Was ist ein ClickFix-Angriff?
Ein ClickFix-Angriff ist eine Social-Engineering-Technik, bei der Angreifende Nutzende dazu bringen, einen Systembefehl auszuführen, um ein Problem zu „beheben", das gar nicht existiert. Statt die Schadsoftware direkt zuzustellen, lassen die Angreifenden sie von der Zielperson selbst ausführen.
Der Angriff beginnt typischerweise mit einer Phishing-Mail, einer schädlichen Anzeige oder einer kompromittierten Website. Nach dem Klick auf einen Link landet die Person auf einer Seite, die seriös wirkt, aber ein vorgetäuschtes Problem anzeigt, das vor dem Weitermachen gelöst werden muss. Oft treten diese Seiten als vertraute Aufforderungen auf: als Verifizierung, Update-Hinweis oder Zugriffsfehler.
Statt eines normalen Bestätigungsschritts im Browser fordert die Seite jedoch eine Aktion auf Systemebene –> etwa das Öffnen des Ausführen-Dialogs oder den Start von Werkzeugen wie PowerShell. Bei einem ClickFix-Angriff wird die nutzende Person selbst zum Installateur der Schadsoftware.
Wichtig: Viele öffentliche Beispiele nutzen Windows-Tastenkürzel, doch ClickFix ist nicht auf Windows beschränkt. Jüngere Kampagnen zielten auch auf macOS-Nutzende, indem sie zum Einfügen von Befehlen ins Terminal oder andere lokale Werkzeuge aufforderten.
Die einfache Faustregel: Verlangt eine Webseite, den Browser zu verlassen und einen Befehl auf dem eigenen Rechner auszuführen, um fortzufahren, ist das keine Verifizierung, sondern ein Angriff.
Wie ein ClickFix-Angriff abläuft
.png)
Klassische Methode: Windows-Ausführen-Dialog (Win + R)
Eine verbreitete ClickFix-Variante nutzt den Ausführen-Dialog von Windows. Sobald die Zielperson auf der schädlichen Seite gelandet ist, versuchen die Angreifenden, sie zur Ausführung eines Befehls auf dem eigenen Rechner zu bewegen. Die Seite zeigt eine Nachricht, die legitim wirkt und häufig mit der Behauptung, eine Mensch-Verifizierung sei nötig, der Zugriff sei blockiert, eine Sitzung abgelaufen oder eine Sicherheitsprüfung fehlgeschlagen. Statt wie bei einer üblichen Verifizierung Bilder anzuklicken oder ein Kästchen zu markieren, soll die Person eine Aktion auf Systemebene ausführen.
Typische Anweisungen lauten:
- Windows + R drücken, um den Ausführen-Dialog zu öffnen
- Strg + V drücken, um einen Befehl einzufügen
- Enter drücken, um ihn auszuführen

Manche schädlichen Seiten kopieren den Befehl automatisch in die Zwischenablage, andere zeigen ihn zum manuellen Kopieren an. Wird der Befehl eingefügt und ausgeführt, startet er oft ein integriertes Systemwerkzeug wie PowerShell und lädt weiteren Code aus dem Internet nach.
Von dort aus können Angreifende Zugangsdaten stehlen, Werkzeuge für Fernzugriff installieren, sich dauerhaft auf dem Gerät einnisten oder weitere Schadsoftware nachladen. Anders als beim klassischen Phishing kommt die Schadsoftware nicht als Dateianhang – die Angreifenden führen die Zielperson dazu, den Befehl selbst auszuführen.
Neuere Variante: Windows Terminal (Win + X)
Im Februar 2026 identifizierte [Microsoft](https://x.com/MsftSecIntel/status/2029692925118992473) eine ClickFix-Kampagne mit einer neuen Variante, die den klassischen Ausführen-Dialog (Win + R) durch Windows Terminal ersetzt. Diese Änderung hilft Angreifenden, Erkennungsmechanismen zu umgehen, die gezielt auf verdächtige Aktivität aus dem Ausführen-Dialog ausgelegt sind. In dieser Variante soll die Zielperson:
- Windows + X drücken, um das Power-User-Menü zu öffnen
- I drücken, um Windows Terminal zu starten
- Strg + V drücken, um einen Befehl einzufügen
- Enter drücken, um ihn auszuführen

Weil Windows Terminal ein legitimes Systemwerkzeug ist, das routinemäßig für Administration und Entwicklung genutzt wird, wirken die Anweisungen für Nutzende möglicherweise weniger verdächtig.
Unabhängig vom konkreten Befehl oder Werkzeug bleibt die Kernmasche dieselbe: Die Angreifenden überzeugen die Zielperson, schädlichen Code auf dem eigenen Rechner auszuführen.
Typische ClickFix-Szenarien
ClickFix-Angriffe treten oft als gängige Fehlerbehebungs- oder Verifizierungsaufforderungen auf. Die folgenden Beispiele zeigen einige Szenarien, denen Nutzende begegnen können.
Vorgetäuschte Mensch-Verifizierung

Vorgetäuschtes Browser- oder System-Update

Dokument- oder Portalfehler

Warum sind ClickFix-Angriffe gefährlich?
ClickFix-Angriffe nutzen die Lücke zwischen technischen Schutzmechanismen und normalem Nutzerverhalten. Die meisten Sicherheitskontrollen sind darauf ausgelegt, schädliche Dateien, verdächtige Links oder Exploit-Aktivität zu erkennen. Bei einem ClickFix-Angriff startet jedoch die nutzende Person legitime Systemwerkzeuge selbst. Und weil Werkzeuge wie PowerShell üblicherweise für legitime Administration verwendet werden, kann die Aktivität für Sicherheitssysteme normal aussehen.
Der Angriff funktioniert, indem er ein alltägliches Fehlerbehebungs-Verhalten in einen Übertragungsweg für Schadsoftware verwandelt. Besonders wirksam ist die Masche in Umgebungen, in denen von Nutzenden erwartet wird, eigenständig zu arbeiten und Probleme schnell zu lösen. Wenn es vor allem darum geht, die Arbeit am Laufen zu halten, werden Anweisungen, die ein Problem zu beheben scheinen, womöglich ohne weitere Prüfung befolgt.
Wie sich Organisationen gegen ClickFix schützen
ClickFix-Angriffe gelingen meist wegen Lücken in drei Bereichen: Awareness der Nutzenden, organisatorische Prozesse und technische Kontrollen.
Awareness der Nutzenden
Nutzende deuten die Aufforderung womöglich als normalen Teil ihres Arbeitsablaufs. Ein ClickFix gibt sich als Verifizierungsschritt, Update-Hinweis oder Zugriffsproblem aus – alles Elemente, die im Arbeitsalltag häufig vorkommen. Die Anweisung zum Weitermachen wirkt deshalb nicht sofort ungewöhnlich.
Training sollte die Grenze zwischen browserbasierter Verifizierung und Aktionen auf Betriebssystemebene klar ziehen. Öffentliche Websites verlangen von Nutzenden nicht, den Ausführen-Dialog zu öffnen, PowerShell zu starten oder Befehle auszuführen, um einen Zugriff zu bestätigen.
Organisatorische Prozesse
Stoßen Nutzende auf unerwartete Anweisungen, wissen sie womöglich nicht, wie sich diese überprüfen lassen. Sind Meldewege unklar oder Eskalationspfade schwer zugänglich, folgen Nutzende den Anweisungen eher, als innezuhalten und nachzufragen.
Organisationen sollten einfache Meldemechanismen bereitstellen und vermitteln, dass Innehalten und Nachfragen erwünscht und unterstützt sind.
Technische Kontrollen
ClickFix-Angriffe stützen sich häufig auf legitime System-Utilities wie PowerShell oder den Windows-Ausführen-Dialog. Diese Werkzeuge sind signiert, weit verbreitet und in normalen Arbeitsabläufen oft erlaubt. Dadurch kann die Aktivität eher wie legitimes Verhalten aussehen als wie klassische Schadsoftware-Ausführung.
Wo betrieblich sinnvoll, lässt sich das Risiko senken, indem unnötige Skripting-Fähigkeiten für Standardnutzende eingeschränkt, aus dem Browser stammende Befehlsausführungen überwacht und Ausführungsrechte auf Systemebene auf das beschränkt werden, was die jeweilige Rolle tatsächlich benötigt.
Was Nutzenden vermittelt werden sollte
Die wirksamste Verteidigung gegen ClickFix besteht darin, Nutzenden zu helfen, das Verhaltensmuster hinter dem Angriff zu erkennen. Eine einfache Regel genügt: Websites verlangen keine Systembefehle, um einen Zugriff zu bestätigen.
Fordert eine Webseite dazu auf, den Ausführen-Dialog zu öffnen, PowerShell oder Terminal zu starten oder einen Befehl einzufügen und auszuführen, gilt: innehalten und prüfen, bevor es weitergeht. Verifizierungsschritte bleiben immer im Browser. Systembefehle gehören in die Hände von Administrierenden und vertrauenswürdigen internen Prozessen.
Wie Hoxhunt Organisationen vorbereitet
Hoxhunt bereitet Organisationen auf Bedrohungen wie ClickFix mit [Phishing Training und Simulationen](https://hoxhunt.com/product/phishing-training) vor, die auf realen Angriffstechniken beruhen.
Das hilft Nutzenden, verdächtige Aufforderungen zu erkennen, den Unterschied zwischen normaler browserbasierter Verifizierung und ungewöhnlichen Aufforderungen zur Ausführung lokaler Systembefehle zu verstehen und Angriffe zu melden, bevor sie weiter fortschreiten.
Zugleich gibt Hoxhunt Sicherheitsverantwortlichen Einblick in Meldeverhalten und Reaktionsmuster und zeigt, wo zusätzliche Unterstützung oder Verstärkung nötig ist.
- Abonniere unseren All Things Human Risk Newsletter und erhalte monatlich eine Übersicht unserer neuesten Inhalte.
- Demo buchen für einen individuellen Rundgang durch Hoxhunt



