einstiegspunkt mit Win + R, auch wenn manche Varianten Nutzende stattdessen direkt zum Terminal lotsen.
• Schränke ein, was reguläre Konten mit PowerShell und mshta.exe ausführen dürfen, etwa mit App-Allowlisting wie AppLocker. Eine blosse Execution-Policy genügt nicht, weil ClickFix-Befehle sie gezielt umgehen. Auch das BACS empfiehlt, die PowerShell-Nutzung für reguläre Konten zu beschränken.
• Schule dein Team an einem konkreten Beispiel. Ein Screenshot eines gefälschten CAPTCHAs mit der Anweisung Win + R, dann Strg + V prägt sich besser ein als eine abstrakte Warnung.

ClickFix ist eine geschickte Verpackung einer alten Idee. Solange Angreifer Menschen dazu bringen können, den letzten Schritt selbst zu übernehmen, bleibt die wirksamste Verteidigung das Wissen, dass eine vertrauenswürdige Webseite nie dazu auffordert, einen Befehl auf dem eigenen System auszuführen.