Definition

Keylogger

von
Zuletzt aktualisiert: Okt. 26, 2025

Was ist ein Keylogger?

Ein Keylogger ist eine Art von Überwachungstechnologie, die dazu dient, jeden Tastenanschlag auf einem bestimmten Gerät, wie beispielsweise einem Computer oder Smartphone, zu überwachen und aufzuzeichnen. Er kann entweder hardware- oder softwarebasiert sein.

Wozu werden Keylogger verwendet?

Keylogger werden häufig von Cyberkriminellen als Spyware-Tool eingesetzt, um personenbezogene Daten, Anmeldedaten und sensible Unternehmensdaten zu stehlen.

Allerdings können ganz bestimmte Verwendungszwecke von Keyloggern in Einzelfällen in unterschiedlichem Maße als vertretbar oder angemessen angesehen werden. Keylogger können beispielsweise auch aus folgenden Gründen eingesetzt werden:

  • Von Gerätebesitzern zur Verfolgung möglicher unbefugter Aktivitäten auf ihren Geräten.
  • Von Strafverfolgungsbehörden zur Analyse von Vorfällen im Zusammenhang mit der Computernutzung.

Arten von Keyloggern

Es gibt zwei Haupttypen von Keyloggern.

Hardwarebasierte Keylogger

Ein hardwarebasierter Keylogger ist ein kleines Gerät, das als Verbindung zwischen der Tastatur und dem Computer dient. Das Gerät ist so konzipiert, dass es einem USB-Adapter ähnelt (früher auch PS/2-Anschluss) oder einem Teil der Computerverkabelung ähnelt, sodass es für jemanden, der das Verhalten eines Benutzers überwachen möchte, relativ einfach ist, das Gerät zu verstecken.

Softwarebasierte Keylogger

Ein Keylogging-Programm erfordert keinen physischen Zugriff auf den Computer des Benutzers, um installiert zu werden. Es kann gezielt von jemandem heruntergeladen werden, der die Aktivitäten auf einem bestimmten Computer überwachen möchte, oder es kann sich um Malware handeln, die vom Benutzer der Tastatur und seines Geräts unwissentlich heruntergeladen und dann als Teil eines Rootkits oder eines Fernwartungstrojaners (Remote Access Trojaner) ausgeführt wird. In beiden Fällen ermöglicht Keylogging-Software einem unbefugten Angreifer, die Tastenanschläge des Benutzers zu sehen und dieses Wissen dann zu nutzen, um auf das Gerät zuzugreifen und es zu kompromittieren.

Es gibt zwei Haupttypen von Software-Keyloggern:

  • Benutzermodus-Keylogger verwenden eine Windows-API, um Tastatur- und Mausbewegungen abzufangen. GetAsyncKeyState- oder GetKeyState-API-Funktionen können ebenfalls erfasst werden. Bei diesen Keyloggern muss der Angreifer jeden Tastendruck aktiv überwachen.
  • Kernel-Mode-Keylogger sind eine leistungsfähigere und komplexere Methode der Software-Keylogging. Sie arbeiten mit höheren Berechtigungen und sind in einem System schwerer zu finden. Darüber hinaus können sie das interne Windows-System über den Kernel verändern.

Einige Keylogging-Programme können über Tastatur-APIs andere Anwendungen ausführen, bösartige Skripte einschleusen oder Speicherinjektionen durchführen.

Wie funktionieren Keylogger?

Ein Hardware-Keylogger kann in Form eines Moduls vorliegen, das in die Tastatur selbst eingebaut ist. Wenn der Benutzer auf der Tastatur tippt, erfasst der Keylogger jeden Tastenanschlag und speichert ihn als Text auf seiner eigenen Festplatte, die eine Speicherkapazität von bis zu mehreren GByte haben kann. Die Person, die den Keylogger installiert hat, muss das Gerät physisch entfernen, um auf die gesammelten Informationen zugreifen zu können. Es gibt auch drahtlose Keylogger-Sniffer, die Datenpakete abfangen und entschlüsseln können, die zwischen einer drahtlosen Tastatur und ihrem Empfänger übertragen werden.

Ein gängiger Software-Keylogger besteht unter Windows aus zwei Dateien, die im selben Verzeichnis installiert werden: einer Dynamic-Link-Library-Datei (DLL), die die Aufzeichnung vornimmt, und einer ausführbaren Datei, die die DLL-Datei installiert und auslöst. Das Keylogger-Programm zeichnet jeden Tastenanschlag des Benutzers auf und lädt die Informationen regelmäßig über das Internet hoch, wo der Angreifer dann darauf zugreifen kann.

Einige Keylogging-Programme können neben der Aufzeichnung von Tastenanschlägen auch Funktionen zur Erfassung von Benutzerdaten enthalten, beispielsweise das Erfassen aller in die Zwischenablage kopierten Inhalte und das Erstellen von Screenshots des Benutzerbildschirms oder einer einzelnen Anwendung.

Wie man einen Keylogger erkennt

Ein Anti-Keylogger ist ein Programm, das speziell zum Scannen nach softwarebasierten Keyloggern entwickelt wurde. Diese Programme vergleichen die Dateien auf einem Computer mit einer Keylogger-Signaturdatenbank oder einer Checkliste mit gängigen Keylogger-Attributen. Die Verwendung von Sicherheitssoftware wie einem Anti-Keylogger kann effektiver sein als ein Antiviren- oder Antispyware-Programm. Letztere könnten einen Keylogger fälschlicherweise als legitimes Programm statt als Spyware identifizieren.

Allerdings kann eine Anti-Spyware-Anwendung möglicherweise Keylogger-Software mit geringeren Berechtigungen als sie selbst finden und deaktivieren. Durch die Verwendung eines Netzwerkmonitors wird sichergestellt, dass der Benutzer jedes Mal benachrichtigt wird, wenn eine Anwendung versucht, eine Netzwerkverbindung herzustellen, sodass das Sicherheitsteam die Möglichkeit hat, mögliche Keylogger-Aktivitäten zu unterbinden.

Die Überprüfung des Task-Managers des Systems kann ebenfalls bei der Erkennung eines Keyloggers helfen. Da Keylogger jedoch den Kernel eines Betriebssystems manipulieren können, reicht die Überprüfung des Task-Managers nicht unbedingt aus, um einen Keylogger zu erkennen. Daher ist es empfehlenswert, ein Anti-Keylogger-Programm zu verwenden. Dies kann natürlich auch Bestandteil anderer Sicherheitslösungen sein.

Schutz vor Keyloggern

Hardware-Keylogger lassen sich zwar durch eine Sichtprüfung identifizieren, doch ist dies in großem Maßstab unpraktisch und zeitaufwendig. Stattdessen bietet eine Firewall einen besseren Schutz, indem sie die Übertragung von Tastatureingaben vom Computer des Opfers zum Angreifer erkennt und verhindert.

Passwortmanager, die Benutzernamen und Passwörter automatisch in die entsprechenden Felder eintragen, können zum Schutz vor Keyloggern beitragen. Dies kann aber auch eigene Sicherheitsprobleme mit sich bringen.

Überwachungssoftware und Antivirensoftware können ebenfalls den Zustand eines Systems überwachen und dabei helfen, Keylogger zu verhindern.

Zu den zusätzlichen Vorsichtsmaßnahmen gehören die Verwendung eines Sicherheitstokens als Teil der Zwei-Faktor-Authentifizierung, um sicherzustellen, dass ein Angreifer sich nicht allein mit einem gestohlenen Passwort in das Konto eines Benutzers einloggen kann.

Mit Hilfe von Anwendungs-Allowlists kann außerdem sichergestellt werden, dass nur dokumentierte, autorisierte Programme auf einem System ausgeführt werden können.

Erfahren Sie mehr über Bedrohungen