Wichtige Frist: Letzte SG-UTM Lizenzverlängerung bis 31.12.2025 Kostenloses Firewall-Sizing für Ihre IT-Infrastruktur Access Point Angebot: Bis zu 25% Rabatt auf Sophos AP6 420E & 840E Risiken jetzt aufdecken: Externe Schwachstellenanalyse Rabatt bei Herstellerwechsel: 50% auf Sophos XGS & Xstream Sophos Firewall praxisnah erlernen: 1-Tages-Training Aktuelle Sophos-Angebote für Neu- & Bestandskunden

Zuletzt aktualisiert am 22.12.2025

Was sind Trojaner? Erklärung, Funktionsweise & professioneller Schutz

In den Kategorien: Cybersecurity FAQ Was sind Trojaner? Erklärung, Funktionsweise & professioneller Schutz

Was ist ein Trojaner?

Trojaner sind eine Form von Malware, die sich als legitime Software ausgebibt und so Systeme infiziert. Der Name geht auf das Trojanische Pferd der Mythologie zurück, da sich die eigentliche Bedrohung hinter einer scheinbar harmlosen Anwendung, einem E-Mail-Anhang oder einem Update verbirgt.

Im Unterschied zu klassischen Computerviren oder Würmern verbreiten sich Trojaner in der Regel nicht selbstständig. Sie werden aktiv vom Nutzer ausgeführt, zum Beispiel durch einen Download, einen Klick in einer Phishing-Mail oder die Installation eines vermeintlichen Hilfsprogramms. Danach verankert sich der Trojaner im System, baut verdeckte Kommunikationskanäle auf und schafft die Grundlage für weitere Angriffe.

In vielen Sicherheitsvorfällen dienen Trojaner nicht als Endziel, sondern als Werkzeug für größere Angriffsketten. Sie öffnen Hintertüren, sammeln Zugangsdaten, kartieren Netzwerke und bereiten Ransomware-Angriffe oder Datendiebstahl vor. Das betrifft sowohl professionelle IT-Infrastrukturen als auch private Endgeräte. Die technische Grundlage ist meist identisch, der Schaden durch Trojaner in Unternehmens- und Behördennetzen ist jedoch deutlich größer.

Grafische Darstellung einer Trojaner-Angriffskette vom Download bis zur vollständigen Kompromittierung

Wie funktioniert ein Trojaner?

Der Ablauf eines Trojaner-Angriffs folgt in vielen Fällen einem ähnlichen Muster. Der psychologische Teil ist dabei häufig entscheidender als der technische. In Vorfällen in mittelständischen Umgebungen zeigt sich regelmäßig, dass kleine Unachtsamkeiten ausreichen, um Trojaner dauerhaft zu etablieren.

Köder und Tarnung: Ein präpariertes Dokument, ein angeblich dringendes Update, eine vermeintliche Bewerbungsmappe oder ein Remote-Support-Tool wird zugestellt oder zum Download angeboten.
Ausführung: Das Programm oder Dokument wird geöffnet. Im Vordergrund erscheint ein plausibler Inhalt, im Hintergrund installiert sich der Trojaner.
Persistenz: Der Trojaner richtet Autostart-Einträge ein, nutzt geplante Tasks oder legitime Systemdienste und übersteht damit Neustarts.
Außenkommunikation: Über Command-and-Control-Infrastruktur werden Befehle empfangen, Daten ausgeleitet oder weitere Module nachgeladen.
Schadphase: Je nach Typ reichen die Auswirkungen von Datendiebstahl über Fernsteuerung bis zur Vorbereitung einer Ransomware-Kampagne.

In gut dokumentierten Vorfällen ist häufig zu sehen, dass Trojaner nicht sofort maximalen Schaden anrichten. Sie sammeln zunächst Informationen, testen Berechtigungen und lernen die Umgebung kennen. Gerade in professionellen Netzen mit vielen Systemen ist diese Vorbereitungsphase für Angreifende besonders wertvoll.

Trojanern-Arten im Überblick: RAT, Banking-Trojaner, Spyware, Dropper, Ransomware, Botnet-Trojaner und Mobile Trojaner

Welche Arten von Trojanern gibt es?

Trojaner lassen sich nach ihrer Hauptfunktion in verschiedene Gruppen einteilen. Viele moderne Varianten sind modular aufgebaut und kombinieren mehrere Rollen. Die folgenden Kategorien helfen bei der Einordnung.

Remote-Access-Trojaner (RAT)

Remote-Access-Trojaner ermöglichen einen vollständigen Fernzugriff auf kompromittierte Systeme. Sie erlauben das Auslesen von Bildschirminhalten, das Kopieren von Dateien, Tastaturmitschnitte und die Ausführung beliebiger Befehle. In professionellen Umgebungen dienen RATs häufig als Ausgangspunkt für eine längerfristige, unbemerkte Präsenz.

Banking-Trojaner

Banking-Trojaner konzentrieren sich auf Zahlungsprozesse und Finanzdaten. Sie manipulieren Browser-Sitzungen, lesen Formulare aus oder verändern Transaktionen. Neben privaten Konten geraten zunehmend auch Geschäftskonten, Buchhaltungssysteme und Portale von Banken oder Payment-Dienstleistern in den Fokus.

Spyware- und Stealer-Trojaner

Spyware- und Stealer-Trojaner sammeln gezielt Informationen. Dazu gehören Zugangsdaten, Browser-Cookies, gespeicherte Passwörter, VPN-Profile oder vertrauliche Dokumente. Die gewonnenen Daten werden in vielen Fällen für weitergehende Angriffe genutzt, etwa für gezielte Ransomware-Kampagnen oder die Übernahme von Cloud-Konten.

Downloader- und Dropper-Trojaner

Downloader- und Dropper-Trojaner sind meist schlank aufgebaut. Ihre Aufgabe besteht darin, unauffällig weitere Schadsoftware nachzuladen. In vielen Ransomware-Fällen zeigt sich, dass zunächst ein Downloader aktiv war, bevor später Verschlüsselungssoftware oder Botnet-Komponenten nachgezogen wurden.

Ransomware-Trojaner

Für Ransomware-Attacken wir häufig das Trojaner-Prinzip mit einer Verschlüsselungsfunktion kombiniert. Ransomware-Trojaner tarnen sich zunächst als harmloses Programm, sammeln Informationen und greifen danach auf Dateien und Systeme zu, um diese zu verschlüsseln.

Botnet-Trojaner

Botnet-Trojaner machen betroffene Systeme zu einem Teil eines Botnetzes. Die kompromittierten Geräte nehmen an DDoS-Angriffen teil, versenden Spam oder führen automatisierte Anmeldeversuche aus. In Unternehmensnetzen fällt das häufig erst durch ungewöhnlichen ausgehenden Datenverkehr oder Sperrlisten-Einträge auf.

Mobile Trojaner

Mobile Trojaner zielen auf Smartphones und Tablets. Sie treten als scheinbar legitime Apps, Systemoptimierer oder Erweiterungen auf und greifen Nachrichten, Zugangsdaten oder Push-TANs ab. Kritisch wird es, wenn mobile Endgeräte direkten Zugriff auf Unternehmensressourcen haben. Das Thema Mobile Security spielt sowohl in Unternehmen als auch im privaten Umfeld eine immer wichtigere Rolle.

Wie gelangen Trojaner ins System?

Trojaner müssen aktiv ausgeführt werden. Angreifende konzentrieren sich daher auf Situationen, in denen Downloads, Anhänge und Installationen als normaler Bestandteil des Arbeitsalltags wahrgenommen werden. Dazu gehören kaufmännische Prozesse, Supportfälle oder Wartungsszenarien.

Infektionswege von Trojanern: Phishing, malicious Updates, Drive-by-Downloads, Malvertising, Software und Datenträge

Typische Infektionswege von Trojanern

Die folgende Tabelle fasst zentrale Infektionswege von Trojanern zusammen. Sie gilt sowohl für private Endgeräte als auch für Netze von Unternehmen und Behörden.

Infektionsweg	Beschreibung	Typische Gefahr
Phishing-E-Mails	Dokumente oder Archive mit Makros oder Skripten, die beim Öffnen Schadcode nachladen.	Erster Zugriff auf Systeme, Datendiebstahl, Vorbereitung von Ransomware-Kampagnen.
Gefälschte Updates und Tools	Trojanisierte Installationsdateien, die sich als Treiber-, Browser- oder Sicherheitsupdate ausgeben.	Installation mit erweiterten Rechten, dauerhafte Kompromittierung zentraler Systeme.
Drive-by-Downloads	Manipulierte Webseiten, die beim Besuch Loader oder Skripte ausführen.	Unbemerkte Installation von Downloadern oder Stealer-Trojanern auf Arbeitsrechnern.
Malvertising	Schadhafte Werbung auf ansonsten legitimen Websites, die auf infizierte Downloads verweist.	Ausnutzung des Vertrauens in bekannte Domains, schwer zu erkennen für Nutzende.
Manipulierte Software-Pakete	Veränderte Installer in inoffiziellen Downloadportalen oder kompromittierten Mirrors.	Trojaner mit denselben Rechten wie die eigentliche Software, häufig mit Administratorrechten.
Externe Datenträger	USB-Sticks oder mobile Festplatten mit präparierten Dateien oder Skripten.	Infektion isolierter Systeme, insbesondere in OT-, Labor- oder Verwaltungsumgebungen.

Social Engineering und Tarnmechanismen

Der technische Unterbau eines Trojaners ist austauschbar. Entscheidend ist die Geschichte, die ihn begleitet. In der Praxis nutzen Angreifer Social Engineering und orientieren sich an bestehenden Abläufen, wie Rechnungsfreigaben, Lieferavis, Projektunterlagen, Bewerbungsverfahren oder internen Freigabestrecken. Häufig werden hierzu gezielte Phishing-Kampagnen genutzt.

Trojaner in professionellen IT-Umgebungen vermeiden

In gewachsenen Unternehmens- und Verwaltungsnetzen wiederholen sich bestimmte Muster immer wieder, die Infektionen mit Trojanern begünstigen:

Gemeinsame Admin-Konten: Ein einzelnes, breit genutztes Administrationskonto wird kompromittiert. Der Trojaner kann daraufhin Konfigurationen ändern, Dienste installieren und weitere Systeme erreichen.
Flache Netzwerke: Ohne Segmentierung reichen wenige kompromittierte Clients, um kritische Server zu erreichen. Trojaner-Operatoren kartieren Freigaben und wählen lohnende Ziele aus.
Unübersichtliche Remote-Zugänge: Historische VPN- oder RDP-Lösungen bleiben aktiv, obwohl sie kaum noch benötigt werden. Nach einem Diebstahl von Zugangsdaten werden sie zur bequemen Eintrittspforte.
Shadow-IT und Spezialsoftware: Wartungstools, Fernzugriffslösungen oder Branchenapplikationen mit erweiterten Rechten werden selten überprüft. Sie eignen sich dadurch besonders gut als Träger für Trojaner.

Gerade in kleineren IT-Teams bleibt oft wenig Zeit für die Bereinigung solcher Strukturen. Aus Sicht der Angreifenden reichen dann wenige Trojaner-Infektionen aus, um sich dauerhaft in einer Umgebung festzusetzen.

Wie lassen sich Trojaner erkennen?

Trojaner sollen möglichst unauffällig bleiben. Deutliche Pop-up-Fenster oder sichtbare Fehlermeldungen sind eher selten. Häufig sind es viele kleine Auffälligkeiten, die im Zusammenhang betrachtet ein klares Bild ergeben.

ungewöhnliche Netzwerkverbindungen zu unbekannten oder blockierten Zielen
neue oder unerwartete Dienste und geplante Aufgaben auf Servern und Clients
Alarmmeldungen von Endpoint- oder Firewall-Lösungen, die zunächst einzeln harmlos wirken
veränderte Browser-Einstellungen, zusätzliche Erweiterungen oder Zertifikatswarnungen
Anmeldungen außerhalb üblicher Arbeitszeiten oder aus ungewohnten Regionen
Lastspitzen auf Systemen ohne erkennbaren Grund

In Vorfällen mit professionell betriebenen Trojanern zeigt sich oft, dass diese Signale zunächst als störend, aber nicht als kritisch wahrgenommen werden. Erst eine korrelierte Sicht über mehrere Systeme macht deutlich, dass es sich um eine koordinierte Kampagne handelt.

Technische Erkennung von Trojanern

Moderne Sicherheitslösungen setzen auf mehrere Verfahren, um Trojaner zu erkennen. Jedes Verfahren bringt eigene Stärken mit, im Zusammenspiel steigen Erkennungsqualität und Geschwindigkeit deutlich.

Signaturbasierte Erkennung: Bekannte Trojaner-Familien werden anhand charakteristischer Muster in Dateien und Netzwerkverkehr identifiziert.
Verhaltensanalyse: Im Fokus stehen Aktivitäten wie unerwartete Registry-Änderungen, Autostart-Manipulationen, laterale Bewegung oder untypischer Datenabfluss.
Machine Learning und Heuristik: Muster in Code und Verhalten werden bewertet, um neue oder leicht angepasste Varianten ohne spezifische Trojaner-Signatur zu erkennen.
Threat Intelligence: Informationen zu aktuellen Trojaner-Kampagnen, Command-and-Control-Infrastruktur und Indikatoren kompromittierter Systeme fließen in die Bewertung ein.
Korrelierte Sicht über mehrere Systeme: XDR-Lösungen (Extended Detection and Response) verknüpfen Ereignisse aus Endpoints, Firewalls, Identitätsdiensten und Cloud-Workloads. Dadurch werden Angriffsketten sichtbar, die auf einzelnen Systemen unauffällig wirken.

Vorgehen bei Trojaner-Verdacht im Unternehmen

Bei Verdacht auf einen Trojaner im Unternehmen entscheidet häufig die erste Stunde darüber, ob der Vorfall lokal bleibt oder sich zu einem umfassenden Sicherheitsereignis entwickelt. Bestimmte Schritte haben sich in der Praxis bewährt.

Systeme isolieren: Betroffene Hosts aus produktiven Netzsegmenten entfernen, VPN-Verbindungen trennen und seitlichen Datenverkehr einschränken.
Beweise sichern: Protokolldaten, Speicherabbilder und relevante Artefakte sichern, bevor Bereinigungsmaßnahmen starten.
Zugänge prüfen: Kritische Konten identifizieren, Kennwörter zurücksetzen und Berechtigungskonzepte überprüfen.
Umfang analysieren: Mit XDR- oder MDR-Lösungen und forensischen Werkzeugen klären, welche Systeme den Trojaner bereits ausführen oder Kontakt zur Angreiferinfrastruktur hatten.
Bereinigung planen: Bereinigungsaktionen koordiniert durchführen, anstatt einzelne Systeme in Isolation zu behandeln.
Erkenntnisse umsetzen: Ursachen wie fehlende Segmentierung oder zu weit gefasste Berechtigungen identifizieren und dauerhaft adressieren.

Für Trojaner-Infektionen und andere Cyberattacken, sollten Organisationen stets einen Incident-Response-Plan entwickeln, der das Vorgehen in Verdachts- und Ernstfällen festlegt.

Grundlagen: Wie kann man sich vor Trojanern schützen?

Zahlreiche Trojaner-Angriffe lassen sich bereits durch konsequente Basismaßnahmen deutlich erschweren. Das gilt sowohl für private Endgeräte als auch für den beruflichen Alltag. Hier die wichtigsten Grundlagen zum Schutz vor Trojanern im Überblick:

Software nur aus vertrauenswürdigen Quellen und offiziellen App-Stores beziehen
Betriebssysteme, Browser und Anwendungen regelmäßig aktualisieren
E-Mail-Anhänge und Links sorgfältig prüfen und Dateiendungen einblenden
Makros in Office-Dokumenten nur bei klarer Notwendigkeit aktivieren
Endpoint-Schutz aktiv halten und automatische Updates nutzen
Wichtige Daten regelmäßig sichern und Wiederherstellung testen

Schaubild eines mehrschichtigen Schutzkonzepts gegen Trojaner mit Endpoint, Firewall, E-Mail-Sicherheit und Backups

Schutz vor Trojanern in Unternehmen und Behörden

Professionelle IT-Umgebungen von Unternehmen oder Benhörden benötigen zum Schutz vor Trojanern ein Sicherheitskonzept, welches technische Maßnahmen, Prozesse und Monitoring verbindet. Eine Trojaner-Infektion wird sonst schnell zum Einstiegspunkt für umfassende Angriffe.

Endpoint-Schutz und Hardening

Fortschrittliche Endpoint-Security-Lösungen kombinieren signaturbasierte Verfahren mit Exploit-Abwehr, Verhaltensanalyse und Schutz vor dateilosen Angriffen. In Verbindung mit systematischem Patch-Management, einem vollständigen Inventar und einem konsequenten Least-Privilege-Ansatz sinkt die Wahrscheinlichkeit, dass Trojaner dauerhaft Fuß fassen.

Perimeter- und Netzwerk-Sicherheit

Leistungsfähige Hardware Firewalls prüfen ein- und ausgehenden Datenverkehr, erkennen verdächtige Muster und begrenzen laterale Bewegungen. Intrusion-Prevention-Systeme, TLS-Inspection und segmentiertes Ost-West-Firewalling erschweren es, unbemerkt von einer Komponente zur nächsten zu wechseln.

E-Mail- und Web-Sicherheit

Da E-Mail nach wie vor einer der meistgenutzten Verteilwege für Trojaner ist, ist E-Mail-Sicherheit im Unternehmensumfeld ein wichtiger Faktor. E-Mail-Security-Lösungen analysieren Anhänge, Links und Skripte bereits vor der Zustellung.

Identitäten, Konten & MFA

Viele Trojaner zielen indirekt auf Identitäten. Gestohlene Administratorzugänge, kompromittierte VPN-Accounts oder missbrauchte Dienstkonten schaffen weitreichende Möglichkeiten für Folgeangriffe. Getrennte Nutzer- und Admin-Konten, Mehr-Faktor-Authentifizierung, überprüfte Berechtigungskonzepte und eine Überwachung kritischer Anmeldeereignisse reduzieren dieses Risiko deutlich.

Detection & Response (XDR/MDR)

Selbst gehärtete Umgebungen sind nicht vollständig frei von Risiko. XDR-Lösungen (Extended Detection & Response) bündeln Telemetrie aus Endpoints, Firewalls, Identitäts- und Cloud-Diensten und ermöglichen eine frühzeitige Erkennung von Trojaner-Aktivitäten. Managed Detection & Response (MDR) ergänzt dies um ein 24/7 Security Operations Center, welches IT-Infrastrukturen rund um die Uhr überwacht und bei Bedarf aktiv eingreift.

Typische Fehler im Umgang mit Trojanern

Viele erfolgreiche Trojaner-Angriffe entstehen nicht durch bisher unbekannte Schwachstellen, sondern durch vermeidbare Versäumnisse im Alltag von Organisationen.

Zu weit gefasste Berechtigungen

In Netzwerken mit großzügig verteilten lokalen Adminrechten oder sehr breiten Freigaben können Trojaner nach der Erstinfektion schnell Wirkung entfalten. Ein einziges kompromittiertes Konto kann ausreichen, um zahlreiche Systeme zu beeinflussen.

fehlende Trennung von Benutzer- und Administrationskonten
undokumentierte Vergabe von Sonderrechten
schwierige Eingrenzung des Vorfalls im Ernstfall

Ungesicherte Remote-Dienste

Offene oder unzureichend abgesicherte Remote-Dienste wie RDP, ältere VPN-Gateways oder veraltete Remote-Management-Lösungen eignen sich als Einstiegspunkte für Trojaner. In der Praxis geraten sie häufig erst bei einem Vorfall wieder in den Blick.

Angriffe mit geleakten Zugangsdaten oder Brute-Force-Methoden
Platzierung von Trojanern mit erweiterten Rechten
schwierige Nachvollziehbarkeit der Erstinfektion

Fehlendes Monitoring und Logging

Ohne strukturiertes Monitoring bleiben viele Aktivitäten unentdeckt. Warnmeldungen werden nicht gebündelt, Logdaten liegen verteilt oder werden früh gelöscht. Angreifende erhalten dadurch zusätzliche Zeit, um weitere Systeme zu kompromittieren und Spuren zu verwischen.

keine zentrale Auswertung sicherheitsrelevanter Ereignisse
fehlende Alarmierung bei auffälligen Authentifizierungs- oder Netzwerkmustern
Verlust forensisch relevanter Daten nach kurzer Zeit

Fazit: Trojaner als Einstiegspunkt komplexer Angriffe

Trojaner zählen zu den flexibelsten Bausteinen moderner Angriffsketten. Sie verbinden Tarnung, Social Engineering und technische Anpassungsfähigkeit und eignen sich besonders gut, um in professionelle IT-Umgebungen einzudringen, Zugriffe zu etablieren und weitere Schadsoftware nachzuladen. Häufig markieren sie den Anfang eines Vorfalls, der später in Ransomware, Spionage oder Botnet-Aktivitäten mündet.

Wirksamer Schutz setzt auf eine Kombination aus gehärteten Endpoints, segmentierten Netzwerken, kontrollierten E-Mail- und Web-Zugängen, Schutz von Identitäten sowie kontinuierlichem Monitoring mit Detection-and-Response-Funktionen. Belastbare Backups und klar definierte Incident-Response-Prozesse sorgen dafür, dass Organisationen im Ernstfall handlungsfähig bleiben.

Bei der Bewertung bestehender Risiken, der Härtung von Infrastruktur oder der Einführung moderner Schutzlösungen unterstützt das Team von Firewalls24 Organisationen nach Bedarf technisch und organisatorisch. Für individuelle Anfragen stehen telefonische Kontaktaufnahme und das Kontaktformular zur Verfügung.

Verwandte Produkte