Das Wichtigste in Kürze
- ClickFix ist eine Social-Engineering-Masche: Ein gefälschtes CAPTCHA verleitet den Nutzer, einen Schadbefehl selbst auszuführen.
- Der Trick umgeht klassische Schutzmechanismen, weil keine Datei heruntergeladen wird – der Mensch ist die Ausführungsschicht.
- Die Masche ist explodiert: Sicherheitsfirmen meldeten 2025 einen Anstieg solcher Kampagnen um mehrere hundert Prozent; 2026 zählt sie zu den häufigsten Einfallstoren.
- Die wichtigste Regel ist simpel: Kein echtes CAPTCHA verlangt jemals, dass Sie Tastenkombinationen drücken oder Befehle einfügen.
- Technisch lässt sich der Angriff fast vollständig entschärfen, indem man den Ausführen-Dialog und PowerShell für normale Nutzer sperrt.
Wie ClickFix funktioniert
Das Opfer landet auf einer Seite, die ein gewohntes Bild zeigt: eine „Sicherheitsprüfung“, die wie Cloudflare Turnstile oder Google reCAPTCHA aussieht. Statt Bilderrätsel kommt aber eine Anweisung: «Zur Verifizierung führen Sie bitte diese Schritte aus – Schritt 1: Windows-Taste + R drücken. Schritt 2: Strg + V. Schritt 3: Enter.»
Was die Seite verschweigt: Sie hat im Hintergrund bereits einen verschleierten Befehl – meist eine PowerShell-Zeile – in die Zwischenablage des Nutzers kopiert. Windows-Taste + R öffnet den Ausführen-Dialog, Strg + V fügt den Schadbefehl ein, Enter startet ihn. Der Rechner lädt nun im Hintergrund Schadsoftware nach – häufig einen Infostealer, der Passwörter, Cookies und Session-Token abgreift. Kein Download-Dialog, keine verdächtige Datei: Das Opfer hat den Angriff mit eigenen Händen ausgelöst.
Warum die Masche so gut funktioniert
ClickFix umgeht genau die Schutzschichten, auf die sich viele KMU verlassen. Weil keine Datei heruntergeladen wird, schlägt der klassische Datei-Scan oft nicht an. Weil der Nutzer den Befehl selbst eintippt, sieht es für das System wie eine legitime, gewollte Aktion aus. Und weil CAPTCHAs millionenfach geübter Alltag sind, schaltet das Misstrauen ab – man will nur schnell „beweisen, dass man kein Roboter ist“. Diese Kombination aus technischer Tarnung und psychologischer Routine macht ClickFix zu einem der erfolgreichsten Angriffe 2026.
Wie Opfer auf die Seite gelangen
| Einfallstor | Wie es abläuft |
|---|---|
| Phishing-E-Mail | Link zu einer Landing-Page mit gefälschtem CAPTCHA, oft nach Umleitung über mehrere Domains |
| Gehackte legitime Websites | Angreifer schleusen JavaScript ein, das Besuchern eine falsche Verifizierung anzeigt |
| Malvertising / Suchanzeigen | Bezahlte oder manipulierte Anzeigen führen auf die präparierte Seite |
| Gefälschte Download- & Update-Seiten | Vermeintliche Software, Treiber oder Browser-Updates, die eine „Bestätigung“ verlangen |
| QR-Codes (Quishing) | QR-Code führt auf dem Handy oder PC auf die ClickFix-Seite |
Die Vielfalt der Einfallstore zeigt: Man kann sich nicht allein auf das Blockieren bestimmter Absender verlassen. Auch eine an sich seriöse, aber gehackte Website kann den gefälschten Dialog ausspielen. Deshalb braucht es eine Kombination aus geschulten Menschen und technischen Leitplanken.
Die eine Regel, die jeden im Team schützt
Kein echtes CAPTCHA der Welt verlangt jemals, dass Sie Tastenkombinationen drücken oder Text in ein Ausführen-Fenster, ein Terminal oder PowerShell einfügen. Sobald eine „Verifizierung“ Sie auffordert, Windows-Taste + R, Strg + V und Enter zu drücken – oder etwas zu kopieren und auszuführen – ist es ein Angriff. Fenster schliessen, nichts tun, IT informieren.
Die 7 wirksamsten Schutzmassnahmen
Die goldene Regel schulen
Bringen Sie dem ganzen Team den einen Satz bei: „CAPTCHAs verlangen nie Tastenkombinationen.“ Diese eine Regel stoppt fast jede ClickFix-Variante – unabhängig davon, wie überzeugend die Seite aussieht.
Ausführen-Dialog sperren
Per Gruppenrichtlinie oder Intune lässt sich der Win+R-Ausführen-Dialog für Standardnutzer deaktivieren. Damit fehlt der wichtigste Hebel des Angriffs – ohne den Arbeitsalltag spürbar einzuschränken.
PowerShell für Standardnutzer einschränken
Constrained Language Mode und PowerShell-Logging eindämmen, was normale Nutzer ausführen können. Die meisten Mitarbeitenden brauchen PowerShell nie – Angreifer schon.
Minimale Rechte vergeben
Niemand arbeitet täglich mit lokalen Admin-Rechten. Ohne erhöhte Rechte richtet ein versehentlich gestarteter Befehl deutlich weniger Schaden an. Das ist die Grundlage von Zero Trust.
EDR statt nur Antivirus
Modernes EDR/MDR erkennt verdächtiges Verhalten – etwa wenn der Ausführen-Dialog PowerShell startet, die Code aus dem Netz nachlädt. Genau dort, wo Datei-Scanner blind sind.
Web- und E-Mail-Filter härten
DNS-Filter, ein moderner Browser-Schutz und gute E-Mail-Filter blockieren viele Landing-Pages, bevor sie geladen werden. MFA verhindert, dass gestohlene Passwörter sofort verwertbar sind.
Meldeweg etablieren
Mitarbeitende müssen wissen, wohin sie einen Verdacht in Sekunden melden – ohne Angst vor Tadel. Je schneller ein Fehlklick gemeldet wird, desto kleiner der Schaden.
Die Massnahmen 2 bis 4 sind besonders wirkungsvoll, weil sie den Angriff technisch ins Leere laufen lassen – selbst wenn jemand auf die Masche hereinfällt. Wer ohnehin an Zero Trust und Intune-Geräteverwaltung arbeitet, hat hier viel Vorarbeit geleistet. Ergänzt durch EDR/MDR und regelmässiges Awareness-Training entsteht ein robuster Schutz.
Der Ernstfall: Schritte wurden ausgeführt
- Gerät sofort vom Netz trennen – LAN-Kabel ziehen, WLAN deaktivieren. Nicht herunterfahren, damit forensische Spuren erhalten bleiben.
- IT oder IT-Partner sofort informieren und das Gerät als kompromittiert behandeln.
- Alle Passwörter, die auf diesem Gerät genutzt wurden, von einem sauberen Gerät aus ändern – zuerst E-Mail, Banking und zentrale Konten.
- Aktive Sitzungen (Sessions) überall abmelden, da Infostealer oft Session-Token erbeuten und MFA so umgehen.
- Vorfall dokumentieren und dem Bundesamt für Cybersicherheit (NCSC) melden – das hilft auch anderen.
- Im Zweifel das System neu aufsetzen statt nur zu „bereinigen“ – Infostealer hinterlassen oft mehr als nur eine Datei.
Wer einen Incident-Response-Plan bereithält, verliert hier keine Zeit. Weil ClickFix häufig auf Passwort- und Session-Diebstahl zielt, sind ein guter Passwort-Manager und MFA doppelt wichtig.
Fazit: Einfache Regel, harte Technik
ClickFix ist 2026 deshalb so erfolgreich, weil er den Menschen zur Ausführungsschicht macht und damit klassische Dateischutz-Mechanismen umgeht. Die Abwehr ist trotzdem gut machbar – und für ein KMU bezahlbar.
Die Mischung wirkt: eine einprägsame Regel für alle Mitarbeitenden plus technische Leitplanken, die einen Fehlklick folgenlos machen – gesperrter Ausführen-Dialog, eingeschränkte PowerShell, minimale Rechte und EDR. Wer beides umsetzt, nimmt einem der gefährlichsten aktuellen Angriffe die Wirkung.
Ihr KMU gegen ClickFix absichern
Wir härten Ihre Windows-Geräte per Intune, schränken Ausführen-Dialog und PowerShell sicher ein, richten EDR ein und schulen Ihr Team mit echten Beispielen – pragmatisch und ohne den Arbeitsalltag auszubremsen.
Beratung anfragen