Ein Trojaner – benannt nach dem berühmten Trojanischen Pferd aus der griechischen Mythologie – ist Schadsoftware, die sich als nützliches oder harmloses Programm tarnt. Du denkst, Du installierst ein kostenloses Tool, ein Update oder öffnest ein Dokument – doch im Hintergrund richtet ein verstecktes Schadprogramm Unheil an. Trojaner zählen seit Jahrzehnten zu den häufigsten und vielseitigsten Bedrohungen für Computer.
Wie funktioniert das?
Anders als ein Computervirus verbreitet sich ein Trojaner nicht selbstständig. Er ist darauf angewiesen, dass Du ihn selbst auf Deinen Rechner holst – allerdings ohne es zu wissen. Die Tarnung ist der Kern des Konzepts: Ein Trojaner sieht aus wie etwas Vertrauenswürdiges.
Typische Verbreitungswege sind E-Mail-Anhänge (eine angebliche Rechnung, eine Bewerbung, ein Lieferschein), Downloads aus unseriösen Quellen, gefälschte Software-Updates oder manipulierte Webseiten. Manche Trojaner verstecken sich sogar in Cracks und Keygens für kommerzielle Software – wer Geld sparen will, zahlt am Ende einen viel höheren Preis.
Trojaner lassen sich in verschiedene Kategorien einteilen, je nachdem, was sie anrichten:
Banking-Trojaner haben es auf Dein Geld abgesehen. Sie überwachen Deine Browser-Aktivitäten und warten, bis Du Dich bei Deiner Online-Banking-Seite anmeldest. Dann manipulieren sie im Hintergrund die Überweisung – Du siehst die korrekte Empfänger-IBAN auf dem Bildschirm, aber tatsächlich geht das Geld an ein Konto der Kriminellen.
Infostealer (Informationsdiebe) durchsuchen Deinen Computer nach allem, was wertvoll ist: gespeicherte Passwörter im Browser, Kreditkartendaten, Krypto-Wallet-Schlüssel, Cookies für angemeldete Sitzungen, Zugangs-Tokens und persönliche Dokumente. All das wird komprimiert und an die Angreifer gesendet – oft innerhalb von Sekunden.
Remote Access Trojaner (RATs) geben den Angreifern die vollständige Kontrolle über Deinen Rechner. Sie können Deinen Bildschirm sehen, Deine Tastatureingaben aufzeichnen, Deine Webcam aktivieren und Dateien hoch- und herunterladen. Du merkst davon nichts.
Downloader-Trojaner sind die Vorhut für größere Angriffe. Sie selbst richten wenig Schaden an, aber sie laden im Hintergrund weitere Schadsoftware nach – Ransomware, Cryptominer oder mächtigere Trojaner. Das macht sie besonders gefährlich, weil der eigentliche Angriff erst nach der Erstinfektion beginnt.
Moderne Trojaner kombinieren oft mehrere dieser Funktionen. Sie stehlen zuerst Deine Daten, laden dann Ransomware nach und nutzen Dein System nebenbei noch zum Schürfen von Kryptowährungen.
Beispiele aus der Praxis
Emotet galt laut BSI als „die gefährlichste Malware der Welt". Was als Banking-Trojaner begann, entwickelte sich zur universellen Angriffsplattform. Emotet verbreitete sich über täuschend echte E-Mails, die sich in bestehende Konversationen einklinkten – sogenanntes Thread-Hijacking. Du bekamst eine Antwort auf eine echte E-Mail, die Du vor Wochen versendet hattest, mit einem infizierten Anhang. Die Erkennungsrate war erschreckend niedrig. Alle Details in unserem Schadenbeispiel zu Emotet.
TrickBot begann ebenfalls als Banking-Trojaner, wurde aber schnell zum Schweizer Taschenmesser der Cyberkriminellen. TrickBot konnte Passwörter stehlen, sich in Netzwerken ausbreiten und diente als Türöffner für die berüchtigte Ryuk-Ransomware. Die Kombination Emotet → TrickBot → Ryuk wurde zur gefürchtetsten Angriffskette der späten 2010er-Jahre. Mehr dazu in unserem Schadenbeispiel zu TrickBot.
Dridex ist ein Banking-Trojaner, der seit 2014 aktiv ist und von der Cybercrime-Gruppe Evil Corp betrieben wird. Dridex hat weltweit Schäden in Höhe von über 100 Millionen Dollar verursacht, indem er gezielt Online-Banking-Zugangsdaten abfing. Wie Dridex arbeitet und welchen Schaden er anrichtete, zeigt unser Schadenbeispiel zu Dridex.
Wie schützt Deep Freeze davor?
Trojaner sind darauf ausgelegt, sich dauerhaft auf Deinem System einzunisten. Sie schreiben sich in die Autostart-Einträge, verstecken sich in Systemordnern und manipulieren Registry-Schlüssel, damit sie jeden Neustart überleben. Genau hier greift Deep Freeze: Beim Neustart wird die Systemfestplatte auf ihren eingefrorenen Zustand zurückgesetzt. Jede Änderung, die ein Trojaner vorgenommen hat – jede installierte Datei, jeder manipulierte Registry-Eintrag, jeder Autostart-Eintrag – wird vollständig gelöscht.
Das bedeutet: Selbst wenn Du versehentlich einen Trojaner ausführst, reicht ein Neustart, um Dein System vollständig zu bereinigen. Der Trojaner kann sich nicht festsetzen, kann keine Persistenz aufbauen und überlebt keinen Reboot. Für Downloader-Trojaner, die erst weitere Malware nachladen, ist das besonders wirkungsvoll – die gesamte Angriffskette wird beim Neustart unterbrochen.
Trojaner leben von Tarnung und Persistenz – sie verstecken sich und graben sich tief ins System ein. Eine eingefrorene Systempartition macht beides unmöglich: Egal wie gut die Tarnung war, beim nächsten Neustart ist der Spuk vorbei.