Keylogger sind Programme oder Geräte, die Tas­ta­tur­ein­ga­ben mit­pro­to­kol­lie­ren. Gefahr geht von solchen Key­log­gern aus, die speziell An­mel­de­da­ten wie Namen und Pass­wör­ter auslesen und unbefugt an Dritte über­mit­teln. Das ist eine Bedrohung der Da­ten­si­cher­heit Ihrer E-Mail-Pass­wör­ter, Social-Media-Konten oder On­line­ban­king-Daten. Solche Keylogger werden nicht nur von einzelnen Hackern, sondern ebenso auch von Er­mitt­lungs­be­hör­den und Nach­rich­ten­diens­ten genutzt, um ver­trau­li­che Daten aus­zu­spio­nie­ren. Der Begriff Keylogger wird häufig synonym mit Spyware verwendet. Spyware ist aber der über­ge­ord­ne­te Begriff für Schad-Software, die gezielt In­for­ma­tio­nen des Nutzers aus­schnüf­felt. Der Begriff „Keylogger“ ist enger gefasst, da diese lediglich die Tas­ta­tur­ein­ga­ben ermitteln.

De­fi­ni­ti­on Keylogger

Ein Keylogger ist eine Soft- oder Hardware, die Tas­ta­tur­ein­ga­ben mit­schreibt, um diese an Dritte wei­ter­zu­ge­ben. Das gefährdet die Da­ten­si­cher­heit, da auf diese Weise Unbefugte An­mel­de­da­ten wie bei­spiels­wei­se Pass­wör­ter gewinnen können, über die sie dann Zugriff auf noch mehr Daten haben.

Bild: Grafische Darstellung zur Funktionsweise von Keyloggern
Keylogger lesen Tas­ta­tur­ein­ga­ben mit und geben diese an Dritte weiter.

Nicht alle Keylogger sind schäd­li­cher oder illegaler Natur. Mit Key­log­ging lässt sich das Verhalten eines Nutzers am Computer über­prü­fen – das muss nicht prin­zi­pi­ell aus kri­mi­nel­len Be­weg­grün­den geschehen. So er­leich­tern Keylogger unter anderem auch das Do­ku­men­tie­ren der Com­pu­ter­nut­zung für wis­sen­schaft­li­che Zwecke – bei­spiels­wei­se um Daten zum mensch­li­chen Verhalten am Computer zu gewinnen. Keylogger-Programme und -Geräte sind an sich also nicht zwingend illegal. Sie werden erst si­cher­heits­tech­nisch be­denk­lich, wenn sie ohne Zu­stim­mung des Computer-Anwenders in­stal­liert werden.

Wurde Ihr E-Mail-Konto gehackt, sind Sie mög­li­cher­wei­se Opfer eines Key­log­gers geworden. Erfahren Sie in diesem Ratgeber-Artikel zum Thema "E-Mail-Account gehackt: Was tun?", wie Sie den Zugriff auf Ihr Konto zu­rück­er­lan­gen.

Keylogger-Software

Auf Software-Seite funk­tio­nie­ren Keylogger über oftmals un­auf­fäl­li­ge Hin­ter­grund­pro­zes­se, die Tas­ta­tur­ein­ga­ben kopieren. Einige Keylogger können auch Screen­shots des ein­ge­ge­be­nen Texts erstellen. Dann werden diese Daten meist online wei­ter­ge­ge­ben oder in einer Datei auf der Fest­plat­te des Opfers ab­ge­spei­chert. In letzt­ge­nann­tem Fall wird dann wiederum unerlaubt auf die Fest­plat­te zu­ge­grif­fen. Diese Art Keylogger sind die be­kann­tes­ten und lassen sich mithilfe einer Firewall oder eines An­ti­vi­ren­pro­gram­mes effektiv bekämpfen. Keylogger-Software gibt es in vielen un­ter­schied­li­chen Varianten. Im Folgenden stellen wir einige davon vor.

Keylogger-Software / Prinzip / Tech­no­lo­gie Funk­tio­na­li­tät
Einfache Software-Basis Com­pu­ter­pro­gramm, das durch einen Hin­ter­grund­pro­zess Tas­ta­tur­be­feh­le mitliest.
Hy­per­vi­sor-Basis Der Keylogger nistet sich mithilfe eines Hy­per­vi­sor-Schad­pro­gramms hinter das Be­triebs­sys­tem ein – das Be­triebs­sys­tem selbst bleibt dadurch unberührt. Dadurch funk­tio­niert der Keylogger quasi als virtuelle Maschine und läuft un­ab­hän­gig vom Be­triebs­sys­tem.
Kernel-Basis Das Schad­pro­gramm nistet sich direkt im Be­triebs­sys­tem ein und ver­schafft sich Zugriff zum Root-Konto. Dort werden Tas­ta­tur­ein­ga­ben mit­pro­to­kol­liert. Diese Keylogger können sich auch als Treiber tarnen und sind relativ schwer zu entdecken. An­ti­vi­ren­scan­ner brauchen bei­spiels­wei­se einen Root-Zugang, um diese Art Schad-Software ausfindig zu machen. Ein Beispiel für sie ist der Kernel-basierte Trojaner Duqu.
API-Basis Diese Keylogger verbinden sich mit Tastatur-APIs (Ap­pli­ca­ti­on Pro­gramming In­ter­faces, also Pro­gram­mier­schnitt­stel­len) und reagieren auf jeden Tas­ten­druck.
Form-Grabbing-Basis Diese Art von Keylogger pro­to­kol­liert Online-Formulare und kopiert ent­spre­chen­de An­mel­de­da­ten. Außerdem kann die Software sich Zugriff auf die Browser-History ver­schaf­fen und so ermitteln, welche Seiten besucht wurden.
Man-in-the-Browser-Basis (MITB) Auch „Memory Injection” genannt. Diese Keylogger nisten sich im Web­brow­ser ein und pro­to­kol­lie­ren unbemerkt Tas­ta­tur­ein­ga­ben. So erfassen diese Keylogger z.B. über Ein­ga­be­fel­der ab­ge­schick­te In­for­ma­tio­nen und speichern sie in die internen Logs des Browsers. An­schlie­ßend wird von außen auf die Logs zu­ge­grif­fen.
Remote-Access-Basis Diese fern­ge­steu­er­ten Keylogger er­mög­li­chen den Zugriff auf die Schad-Software von außen. Die pro­to­kol­lier­ten Tas­ta­tur­ein­ga­ben werden mittels E-Mail oder Upload „angezapft“. Diese Keylogger arbeiten auch häufig in Verbund mit ent­spre­chen­der Hardware.

Keylogger-Hardware

Viele In­ter­net­nut­zer wissen gar nicht, dass auch Hardware-Keylogger exis­tie­ren und nicht nur Software Pass­wör­ter aus­spio­niert. Diese Art Keylogger kann bei­spiels­wei­se in Form eines kleinen USB-Steckers zum Einsatz kommen, der zwischen Tastatur und Computer gesteckt wird. Solch ein Stecker verfügt über einen internen Speicher, in dem Pro­to­kol­le der Tas­ta­tur­ein­ga­ben abgelegt werden. Entfernt man später den Keylogger, kann man die ge­spei­cher­ten Pro­to­kol­le auslesen. Hardware-basierte Keylogger gibt es aber auch in sehr ein­falls­rei­chen und über­ra­schen­den Varianten, die teilweise an James-Bond-Gimmicks erinnern. Pri­vat­nut­zer werden mit ihnen al­ler­dings eher selten in Berührung kommen.

Keylogger-Hardware/Prinzip/Tech­no­lo­gie Funk­tio­na­li­tät
Tastatur-Zusatz-Hardware Zwischen Tastatur und Computer wird eine zu­sätz­li­che Hardware in­stal­liert – ty­pi­scher­wei­se direkt am Ver­bin­dungs­ka­bel der Tastatur. Auch „Key­Grab­ber“ genannt, sind diese Keylogger meist als kleine Ste­cker­auf­sät­ze gestaltet, die über einen internen Speicher verfügen. In diesem werden die Tas­ta­tur­ein­ga­ben pro­to­kol­liert. Key­Grab­ber gibt es sowohl für USB- als auch für PS2-An­schlüs­se. Ty­pi­scher­wei­se werden diese Geräte direkt am Com­pu­ter­an­schluss befestigt und fallen dem Nutzer nur bei genauerem Hinsehen auf. Das gilt besonders dann, wenn z.B. am Ar­beits­platz die An­schlüs­se des Computers nicht direkt sichtbar sind (bei­spiels­wei­se, weil der Tower auf dem Boden unterm Schreib­tisch steht).
Firmware-Basis Diese Hardware-spe­zi­fi­schen Keylogger pro­to­kol­lie­ren Tas­ta­tur­ein­ga­ben auf BIOS-Ebene. Oft braucht man dafür phy­si­schen Zugang zur Hardware und min­des­tens Root-Zugang. Keylogger auf Firmware-Basis kommen z. B. auch in Form von Aufsätzen für Hard­ware­pla­ti­nen zum Einsatz. Sie sind nicht sichtbar, solange man das be­trof­fe­ne Gerät nicht öffnet.
Tastatur- und Maus-Sniffer Diese Geräte lesen Daten mit, die von einer draht­lo­sen Tastatur oder Maus zum Ziel­sys­tem über­tra­gen werden. Da die drahtlose Kom­mu­ni­ka­ti­on oft ver­schlüs­selt statt­fin­det, muss der Sniffer dann auch den Code cracken.
Tastatur-Aufsätze Diese Methode des Key­log­gings nutzen Kri­mi­nel­le häufig bei Bank­au­to­ma­ten. Sie in­stal­lie­ren einen Aufsatz auf das Ein­ga­be­feld des Automaten. Dieser Aufsatz ist oft nur schwer zu erkennen und wird vom Nutzer als in­te­gra­ler Teil des Automaten wahr­ge­nom­men. Geben Kunden dann ihre PINs und anderen ver­trau­li­chen Daten ein, füttern sie damit un­frei­wil­lig den Keylogger.
Akus­ti­sche Keylogger Diese Geräte werten die Geräusche aus, die ein Nutzer mit der Tastatur am Computer ver­ur­sacht. Schließ­lich ver­ur­sacht das Drücken jeder Taste einer Tastatur ein anderes Geräusch – das für den Menschen al­ler­dings nicht zu un­ter­schei­den ist. Akus­ti­sche Keylogger arbeiten darüber hinaus mit Sta­tis­ti­ken zum mensch­li­chen Verhalten am Computer, um den vom ab­ge­horch­ten Nutzer ein­ge­ge­be­nen Text zu re­kon­stru­ie­ren. Ty­pi­scher­wei­se brauchen diese Geräte al­ler­dings eine aus­rei­chen­de Pro­ben­grö­ße von min­des­tens 1000 Tas­ten­an­schlä­gen.
Auffangen elek­tro­ma­gne­ti­scher Wellen Alle Tas­ta­tu­ren erzeugen elek­tro­ma­gne­ti­sche Wellen, die eine Reich­wei­te von bis zu 20 Metern haben können. Spezielle Geräte können diese Wellen re­gis­trie­ren und auslesen.
Vi­deo­über­wa­chung Unter den Begriff des Key­log­gings kann auch die tra­di­tio­nel­le Vi­deo­über­wa­chung fallen. Nämlich dann, wenn die Tas­ta­tur­ein­ga­be mithilfe einer Kamera be­ob­ach­tet und extern mit­pro­to­kol­liert wird.
Physische Spu­ren­ana­ly­se Diese Technik kommt weniger bei tra­di­tio­nel­len PC-Tas­ta­tu­ren zum Einsatz, sondern bei nu­me­ri­schen Ein­ga­be­fel­dern. Werden bestimmte Tasten öfter gedrückt als andere, hin­ter­lässt das physische Spuren, mit denen sich bei­spiels­wei­se ein Passwort re­kon­stru­ie­ren lässt.
Smart­phone-Sensoren Moderne Smart­phones verfügen über so­ge­nann­te Be­schleu­ni­gungs­mes­ser, die man zu spe­zi­el­len Key­log­gern um­pro­gram­mie­ren kann. Dann kann das Smart­phone, sofern es sich in der Nähe der Ziel­tas­ta­tur befindet, die Vi­bra­tio­nen auslesen, die beim Tippen erzeugt werden.

Wie Sie sich vor Key­log­gern schützen können

Die meisten Keylogger können Sie mit einem Vi­ren­scan­ner und einer aktuellen Firewall gut eindämmen. Natürlich werden aber stetig neue Keylogger ent­wi­ckelt, deren Signatur von den Schutz­pro­gram­men nicht umgehend als schädlich erkannt wird. Wichtig ist daher auch Ihr Verhalten am Computer, wollen Sie das Risiko des Key­log­gings mi­ni­mie­ren. Wir haben einige Tipps für Sie, wie Sie sich vor Key­log­gern schützen können.

  • Halten Sie Ihre Si­cher­heits­soft­ware aktuell. Verwenden Sie leis­tungs­fä­hi­ge An­ti­vi­ren­pro­gram­me und Echtzeit-Scanner, um sich vor Key­log­gern zu schützen. Die meisten Keylogger werden von jedem halbwegs guten An­ti­vi­ren­pro­gramm gefunden und entfernt. Dennoch sollten Sie bei der Qualität der Software nicht sparen – ins­be­son­de­re dann nicht, wenn Sie am Computer re­gel­mä­ßig streng ver­trau­li­che Daten wie Kon­to­da­ten eingeben.
  • Spezielle Pass­wort­ma­na­ger helfen Ihnen nicht nur dabei, das Pass­wort­cha­os ein­zu­däm­men. Sie erzeugen auf Wunsch auch hoch­kom­ple­xe Pass­wör­ter, die sich von Key­log­gern nur schwer pro­to­kol­lie­ren lassen. Außerdem verfügen diese Programme oft über eine Autofill-Funktion, dank der Sie Ihre An­mel­de­da­ten nicht manuell eingeben müssen. Schließ­lich können Keylogger meist nur das mitlesen, was Sie auch tat­säch­lich eintippen.
  • Bei An­mel­de­da­ten gilt die Multi-Faktor-Au­then­ti­fi­zie­rung (MFA) als äußerst sicher. Dabei wird vom Nutzer nicht nur ein Passwort abgefragt, sondern auch eine meist in­ter­ak­ti­ve Au­then­ti­fi­zie­rung mit einem variablen Faktor (z. B. mithilfe des Handys) verlangt. Selbst wenn Keylogger an das ei­gent­li­che Passwort gelangen, ist das allein dank der MFA nutzlos.
  • Keylogger-Hardware kommt bei Pri­vat­per­so­nen so gut wie nie zum Einsatz. Wenn Sie aber z. B. am Ar­beits­platz mit streng ver­trau­li­chen Daten hantieren, die für Kon­kur­ren­ten in­ter­es­sant sein könnten, kann es nicht schaden, ab und an Ihre An­schlüs­se zu über­prü­fen. Halten Sie Ausschau nach ver­däch­tig aus­se­hen­den Zwi­schen­ste­ckern. Wenn Sie glauben, Opfer einer Keylogger-Hardware zu sein, sollten Sie die IT-Abteilung darüber in­for­mie­ren, bevor sie den ver­meint­li­chen Keylogger entfernen.
  • Ein einfacher Trick, um Key­log­gern vor­zu­beu­gen, besteht darin, die virtuelle Tastatur zu nutzen. In Windows rufen Sie diese auf, indem Sie im Ausführen-Dialog (Win­dows­tas­te + R) „osk.exe“ ausführen. Da Keylogger meist nur physische Tas­ten­an­schlä­ge mitlesen, sind Sie besser geschützt, wenn Sie Ihre An­mel­de­da­ten über die virtuelle Tastatur eingeben.
  • Es gibt spezielle Tools im Internet, mit deren Hilfe sich Keylogger finden und entfernen lassen. Das be­kann­tes­te Tool ist wohl Spybot – Search & Destroy, von dem es auch eine recht leis­tungs­fä­hi­ge kos­ten­lo­se Version gibt. Ein anderes bewährtes Programm ist Mal­ware­bytes. Im Gegensatz zu um­fas­sen­de­ren An­ti­vi­ren­pro­gram­men wurden Spybot und Mal­ware­bytes speziell als Hilfs­mit­tel gegen Malware ent­wi­ckelt, die Ihre Daten aus­spio­nie­ren – wie eben auch Keylogger.
  • Besondere Vorsicht ist bei der Nutzung öf­fent­lich zu­gäng­li­cher Rechnern geboten. Vermeiden Sie grund­sätz­lich die Eingabe ver­trau­li­cher Daten auf öf­fent­li­chen Rechnern. Wenn Sie das dennoch tun müssen: Un­ter­su­chen Sie die An­schlüs­se nach ver­däch­ti­ger Hardware. Wenn Sie auf einer Website ein Passwort eingeben, un­ter­bre­chen Sie diesen Prozess und tippen Sie irgendwo un­zu­sam­men­hän­gen­de Zeichen ein, bevor Sie Ihr Passwort ver­voll­stän­di­gen. Mit dieser Methode können Sie po­ten­zi­el­le Keylogger unter Umständen aus­trick­sen. Zudem können Sie auch bei den meisten öf­fent­li­chen Computern auf die virtuelle Tastatur zu­rück­grei­fen.
Zum Hauptmenü