ClickFix-Angriffe: Wenn Nutzende die Schadsoftware selbst ausführen

Wie ClickFix-Angriffe funktionieren, warum sie schwer zu erkennen sind, was Sicherheitsteams in der Praxis beobachten und wie man Mitarbeitende schult, sie zu erkennen und zu melden.

Post hero image

Inhalt

Hoxhunt in Aktion erleben
Verbessere deine Kennzahlen für Security Awareness und Phishing-Trainings  und automatisiere gleichzeitig den gesamten Trainingslebenszyklus.
Demo buchen
Updated
June 23, 2026
Written by
Mette Luntama
Fact checked by

Was ist ein ClickFix-Angriff?

Ein ClickFix-Angriff ist eine Social-Engineering-Technik, bei der Angreifende Nutzende dazu bringen, einen Systembefehl auszuführen, um ein Problem zu „beheben", das gar nicht existiert. Statt die Schadsoftware direkt zuzustellen, lassen die Angreifenden sie von der Zielperson selbst ausführen.

Der Angriff beginnt typischerweise mit einer Phishing-Mail, einer schädlichen Anzeige oder einer kompromittierten Website. Nach dem Klick auf einen Link landet die Person auf einer Seite, die seriös wirkt, aber ein vorgetäuschtes Problem anzeigt, das vor dem Weitermachen gelöst werden muss. Oft treten diese Seiten als vertraute Aufforderungen auf: als Verifizierung, Update-Hinweis oder Zugriffsfehler.

Statt eines normalen Bestätigungsschritts im Browser fordert die Seite jedoch eine Aktion auf Systemebene –> etwa das Öffnen des Ausführen-Dialogs oder den Start von Werkzeugen wie PowerShell. Bei einem ClickFix-Angriff wird die nutzende Person selbst zum Installateur der Schadsoftware.

Wichtig: Viele öffentliche Beispiele nutzen Windows-Tastenkürzel, doch ClickFix ist nicht auf Windows beschränkt. Jüngere Kampagnen zielten auch auf macOS-Nutzende, indem sie zum Einfügen von Befehlen ins Terminal oder andere lokale Werkzeuge aufforderten.

Die einfache Faustregel: Verlangt eine Webseite, den Browser zu verlassen und einen Befehl auf dem eigenen Rechner auszuführen, um fortzufahren, ist das keine Verifizierung, sondern ein Angriff.

Wie ein ClickFix-Angriff abläuft

Abbildung 1: Wie ein ClickFix-Angriff abläuft

Klassische Methode: Windows-Ausführen-Dialog (Win + R)

Eine verbreitete ClickFix-Variante nutzt den Ausführen-Dialog von Windows. Sobald die Zielperson auf der schädlichen Seite gelandet ist, versuchen die Angreifenden, sie zur Ausführung eines Befehls auf dem eigenen Rechner zu bewegen. Die Seite zeigt eine Nachricht, die legitim wirkt und häufig mit der Behauptung, eine Mensch-Verifizierung sei nötig, der Zugriff sei blockiert, eine Sitzung abgelaufen oder eine Sicherheitsprüfung fehlgeschlagen. Statt wie bei einer üblichen Verifizierung Bilder anzuklicken oder ein Kästchen zu markieren, soll die Person eine Aktion auf Systemebene ausführen.

Typische Anweisungen lauten:

  • Windows + R drücken, um den Ausführen-Dialog zu öffnen
  • Strg + V drücken, um einen Befehl einzufügen
  • Enter drücken, um ihn auszuführen
Security check ClickFix
Abbildung 2: ClickFix als vorgetäuschte Sicherheitsprüfung

Manche schädlichen Seiten kopieren den Befehl automatisch in die Zwischenablage, andere zeigen ihn zum manuellen Kopieren an. Wird der Befehl eingefügt und ausgeführt, startet er oft ein integriertes Systemwerkzeug wie PowerShell und lädt weiteren Code aus dem Internet nach.

Von dort aus können Angreifende Zugangsdaten stehlen, Werkzeuge für Fernzugriff installieren, sich dauerhaft auf dem Gerät einnisten oder weitere Schadsoftware nachladen. Anders als beim klassischen Phishing kommt die Schadsoftware nicht als Dateianhang – die Angreifenden führen die Zielperson dazu, den Befehl selbst auszuführen.

Neuere Variante: Windows Terminal (Win + X)

Im Februar 2026 identifizierte [Microsoft](https://x.com/MsftSecIntel/status/2029692925118992473) eine ClickFix-Kampagne mit einer neuen Variante, die den klassischen Ausführen-Dialog (Win + R) durch Windows Terminal ersetzt. Diese Änderung hilft Angreifenden, Erkennungsmechanismen zu umgehen, die gezielt auf verdächtige Aktivität aus dem Ausführen-Dialog ausgelegt sind. In dieser Variante soll die Zielperson:

  • Windows + X drücken, um das Power-User-Menü zu öffnen
  • I drücken, um Windows Terminal zu starten
  • Strg + V drücken, um einen Befehl einzufügen
  • Enter drücken, um ihn auszuführen
Emerging variant - Windows Terminal
Abbildung 3: Neuere Variante – Windows Terminal (Win + X)

Weil Windows Terminal ein legitimes Systemwerkzeug ist, das routinemäßig für Administration und Entwicklung genutzt wird, wirken die Anweisungen für Nutzende möglicherweise weniger verdächtig.

Unabhängig vom konkreten Befehl oder Werkzeug bleibt die Kernmasche dieselbe: Die Angreifenden überzeugen die Zielperson, schädlichen Code auf dem eigenen Rechner auszuführen.

Typische ClickFix-Szenarien

ClickFix-Angriffe treten oft als gängige Fehlerbehebungs- oder Verifizierungsaufforderungen auf. Die folgenden Beispiele zeigen einige Szenarien, denen Nutzende begegnen können.

Vorgetäuschte Mensch-Verifizierung

Human verification ClickFix
Abbildung 4: ClickFix als Mensch-Verifizierung

Vorgetäuschtes Browser- oder System-Update

Abbildung 5: ClickFix als Browser-Update

Dokument- oder Portalfehler

Video portal error ClickFix
Abbildung 6: ClickFix als Fehler in einem Videoportal

Warum sind ClickFix-Angriffe gefährlich?

ClickFix-Angriffe nutzen die Lücke zwischen technischen Schutzmechanismen und normalem Nutzerverhalten. Die meisten Sicherheitskontrollen sind darauf ausgelegt, schädliche Dateien, verdächtige Links oder Exploit-Aktivität zu erkennen. Bei einem ClickFix-Angriff startet jedoch die nutzende Person legitime Systemwerkzeuge selbst. Und weil Werkzeuge wie PowerShell üblicherweise für legitime Administration verwendet werden, kann die Aktivität für Sicherheitssysteme normal aussehen.

Der Angriff funktioniert, indem er ein alltägliches Fehlerbehebungs-Verhalten in einen Übertragungsweg für Schadsoftware verwandelt. Besonders wirksam ist die Masche in Umgebungen, in denen von Nutzenden erwartet wird, eigenständig zu arbeiten und Probleme schnell zu lösen. Wenn es vor allem darum geht, die Arbeit am Laufen zu halten, werden Anweisungen, die ein Problem zu beheben scheinen, womöglich ohne weitere Prüfung befolgt.

Wie sich Organisationen gegen ClickFix schützen

ClickFix-Angriffe gelingen meist wegen Lücken in drei Bereichen: Awareness der Nutzenden, organisatorische Prozesse und technische Kontrollen.

Awareness der Nutzenden

Nutzende deuten die Aufforderung womöglich als normalen Teil ihres Arbeitsablaufs. Ein ClickFix gibt sich als Verifizierungsschritt, Update-Hinweis oder Zugriffsproblem aus – alles Elemente, die im Arbeitsalltag häufig vorkommen. Die Anweisung zum Weitermachen wirkt deshalb nicht sofort ungewöhnlich.

Training sollte die Grenze zwischen browserbasierter Verifizierung und Aktionen auf Betriebssystemebene klar ziehen. Öffentliche Websites verlangen von Nutzenden nicht, den Ausführen-Dialog zu öffnen, PowerShell zu starten oder Befehle auszuführen, um einen Zugriff zu bestätigen.

Organisatorische Prozesse

Stoßen Nutzende auf unerwartete Anweisungen, wissen sie womöglich nicht, wie sich diese überprüfen lassen. Sind Meldewege unklar oder Eskalationspfade schwer zugänglich, folgen Nutzende den Anweisungen eher, als innezuhalten und nachzufragen.

Organisationen sollten einfache Meldemechanismen bereitstellen und vermitteln, dass Innehalten und Nachfragen erwünscht und unterstützt sind.

Technische Kontrollen

ClickFix-Angriffe stützen sich häufig auf legitime System-Utilities wie PowerShell oder den Windows-Ausführen-Dialog. Diese Werkzeuge sind signiert, weit verbreitet und in normalen Arbeitsabläufen oft erlaubt. Dadurch kann die Aktivität eher wie legitimes Verhalten aussehen als wie klassische Schadsoftware-Ausführung.

Wo betrieblich sinnvoll, lässt sich das Risiko senken, indem unnötige Skripting-Fähigkeiten für Standardnutzende eingeschränkt, aus dem Browser stammende Befehlsausführungen überwacht und Ausführungsrechte auf Systemebene auf das beschränkt werden, was die jeweilige Rolle tatsächlich benötigt.

Was Nutzenden vermittelt werden sollte

Die wirksamste Verteidigung gegen ClickFix besteht darin, Nutzenden zu helfen, das Verhaltensmuster hinter dem Angriff zu erkennen. Eine einfache Regel genügt: Websites verlangen keine Systembefehle, um einen Zugriff zu bestätigen.

Fordert eine Webseite dazu auf, den Ausführen-Dialog zu öffnen, PowerShell oder Terminal zu starten oder einen Befehl einzufügen und auszuführen, gilt: innehalten und prüfen, bevor es weitergeht. Verifizierungsschritte bleiben immer im Browser. Systembefehle gehören in die Hände von Administrierenden und vertrauenswürdigen internen Prozessen.

Wie Hoxhunt Organisationen vorbereitet

Hoxhunt bereitet Organisationen auf Bedrohungen wie ClickFix mit [Phishing Training und Simulationen](https://hoxhunt.com/product/phishing-training) vor, die auf realen Angriffstechniken beruhen.

Das hilft Nutzenden, verdächtige Aufforderungen zu erkennen, den Unterschied zwischen normaler browserbasierter Verifizierung und ungewöhnlichen Aufforderungen zur Ausführung lokaler Systembefehle zu verstehen und Angriffe zu melden, bevor sie weiter fortschreiten.

Zugleich gibt Hoxhunt Sicherheitsverantwortlichen Einblick in Meldeverhalten und Reaktionsmuster und zeigt, wo zusätzliche Unterstützung oder Verstärkung nötig ist.

Wesentliche Erkenntnisse

ClickFix verwandelt alltägliche Fehlerbehebung in Schadsoftware-Ausführung

ClickFix-Angriffe gelingen, weil sie ein vorgetäuschtes Problem normal und die „Lösung" harmlos aussehen lassen. Was wie ein schneller Verifizierungsschritt oder ein Zugriffsproblem wirkt, ist in Wahrheit der Versuch, Nutzende dazu zu bringen, schädlichen Code auf dem eigenen Gerät auszuführen.

Warum der Angriff funktioniert
Tarnung als alltägliche Aktion
  • Wirkt vertraut – die Aufforderungen sind als Verifi­zierung, Update oder Zugriffs­fehler getarnt
  • Nutzt normales Verhalten – er macht sich den Reflex zunutze, Probleme schnell zu lösen
  • Macht Nutzende zum Installateur – statt Schad­software direkt zuzustellen
Was Nutzende erkennen sollten
Die klaren Warnsignale
  • Websites sollten keine System­befehle verlangen, um einen Zugriff zu bestätigen
  • Aufforderungen, Ausführen-Dialog, PowerShell oder Terminal zu öffnen, sind ein Warnzeichen
  • Browser­basierte Aktionen bleiben im Browser – nicht auf Betriebs­system­ebene
✓ Was Organisationen verstärken sollten
Verhaltensmuster statt Einzelbeispiel
  • Awareness für das Verhaltens­muster aufbauen, nicht nur für das einzelne Beispiel
  • Zum Innehalten und Prüfen ermutigen, bevor ungewöhnliche Anweisungen befolgt werden
  • Risiko praktisch senken – durch Training, Meldewege und Verstärkung
Kurz gesagt: Wenn Nutzende verstehen, wie ClickFix funktioniert, und wissen, dass Websites niemals zur Ausführung von Systembefehlen auffordern sollten, ist die Wahrscheinlichkeit weit höher, dass sie den Angriff stoppen, bevor schädlicher Code ausgeführt wird.
Want to learn more?
Be sure to check out these articles recommended by the author:
Mehr Insights zu Cybersecurity erhalten