Stell dir vor, du willst nur kurz eine Webseite öffnen – und zack: Ein Pop-up sagt dir, dein Browser müsse „verifiziert“ werden. Oder „ein Fehler muss behoben werden“. Klingt harmlos. Und genau das ist das Problem:
Bei ClickFix ist nicht dein System die Schwachstelle – sondern der Moment, in dem jemand „mal eben schnell“ ein Problem lösen will.
ClickFix ist eine Social-Engineering-Methode, bei der Angreifer Menschen dazu bringen, selbst schädliche Befehle auszuführen – oft über Windows „Ausführen“ (Win+R), PowerShell bzw. Terminal oder sogar die Adressleiste des Datei-Explorers.
Microsoft beschreibt es treffend: Es nutzt den Reflex, kleine technische Hürden sofort wegzuklicken – und führt dich Schritt für Schritt genau dahin, wo es weh tut.
Damit du (und dein Team) nicht in diese Falle tappt, bekommst du hier eine praxisnahe Einführung – inklusive vieler typischer ClickFix-Beispiele und einer Checkliste, die du direkt intern nutzen kannst.
Und falls es doch mal passiert, findest du hier unseren IT-Notfallplan:
Was unterscheidet ClickFix von „klassischem Phishing“?
Beim üblichen Phishing geht’s oft um Login-Daten („Bitte hier anmelden“). ClickFix geht einen Schritt weiter:
Die Masche sorgt dafür, dass das Opfer selbst eine Aktion ausführt, die wie „Support“ aussieht – z. B. Copy-&-Paste eines „Fix“-Befehls.
Das Gemeine daran:
- Es braucht häufig keinen Dateianhang
- oft kein „Download“, den der Browser als gefährlich markieren könnte
- und es fühlt sich für den Nutzer an wie „Ich hab nur gemacht, was da stand.“
So läuft ein typischer ClickFix-Angriff ab
- Du landest auf einer Seite, häufig durch eine gute SEO-Falle angelockt, wie Group-IB beschreibt, oder durch Malvertising, SEO-Falle, kompromittierte Website, Phishing-Link, wie das Center for Internet Security beschreibt.
- Die Seite zeigt ein seriös wirkendes Pop-up: CAPTCHA, Cloudflare-Check, Update-Hinweis, Sicherheitswarnung, Streaming- oder PDF-Problem, „Support“-Dialog.
- Du sollst „fixen“ – und bekommst genaue Tastatur-Schritte:
- „Drücke Win+R“
- „Füge ein (Ctrl+V)“
- „Enter“
Genau diese Schrittfolge ist laut Microsoft ein Klassiker.
- Der eingefügte Befehl lädt im Hintergrund Malware nach (Infostealer, RAT, Loader) – häufig direkt aus dem Netz und manchmal so, dass es Security-Warnungen umgeht, wie Leonid Grustniy von Kaspersky schreibt.
12 ClickFix-Beispiele aus der Praxis
1. Fake-CAPTCHA: „Ich bin kein Roboter“
Du kennst die Checkbox. ClickFix missbraucht genau dieses Muster: Statt Checkbox gibt’s „Fix verification“ – und dann die Win+R-Anleitung.
2. „Cloudflare oder Turnstile Prüfung fehlgeschlagen“
Bitdefender beschreibt anschaulich, dass die Seite wirkt wie ein legitimer Bot-Schutz: „Bitte reparieren / Please verify“. Dahinter steckt Copy-&-Paste in Run bzw. Terminal.
3. „Dein Browser ist veraltet – Update jetzt“
Das Pop-up sieht nach Chrome, Edge oder Firefox aus, inklusive Logo. Statt Store- bzw. Update-Link: „Führe diesen Befehl aus, um das Update zu installieren.“
4. „Video kann nicht abgespielt werden – Codec/DRM fehlt“
Besonders perfide bei Seiten, wo man „nur kurz was anschauen“ will: „Aktiviere Wiedergabe durch Ausführen dieses Fixes.“ (Spoiler: es ist kein echter Codec.)
5. „Microsoft Teams oder SharePoint Dokument kann nicht geöffnet werden“
Köder: „Sicherheitskomponente fehlt“ oder „Zugriff muss repariert werden“ – gerne in sehr professionellem Deutsch.
6. „GitHub-Scanner oder Repo Security Check“
Köder: „Scanne dieses Repo schnell lokal“ – und dann kommt ein „Fix“-Befehl. (Gern gesehen in Entwickler- oder Admin-Zielgruppen, wie CERN berichtet.)
7. IT-Support Pop-up: „Dein PC ist infiziert – Schritt-für-Schritt“
Tom's Guide warnt: ClickFix tarnt sich als „Hilfe“. Manche Kampagnen liefern sogar Video-Anleitungen, zugeschnitten auf dein Betriebssystem, plus Timer für Druck.
8. Die Zwischenablage-Falle: „Klick auf Fix“ kopiert heimlich den Befehl
Du klickst auf „Fix“ – und die Seite kopiert automatisch eine Command-Zeile in deine Zwischenablage. Danach sollst du nur noch „einfügen“.
9. FileFix: PowerShell über die Adressleiste im Datei-Explorer
Variante von ClickFix: Statt Win+R heißt es „Öffne Explorer“ → „füge diesen Pfad oben ein“. Das ist aber PowerShell-Code, der durch cleveres Maskieren harmlos aussieht, wie TechRadar in diesem kurzen Bericht beschreibt.
10. TerminalFix
„Öffne Terminal bzw. PowerShell als Nutzer“. Gerade bei IT-affinen Nutzern funktioniert das: „Starte PowerShell und führe aus…“
11. DownloadFix
„Lade dieses Tool herunter, dann ‘Fix’ ausführen“. Hier wird es klassischer – aber das Framing bleibt: „Das ist nur ein Fix.“
12. DNS-Trick: Payload kommt per nslookup bzw. DNS-Abfrage
Laut Bleeping Computer nutzen neuere ClickFix-Ketten sogar DNS-Mechaniken, um Teile der Nutzlast nachzuladen – für viele Umgebungen ein ungewohntes Muster. Die Opfer werden angewiesen, den Befehl „nslookup“ auszuführen, der eine Anfrage an einen vom Angreifer kontrollierten DNS-Server statt an den Standard-DNS-Server des Systems sendet. Daraufhin wird ein bösartiges PowerShell-Skript ausgeführt, das dann auf dem Gerät ausgeführt wird, um Malware zu installieren.
Warum ClickFix so gut funktioniert
- Psychologie: „Ich löse das schnell selbst.“ Genau darauf zielt die Methode.
- Professionalität: Texte wirken sauber, technisch plausibel, oft mehrsprachig und darum authentisch „wie IT“.
- Skalierung: Es gibt Berichte über „Builder“ oder Kits und eine breite Nutzung durch unterschiedliche Akteure.
- Folgen: Häufig werden Infostealer (Passwörter, Session-Cookies) oder Remote-Access-Tools nachgeladen – daraus entstehen dann weitere Angriffe im Unternehmen.
Die 8-Punkte-Checkliste: Woran du ClickFix in Sekunden erkennst
Wenn du auch nur 1–2 Punkte siehst: Stopp. Nicht „fixen“.
- Eine Website fordert dich auf, Win+R zu drücken.
- Du sollst etwas einfügen (Ctrl+V), obwohl du nichts kopiert hast (oder „Fix“ hat „was kopiert“).
- Du bekommst eine Schritt-für-Schritt-Anleitung für „Fix“, „Verify“, „Update“, „Enable“, „Repair“.
- Es wirkt wie Cloudflare oder CAPTCHA, ist aber ungewöhnlich „interaktiv“ mit Tastenkürzeln.
- Zeitdruck: Timer mit „nur 30 Sekunden“, „Account wird gesperrt“.
- Der „Fix“ soll über PowerShell oder Terminal laufen.
- Der „Pfad“ im Explorer sieht komisch aus (FileFix).
- Du bist über eine Anzeige, einen ungewöhnlichen Suchtreffer oder eine Weiterleitung dort gelandet.
Was du als IT-Entscheider konkret tun kannst
1. Eine klare „Nie Copy-Paste von Webseiten in Run oder PowerShell“-Regel
Das ist der wichtigste Hebel. Mach daraus eine einfache Team-Regel – wie „Keine Passwörter per Mail“.
Vorlage für euren internen Hinweis (copy-&-paste-fertig):
Wenn eine Website dich auffordert, Win+R, PowerShell oder Terminal zu öffnen und etwas einzufügen: Abbrechen, Tab schließen, Screenshot ans IT-Team. Niemals Befehle von Webseiten ausführen!
2. Awareness mit echten Screenshots (nicht nur „Phishing“-Poster)
ClickFix sieht anders aus als klassische Phishing-Mails. Trainiere genau diese Pop-ups (CAPTCHA, Cloudflare, „Fix“-Dialoge). Microsoft und Bitdefender zeigen typische Muster und Flows sehr greifbar.
3. „Chokepoints“: Auf Verhalten schauen, nicht auf Dateinamen
Viele Varianten ändern dauernd Details – aber das Grundverhalten bleibt: Nutzer startet Run, PowerShell oder fügt etwas in die Explorer-Adressleiste ein → Script lädt nach. Solche „Erkennungs-Engstellen“ sind in der Praxis hilfreich, um dein Team zu sensibilisieren.
4. Schutz dort verstärken, wo ClickFix startet
Viele Kampagnen kommen über Web (malvertising, kompromittierte Seiten) oder E-Mail. Reduziere Risiko durch Web-Security, Ad- bzw. Script-Kontrollen, und sauberes Patchen.
5. Incident-Mini-Playbook: Was tun, wenn's jemand ausgeführt hat?
- Gerät nicht weiter benutzen
- Netzwerkverbindung ggf. trennen
- IT und Security sofort informieren
- Passwörter und Session-Tokens als kompromittiert behandeln (insb. Browser, SSO)
ClickFix ist „einfach“ – und genau deshalb so gefährlich
ClickFix ist kein Hightech-Exploit. Es ist hochprofessionelle Manipulation, verpackt als „kleiner Fix“.
Wenn du es schaffst, im Unternehmen einen Reflex zu etablieren („Keine Befehle von Webseiten ausführen – niemals“), hast du schon viel gewonnen.
.png)
