Trojaner
Schadsoftware, die sich als nützliches Programm tarnt, um unbemerkt schädliche Funktionen auszuführen.
Ein Trojaner — benannt nach dem Trojanischen Pferd der griechischen Mythologie — ist Malware, die sich als legitime Software tarnt. Im Gegensatz zu Würmern verbreiten sich Trojaner nicht selbstständig: Sie sind darauf angewiesen, dass ein Nutzer sie aktiv installiert oder ausführt, meist ohne die schädliche Funktion zu erkennen. Diese Täuschung macht Trojaner zu einem der häufigsten und vielseitigsten Angriffswerkzeuge.
Kategorien von Trojanern
Trojaner dienen als Transportmechanismus für verschiedenste schädliche Funktionen. Die Kategorisierung richtet sich nach dem primären Zweck der versteckten Schadfunktion.
| Kategorie | Zweck | Beispiel |
|---|---|---|
| RAT (Remote Access Trojan) | Fernsteuerung des Systems | Angreifer übernimmt Maus, Tastatur, Dateisystem |
| Banking-Trojaner | Diebstahl von Finanzdaten | Manipulation von Online-Banking im Browser |
| Downloader-Trojaner | Nachladen weiterer Malware | Installiert Ransomware oder Spyware |
| Backdoor-Trojaner | Dauerhafter Zugang | Öffnet versteckten Fernzugriff für Angreifer |
| Proxy-Trojaner | Missbrauch als Proxy | Leitet Angreifer-Traffic über das Opfersystem |
Remote Access Trojaner (RATs) sind in der Praxis besonders gefährlich, weil sie dem Angreifer nahezu vollständige Kontrolle über das System geben — einschließlich Dateizugriff, Kameraaktivierung und Lateral Movement im Netzwerk.
Verbreitungswege
Trojaner nutzen die Schwachstelle Mensch. Phishing-E-Mails mit manipulierten Anhängen — etwa ein vermeintliches PDF, das eine ausführbare Datei enthält — sind der häufigste Vektor. Daneben verbreiten sich Trojaner über gefälschte Software-Downloads, kompromittierte Webseiten und manipulierte Updates.
Wir finden in Assessments regelmäßig Szenarien, in denen Mitarbeitende Software von inoffiziellen Quellen installiert haben — sei es ein vermeintlich kostenloses Tool oder ein „Crack" für lizenzierte Software. In beiden Fällen ist die Wahrscheinlichkeit hoch, dass ein Trojaner mitgeliefert wurde. Social Engineering verstärkt diesen Vektor: Angreifer nutzen Zeitdruck, Autorität oder Neugier, um zur Installation zu bewegen.
Trojaner im Unternehmenskontext
Im Unternehmensumfeld sind Trojaner oft der erste Schritt einer mehrstufigen Angriffskette. Ein Downloader-Trojaner etabliert den Erstzugang, lädt dann spezialisierte Tools nach — etwa einen Infostealer für Active-Directory-Credentials oder Ransomware für die finale Erpressung. Zwischen dem initialen Befall und der eigentlichen Schadwirkung vergehen häufig Tage oder Wochen, in denen sich Angreifer unbemerkt im Netzwerk ausbreiten.
Diese Dwell Time macht SIEM-Monitoring und EDR unverzichtbar: Selbst wenn der Trojaner die erste Verteidigungslinie überwindet, können verhaltensbasierte Analysen die nachfolgenden Aktivitäten — ungewöhnliche Netzwerkverbindungen, Privilege Escalation, Datenexfiltration — erkennen und Alarm auslösen.
Schutzmaßnahmen
Effektiver Schutz vor Trojanern kombiniert technische Kontrollen mit organisatorischen Maßnahmen. Auf der technischen Seite sind Anwendungs-Whitelisting, Ausführungsverhinderung aus temporären Verzeichnissen und konsequentes Patch-Management zentral. E-Mail-Gateways mit Sandbox-Analyse können verdächtige Anhänge in isolierten Umgebungen ausführen und beurteilen, bevor sie den Empfänger erreichen.
Organisatorisch sind Security-Awareness-Trainings entscheidend: Mitarbeitende müssen verdächtige Dateien und Installationsaufforderungen erkennen können. Eine klare Richtlinie, die Softwareinstallationen auf freigegebene Quellen beschränkt, reduziert die Angriffsfläche erheblich.
Relevanz für KMUs
Trojaner sind für KMUs eine der relevantesten Bedrohungen, weil sie auf menschliche Interaktion setzen — und kleinere Unternehmen oft weder dedizierte Security-Teams noch restriktive Softwarerichtlinien haben. Die Kombination aus Awareness-Schulungen, EDR-Monitoring, E-Mail-Filterung und eingeschränkten Installationsrechten bildet einen wirksamen Grundschutz. Regelmäßige Schwachstellenprüfungen decken auf, ob bestehende Schutzmaßnahmen greifen oder Trojaner bereits unbemerkt aktiv sind.