Zuletzt aktualisiert am 06.12.2025 7 Minuten Lesezeit

Trojaner

Trojaner (auch Trojanisches Pferd genannt) sind Schadprogramme, die sich als nützliche oder legitime Software tarnen, im Hintergrund jedoch schädliche Funktionen ausführen. Der Name stammt aus der griechischen Mythologie: Wie das hölzerne Pferd, mit dem griechische Soldaten unbemerkt in die Stadt Troja gelangten, schleust ein Trojaner Schadcode in Computersysteme ein, indem er das Vertrauen des Nutzers ausnutzt.

Im Gegensatz zu Viren und Würmern können sich Trojaner nicht selbstständig verbreiten. Sie sind darauf angewiesen, dass Benutzer die infizierte Datei aktiv herunterladen und ausführen. Diese Abhängigkeit von menschlicher Interaktion macht Trojaner zu einem bevorzugten Werkzeug für Cyberkriminelle, die Social Engineering und Täuschung als Hauptangriffsstrategie nutzen.

Funktionsweise eines Trojaners

Ein typischer Trojaner besteht aus zwei Komponenten: dem Server-Teil, der auf dem infizierten Computer läuft, und dem Client-Teil, über den sich der Angreifer mit dem System verbindet. Nach der Installation öffnet der Trojaner-Server einen Kommunikationskanal zum Angreifer, häufig über sogenannte Command-and-Control-Server (C&C-Server).

Die Infektionskette verläuft typischerweise so:

  1. Der Angreifer verbreitet den Trojaner über E-Mail-Anhänge, manipulierte Websites oder gefälschte Software-Downloads
  2. Das Opfer führt die infizierte Datei aus, oft in der Annahme, ein legitimes Programm zu installieren
  3. Der Trojaner-Server installiert sich im Hintergrund und versteckt sich vor dem Benutzer
  4. Eine Verbindung zu Command-and-Control-Servern wird aufgebaut
  5. Der Angreifer erhält Fernzugriff auf das kompromittierte System

Trojaner sind besonders gefährlich, weil sie oft lange unentdeckt bleiben. Sie sind speziell darauf ausgelegt, ihre Gegenwart zu verbergen und normale Systemoperationen nicht zu beeinträchtigen. So können sie über Monate hinweg Daten sammeln oder als Teil eines Botnetzes missbraucht werden.

Arten von Trojanern

Es gibt zahlreiche spezialisierte Trojaner-Varianten, die für unterschiedliche Angriffsziele entwickelt wurden:

Backdoor-Trojaner und Remote Access Trojaner (RAT)

Backdoor-Trojaner öffnen eine verborgene Hintertür auf dem System, durch die Angreifer unberechtigten Fernzugriff erlangen. Remote Access Trojaner (RAT) sind eine erweiterte Form, die dem Angreifer vollständige Kontrolle über den Computer ermöglicht – einschließlich Maus, Tastatur, Dateisystem und sogar Webcam oder Mikrofon.

Banking-Trojaner

Banking-Trojaner zielen speziell auf Finanzdaten ab. Sie stehlen Zugangsdaten für Online-Banking, fangen Transaktionen ab oder manipulieren Überweisungen. Bekannte Beispiele sind Zeus (auch Zbot genannt), TrickBot und Qakbot. Diese Trojaner nutzen häufig Web-Injection-Techniken, um schädlichen Code in Bank-Websites einzuschleusen.

Downloader- und Dropper-Trojaner

Downloader-Trojaner laden nach der Installation weitere Malware aus dem Internet nach. Dropper-Trojaner haben die zusätzliche Schadsoftware bereits im Gepäck und installieren sie sofort. Beide Varianten dienen häufig als Einfallstor für Ransomware oder Spyware.

Spyware-Trojaner und Info-Stealer

Diese Trojaner sammeln heimlich Informationen: Sie zeichnen Tastatureingaben auf (Keylogging), erstellen Screenshots, überwachen laufende Programme oder greifen auf gespeicherte Passwörter zu. Die gesammelten Daten werden an den Angreifer übertragen.

DDoS-Trojaner

DDoS-Trojaner (Distributed Denial of Service) wandeln infizierte Computer in Zombie-Geräte um, die Teil eines Botnetzes werden. Von einem zentralen Server aus können Angreifer dann koordinierte Überlastungsangriffe auf Webserver oder Netzwerke starten.

Verbreitungswege

Trojaner gelangen auf verschiedenen Wegen auf Computersysteme:

  • Phishing-E-Mails: Infizierte Anhänge oder Links zu manipulierten Websites, oft getarnt als Rechnungen, Bewerbungen oder Paketbenachrichtigungen
  • Drive-by-Downloads: Automatischer Download beim Besuch kompromittierter Websites, ohne aktives Zutun des Nutzers
  • Gefälschte Software: Trojaner versteckt in Crack-Dateien, vermeintlich kostenlosen Premium-Programmen oder gefälschten Updates
  • Social Engineering: Manipulation von Nutzern, um sie zur Installation zu bewegen (z.B. gefälschte Virenwarnungen)
  • Infizierte USB-Sticks: Trojaner auf externen Speichermedien, die bei Anschluss automatisch aktiviert werden
  • Kompromittierte Supply Chain: Trojaner in legitimen Software-Updates, wie beim NotPetya-Angriff 2017

Besonders gefährlich sind Office-Dokumente mit eingebetteten VBA-Makros. Wenn der Benutzer die Bearbeitung aktiviert, wird der Trojaner automatisch ausgeführt. Bekannte Trojaner wie Emotet und TrickBot nutzten diese Methode für massenhafte Verbreitung.

Bekannte Trojaner-Beispiele

Zeus (Zbot)

Zeus wurde 2005 entwickelt und 2007 erstmals entdeckt. Er gilt als einer der ausgereiftesten Banking-Trojaner und war darauf spezialisiert, Zugangsdaten für Online-Banking zu stehlen. Zeus nutzte Web-Injection, um schädlichen JavaScript-Code in Bank-Websites einzuschleusen. Eine besonders gefährliche Variante ist GameOver Zeus, die zusätzlich Ransomware als Fallback implementierte.

Emotet

Emotet wurde 2014 als Banking-Trojaner entdeckt, entwickelte sich aber zu einem modularen Allzweck-Trojaner. Er verbreitete sich über täuschend echte E-Mails, die angeblich von bekannten Kontakten stammten (Outlook-Harvesting). Emotet diente häufig als Einfallstor für weitere Malware wie Ransomware und war bis zu seiner Zerschlagung durch internationale Behörden 2021 eine der größten Cyber-Bedrohungen.

TrickBot

TrickBot tauchte 2016 auf und entwickelte sich von einem Banking-Trojaner zu einer hochkomplexen, modularen Malware. Seine Besonderheit: Er kann sich selbstständig im lokalen Netzwerk weiterverbreiten. TrickBot wurde häufig in Kombination mit Emotet und der Ransomware Ryuk für koordinierte Angriffe eingesetzt.

Erkennung von Trojaner-Infektionen

Da Trojaner darauf ausgelegt sind, unentdeckt zu bleiben, ist ihre Erkennung eine Herausforderung. Dennoch gibt es Warnsignale:

  • Verlangsamung des Systems: Der Trojaner oder nachgeladene Programme beanspruchen Ressourcen
  • Seltsame Pop-ups: Besonders gefälschte Sicherheitswarnungen können auf Scareware-Trojaner hindeuten
  • Deaktivierte Sicherheitssoftware: Trojaner blockieren oft Firewalls und Antivirenprogramme
  • Unbekannte Netzwerkaktivität: Verbindungen zu Command-and-Control-Servern im Hintergrund
  • Fehlende oder verschobene Dateien: Dateimanipulation durch den Trojaner
  • Unerwartete Programm-Installationen: Automatisch installierte Software ohne Nutzeraktion

Moderne Erkennungsmethoden umfassen signaturbasierte Scans, Verhaltensanalyse, Sandbox-Tests und KI-gestützte Anomalieerkennung. Intrusion Detection Systeme (IDS) können verdächtige Netzwerkverbindungen zu bekannten bösartigen IP-Adressen aufspüren.

Schutzmaßnahmen

Effektiver Schutz vor Trojanern erfordert eine mehrschichtige Strategie:

Technische Maßnahmen

  • Aktuelle Antivirus-Software: Mit regelmäßigen Signatur-Updates und Echtzeitschutz
  • Regelmäßige Updates: Betriebssystem und alle Anwendungen zeitnah aktualisieren, um Sicherheitslücken zu schließen
  • Firewall-Konfiguration: Verdächtige ein- und ausgehende Verbindungen blockieren
  • Makros deaktivieren: Office-Makros nur für vertrauenswürdige Dokumente aktivieren
  • Multi-Faktor-Authentifizierung (MFA): Selbst bei gestohlenem Passwort bleibt der Account geschützt
  • Regelmäßige Backups: Offline oder in der Cloud, um bei Ransomware-Befall Daten wiederherstellen zu können
  • Netzwerksegmentierung: Begrenzt die Ausbreitung bei einer Infektion

Organisatorische Maßnahmen

  • Security Awareness Training: Mitarbeiter für Phishing und Social Engineering sensibilisieren
  • Least Privilege Prinzip: Benutzerkonten mit minimalen Rechten verwenden
  • Software nur aus vertrauenswürdigen Quellen: Offizielle Hersteller-Websites und App-Stores nutzen
  • Vorsicht bei E-Mail-Anhängen: Auch bei bekannten Absendern kritisch prüfen
  • Incident-Response-Plan: Vorbereitete Reaktionspläne für den Ernstfall

Entfernung eines Trojaners

Bei Verdacht auf eine Trojaner-Infektion solltest du schnell handeln:

  1. Internetverbindung trennen: Unterbricht die Kommunikation zum Angreifer
  2. Abgesicherten Modus starten: Verhindert das automatische Laden des Trojaners
  3. Antivirus-Scan durchführen: Mit aktueller Software das gesamte System prüfen
  4. Verdächtige Prozesse beenden: Im Task-Manager unbekannte Programme stoppen
  5. Passwörter ändern: Von einem sauberen Gerät aus alle wichtigen Zugangsdaten erneuern
  6. System wiederherstellen: Bei hartnäckigen Infektionen ist eine Neuinstallation oft die sicherste Lösung

Viele Antivirus-Anbieter stellen kostenlose Rescue-CDs bereit, die das Booten von einem sauberen Medium ermöglichen und eine gründliche Systemprüfung durchführen können. Das BSI bietet hierzu ausführliche Anleitungen.

Relevanz für die IT-Ausbildung

Das Verständnis von Trojanern ist für IT-Auszubildende fundamental wichtig. Fachinformatiker für Systemintegration müssen Antivirenlösungen konfigurieren, Netzwerke absichern und im Ernstfall Infektionen analysieren und beheben können. Fachinformatiker für Anwendungsentwicklung sollten verstehen, wie Trojaner funktionieren, um sichere Software zu entwickeln, die nicht als Einfallstor missbraucht werden kann.

In der IHK-Prüfung können Trojaner im Kontext von IT-Sicherheit, Malware-Klassifikation und Schutzmaßnahmen relevant sein. Typische Prüfungsthemen umfassen:

  • Unterscheidung von Malware-Typen (Virus, Wurm, Trojaner)
  • Technische und organisatorische Schutzmaßnahmen (TOMs)
  • Incident Response und Notfallmanagement
  • BSI-Grundschutz und ISMS-Konzepte

Quellen und weiterführende Links

Zurück zum Lexikon

Datenschutzhinweis

Keine Tracking-Cookies. Wir nutzen Fathom Analytics: cookieless, anonym und DSGVO-konform. YouTube-Videos werden über youtube-nocookie.com eingebunden.