Keylogger

Ein Keylogger ist ein Programm oder physisches Gerät, das sämtliche Tastatureingaben eines Nutzers aufzeichnet und an einen Angreifer weiterleitet. Dabei werden Passwörter, Kreditkartennummern, vertrauliche Nachrichten und jede andere Eingabe erfasst — unabhängig davon, ob die Daten verschlüsselt übertragen werden, denn der Keylogger greift vor der Verschlüsselung am Eingabepunkt ab. Keylogger gehören zur Kategorie Spyware und werden häufig als Komponente von Trojanern oder umfassenderer Malware eingesetzt.

Software- vs. Hardware-Keylogger

Software-Keylogger laufen als Prozess auf dem Zielsystem und fangen Tastatureingaben auf Betriebssystemebene ab — etwa über API-Hooks, Kernel-Treiber oder das Auslesen des Tastaturpuffers. Sie lassen sich über Phishing-Mails, Drive-by-Downloads oder infizierte Software verbreiten und arbeiten im Hintergrund ohne sichtbare Anzeichen. Hardware-Keylogger sind physische Geräte, die zwischen Tastatur und Rechner gesteckt werden oder direkt in Tastaturen verbaut sind. Sie benötigen keine Softwareinstallation, hinterlassen keine Spuren im Betriebssystem und sind damit für Antivirenlösungen unsichtbar — erfordern aber physischen Zugang zum Gerät.

Erfassungsmethoden

Moderne Keylogger gehen über das reine Protokollieren von Tastenanschlägen hinaus. Screen Capture erstellt in regelmäßigen Abständen Screenshots, um auch Mauseingaben und Bildschirminhalte zu dokumentieren. Clipboard Logging erfasst den Inhalt der Zwischenablage — relevant, weil viele Nutzer Passwörter aus Passwortmanagern kopieren. Form Grabbing fängt Formulardaten direkt vor dem Absenden ab, bevor TLS die Übertragung verschlüsselt. Manche Varianten zeichnen gezielt nur bestimmte Anwendungen oder Webseiten auf, um das Datenvolumen zu reduzieren und die Erkennung zu erschweren.

Erkennung und Abwehr

EDR-Lösungen erkennen bekannte Keylogger-Varianten anhand von Signaturen und verdächtigem Verhalten wie dem Hooking von Tastatur-APIs oder dem regelmäßigen Versenden kleiner Datenpakete an externe Server. Verhaltensbasierte Erkennung ist entscheidend, da polymorphe Keylogger ihre Signatur laufend ändern. Auf Netzwerkebene kann ein SIEM verdächtige Datenströme identifizieren — etwa periodische Verbindungen zu unbekannten Endpunkten. Gegen Hardware-Keylogger helfen physische Inspektionen der USB-Anschlüsse und Tastaturen sowie verschlossene Gehäuse. Grundsätzlich reduziert Multi-Faktor-Authentifizierung den Schaden erheblich, da ein abgefangenes Passwort allein nicht ausreicht.

Keylogger als Bestandteil komplexer Angriffe

In der Praxis sind Keylogger selten isolierte Bedrohungen. Sie werden als Modul in mehrstufigen Angriffen eingesetzt: Ein Phishing-Angriff liefert den initialen Zugang, ein Trojaner etabliert Persistenz, und der integrierte Keylogger sammelt Zugangsdaten für Lateral Movement im Netzwerk. Besonders in Active-Directory-Umgebungen können so Domain-Admin-Credentials abgegriffen werden, die dem Angreifer vollständige Kontrolle über die Infrastruktur geben. FIDO2-basierte passwortlose Authentifizierung entzieht diesem Angriffsvektor die Grundlage, da keine abfangbaren Geheimnisse mehr eingegeben werden.

Keylogger und mobile Geräte

Keylogging beschränkt sich nicht auf klassische PCs. Auf mobilen Geräten können bösartige Tastatur-Apps sämtliche Eingaben mitschneiden — von Passwörtern bis hin zu Chat-Nachrichten. Da viele Drittanbieter-Tastaturen Eingaben zur Autovervollständigung an externe Server übertragen, verschwimmt die Grenze zwischen legitimer Funktionalität und Überwachung. In Unternehmensumgebungen sollte die Installation von Drittanbieter-Tastaturen über Mobile Device Management (MDM) eingeschränkt und nur geprüfte Tastatur-Apps zugelassen werden.

Rechtliche Aspekte

Der Einsatz von Keyloggern durch Arbeitgeber zur Mitarbeiterüberwachung ist in Deutschland durch die DSGVO und das Bundesdatenschutzgesetz streng reglementiert. Heimliche Überwachung von Tastatureingaben ist grundsätzlich rechtswidrig und kann arbeitsrechtliche sowie strafrechtliche Konsequenzen nach sich ziehen. Selbst bei begründetem Verdacht auf Missbrauch müssen verhältnismäßigere Mittel geprüft und der Betriebsrat einbezogen werden.

Relevanz für KMUs

Für mittelständische Unternehmen stellen Keylogger ein unterschätztes Risiko dar, weil sie unauffällig arbeiten und über Wochen oder Monate Daten sammeln können, bevor sie entdeckt werden. Wir finden in Assessments gelegentlich Keylogger-Komponenten in bereits kompromittierten Systemen, die lange vor der eigentlichen Untersuchung installiert wurden. Eine aktuelle EDR-Lösung auf allen Endpunkten ist die wichtigste technische Gegenmaßnahme. Ergänzend sollten Unternehmen MFA für alle geschäftskritischen Anwendungen aktivieren und Mitarbeitende für Phishing als häufigsten Verbreitungsweg sensibilisieren. Physische Sicherheit — insbesondere in öffentlich zugänglichen Bereichen — verhindert den Einsatz von Hardware-Keyloggern.