Newsroom

ClickFix: Wenn der „kleine Fix“ zum großen Einfallstor wird – so erkennst du die Masche

Geschrieben von Beate Böker | 12.03.26 06:59

Stell dir vor, du willst nur kurz eine Webseite öffnen – und zack: Ein Pop-up sagt dir, dein Browser müsse „verifiziert“ werden. Oder „ein Fehler muss behoben werden“. Klingt harmlos. Und genau das ist das Problem:

Bei ClickFix ist nicht dein System die Schwachstelle – sondern der Moment, in dem jemand „mal eben schnell“ ein Problem lösen will.

ClickFix ist eine Social-Engineering-Methode, bei der Angreifer Menschen dazu bringen, selbst schädliche Befehle auszuführen – oft über Windows „Ausführen“ (Win+R), PowerShell bzw. Terminal oder sogar die Adressleiste des Datei-Explorers.

Microsoft beschreibt es treffend: Es nutzt den Reflex, kleine technische Hürden sofort wegzuklicken – und führt dich Schritt für Schritt genau dahin, wo es weh tut.

Damit du (und dein Team) nicht in diese Falle tappt, bekommst du hier eine praxisnahe Einführung – inklusive vieler typischer ClickFix-Beispiele und einer Checkliste, die du direkt intern nutzen kannst.

Und falls es doch mal passiert, findest du hier unseren IT-Notfallplan:

Was unterscheidet ClickFix von „klassischem Phishing“?

Beim üblichen Phishing geht’s oft um Login-Daten („Bitte hier anmelden“). ClickFix geht einen Schritt weiter:
Die Masche sorgt dafür, dass das Opfer selbst eine Aktion ausführt, die wie „Support“ aussieht – z. B. Copy-&-Paste eines „Fix“-Befehls.

Das Gemeine daran:

  • Es braucht häufig keinen Dateianhang
  • oft kein „Download“, den der Browser als gefährlich markieren könnte
  • und es fühlt sich für den Nutzer an wie „Ich hab nur gemacht, was da stand.“

So läuft ein typischer ClickFix-Angriff ab

  1. Du landest auf einer Seite, häufig durch eine gute SEO-Falle angelockt, wie Group-IB beschreibt, oder durch Malvertising, SEO-Falle, kompromittierte Website, Phishing-Link, wie das Center for Internet Security beschreibt. 
  2. Die Seite zeigt ein seriös wirkendes Pop-up: CAPTCHA, Cloudflare-Check, Update-Hinweis, Sicherheitswarnung, Streaming- oder PDF-Problem, „Support“-Dialog. 
  3. Du sollst „fixen“ – und bekommst genaue Tastatur-Schritte:
    • „Drücke Win+R
    • „Füge ein (Ctrl+V)“
    • „Enter“
      Genau diese Schrittfolge ist laut Microsoft ein Klassiker.
  4. Der eingefügte Befehl lädt im Hintergrund Malware nach (Infostealer, RAT, Loader) – häufig direkt aus dem Netz und manchmal so, dass es Security-Warnungen umgeht, wie Leonid Grustniy von Kaspersky schreibt. 

12 ClickFix-Beispiele aus der Praxis 

1. Fake-CAPTCHA: „Ich bin kein Roboter“

Du kennst die Checkbox. ClickFix missbraucht genau dieses Muster: Statt Checkbox gibt’s „Fix verification“ – und dann die Win+R-Anleitung. 

2. „Cloudflare oder Turnstile Prüfung fehlgeschlagen“

Bitdefender beschreibt anschaulich, dass die Seite wirkt wie ein legitimer Bot-Schutz: „Bitte reparieren / Please verify“. Dahinter steckt Copy-&-Paste in Run bzw. Terminal. 

3. „Dein Browser ist veraltet – Update jetzt“

Das Pop-up sieht nach Chrome, Edge oder Firefox aus, inklusive Logo. Statt Store- bzw. Update-Link: „Führe diesen Befehl aus, um das Update zu installieren.“

4. „Video kann nicht abgespielt werden – Codec/DRM fehlt“

Besonders perfide bei Seiten, wo man „nur kurz was anschauen“ will: „Aktiviere Wiedergabe durch Ausführen dieses Fixes.“ (Spoiler: es ist kein echter Codec.) 

5. „Microsoft Teams oder SharePoint Dokument kann nicht geöffnet werden“

Köder: „Sicherheitskomponente fehlt“ oder „Zugriff muss repariert werden“ – gerne in sehr professionellem Deutsch. 

6. „GitHub-Scanner oder Repo Security Check“

Köder: „Scanne dieses Repo schnell lokal“ – und dann kommt ein „Fix“-Befehl. (Gern gesehen in Entwickler- oder Admin-Zielgruppen, wie CERN berichtet.)

7. IT-Support Pop-up: „Dein PC ist infiziert – Schritt-für-Schritt“

Tom's Guide warnt: ClickFix tarnt sich als „Hilfe“. Manche Kampagnen liefern sogar Video-Anleitungen, zugeschnitten auf dein Betriebssystem, plus Timer für Druck.

8. Die Zwischenablage-Falle: „Klick auf Fix“ kopiert heimlich den Befehl

Du klickst auf „Fix“ – und die Seite kopiert automatisch eine Command-Zeile in deine Zwischenablage. Danach sollst du nur noch „einfügen“. 

9. FileFix: PowerShell über die Adressleiste im Datei-Explorer

Variante von ClickFix: Statt Win+R heißt es „Öffne Explorer“ → „füge diesen Pfad oben ein“. Das ist aber PowerShell-Code, der durch cleveres Maskieren harmlos aussieht, wie TechRadar in diesem kurzen Bericht beschreibt.

10. TerminalFix

„Öffne Terminal bzw. PowerShell als Nutzer“. Gerade bei IT-affinen Nutzern funktioniert das: „Starte PowerShell und führe aus…“ 

11. DownloadFix

„Lade dieses Tool herunter, dann ‘Fix’ ausführen“. Hier wird es klassischer – aber das Framing bleibt: „Das ist nur ein Fix.“

12. DNS-Trick: Payload kommt per nslookup bzw. DNS-Abfrage

Laut Bleeping Computer nutzen neuere ClickFix-Ketten sogar DNS-Mechaniken, um Teile der Nutzlast nachzuladen – für viele Umgebungen ein ungewohntes Muster. Die Opfer werden angewiesen, den Befehl „nslookup“ auszuführen, der eine Anfrage an einen vom Angreifer kontrollierten DNS-Server statt an den Standard-DNS-Server des Systems sendet. Daraufhin wird ein bösartiges PowerShell-Skript ausgeführt, das dann auf dem Gerät ausgeführt wird, um Malware zu installieren.

Warum ClickFix so gut funktioniert 

  • Psychologie: „Ich löse das schnell selbst.“ Genau darauf zielt die Methode. 
  • Professionalität: Texte wirken sauber, technisch plausibel, oft mehrsprachig und darum authentisch „wie IT“. 
  • Skalierung: Es gibt Berichte über „Builder“ oder Kits und eine breite Nutzung durch unterschiedliche Akteure. 
  • Folgen: Häufig werden Infostealer (Passwörter, Session-Cookies) oder Remote-Access-Tools nachgeladen – daraus entstehen dann weitere Angriffe im Unternehmen.

Die 8-Punkte-Checkliste: Woran du ClickFix in Sekunden erkennst

Wenn du auch nur 1–2 Punkte siehst: Stopp. Nicht „fixen“.

  1. Eine Website fordert dich auf, Win+R zu drücken.
  2. Du sollst etwas einfügen (Ctrl+V), obwohl du nichts kopiert hast (oder „Fix“ hat „was kopiert“). 
  3. Du bekommst eine  Schritt-für-Schritt-Anleitung für „Fix“, „Verify“, „Update“, „Enable“, „Repair“. 
  4. Es wirkt wie Cloudflare oder CAPTCHA, ist aber ungewöhnlich „interaktiv“ mit Tastenkürzeln.
  5. Zeitdruck: Timer mit „nur 30 Sekunden“, „Account wird gesperrt“. 
  6. Der „Fix“ soll über PowerShell oder Terminal laufen.
  7. Der „Pfad“ im Explorer sieht komisch aus (FileFix).
  8. Du bist über eine Anzeige, einen ungewöhnlichen Suchtreffer oder eine Weiterleitung dort gelandet.

Was du als IT-Entscheider konkret tun kannst 

1. Eine klare „Nie Copy-Paste von Webseiten in Run oder PowerShell“-Regel

Das ist der wichtigste Hebel. Mach daraus eine einfache Team-Regel – wie „Keine Passwörter per Mail“.

Vorlage für euren internen Hinweis (copy-&-paste-fertig):

Wenn eine Website dich auffordert, Win+R, PowerShell oder Terminal zu öffnen und etwas einzufügen: Abbrechen, Tab schließen, Screenshot ans IT-Team. Niemals Befehle von Webseiten ausführen!

2. Awareness mit echten Screenshots (nicht nur „Phishing“-Poster)

ClickFix sieht anders aus als klassische Phishing-Mails. Trainiere genau diese Pop-ups (CAPTCHA, Cloudflare, „Fix“-Dialoge). Microsoft und Bitdefender zeigen typische Muster und Flows sehr greifbar.

3. „Chokepoints“: Auf Verhalten schauen, nicht auf Dateinamen

Viele Varianten ändern dauernd Details – aber das Grundverhalten bleibt: Nutzer startet Run, PowerShell oder fügt etwas in die Explorer-Adressleiste ein → Script lädt nach. Solche „Erkennungs-Engstellen“ sind in der Praxis hilfreich, um dein Team zu sensibilisieren.

4. Schutz dort verstärken, wo ClickFix startet

Viele Kampagnen kommen über Web (malvertising, kompromittierte Seiten) oder E-Mail. Reduziere Risiko durch Web-Security, Ad- bzw. Script-Kontrollen, und sauberes Patchen.

5. Incident-Mini-Playbook: Was tun, wenn's jemand ausgeführt hat?

  • Gerät nicht weiter benutzen
  • Netzwerkverbindung ggf. trennen
  • IT und Security sofort informieren
  • Passwörter und Session-Tokens als kompromittiert behandeln (insb. Browser, SSO)

ClickFix ist „einfach“ – und genau deshalb so gefährlich

ClickFix ist kein Hightech-Exploit. Es ist hochprofessionelle Manipulation, verpackt als „kleiner Fix“.

Wenn du es schaffst, im Unternehmen einen Reflex zu etablieren („Keine Befehle von Webseiten ausführen – niemals“), hast du schon viel gewonnen.
Vollständigen Beitrag anzeigen