An diesen 5 verräterischen Zeichen erkennen Sie Hackerangriffe und reagieren richtig

Ihr PC wird von anderen im Netzwerk gefunden

Symptom: Obwohl Sie auf Ihrem PC keine Dateien freigegeben haben, wird Ihr PC von anderen Rechnern im Netzwerk gefunden. Er erscheint im Windows-Explorer unter „Netzwerk“ mit seinem Windows-Computernamen. Wer spezielle Tools wie den Angry IP Scanner nutzt, findet den PC unter Umständen auch dann, wenn er im Windows-Explorer nicht auftaucht.

Der Windows-Explorer zeigt unter „Netzwerk“ einige Windows-PCs an. Das bedeutet, diese Rechner haben die Netzwerkerkennung eingeschaltet. Unter Umständen haben Sie auch Ordner freigegeben.

Arne Arnold

Harmlose Ursache: Sie haben in den Netzwerkeinstellungen die Netzwerkerkennung eingeschaltet. Dadurch ist Ihr Windows im Netzwerk sichtbar. Das heißt aber nicht, dass andere auf Ihre Dateien zugreifen können, zumindest dann nicht, wenn die „Datei- und Druckerfreigabe“ deaktiviert ist. Das Auftauchen als Netzwerkteilnehmer bei anderen Systemen ist harmlos.

Das gilt sogar dann, wenn dort Standardfreigaben wie C$, Admin$ angezeigt werden, solange diese ein Passwort verlangen. Und natürlich sind auch Dateifreigaben harmlos, wenn diese gewollt sind.

Soll Ihr Windows-PC für andere Rechner im Netzwerk unsichtbar bleiben, müssen auf dieser Seite der Einstellungen von Windows alle vier Schalter auf Aus stehen.

Arne Arnold

Gefährliche Ursache: Nicht Sie haben eine Dateifreigabe aktiviert, sondern ein Schadcode.

Untersuchung und Lösung: Öffnen Sie die Einstellungen von Windows etwa per Win-I und wählen Sie „Netzwerk und Internet > Erweiterte Netzwerkeinstellungen > Erweiterte Freigabeeinstellungen“. Prüfen Sie dort, die Schalter für „Netzwerkerkennung“ und für „Datei- und Druckerfreigabe“.

Wenn Sie keine Dateien auf Ihrem PC im Netzwerk freigeben wollen, deaktivieren Sie beide Optionen, und zwar sowohl unter „Private Netzwerke“, als auch unter „Öffentliche Netzwerke“. Falls eine Dateifreigabe aktiv war, muss das aber nicht zwingend ein Schädling gewesen sein. Vielleicht haben Sie selbst vor längerer Zeit diese Freigaben aktiviert.

Die Internetverbindung ist langsam

Symptom: Das Hoch- oder Herunterladen von Dateien ist ungewöhnlich langsam, sogar das Aufrufen von Webseiten stockt.

Harmlose Ursachen: Sehr wahrscheinlich ist einer der typischen Bremsklötze beim Surfen schuld. Allen voran die WLAN-Verbindung. Wer etwa in einem Mehrparteienhaus wohnt, erlebt Leistungseinbrüche im WLAN, wenn die Nachbarn nach Hause kommen und das Internet nutzen. Dann können plötzlich einzelne oder alle Funkkanäle verstopft sein. Die Folge: Die Surfgeschwindigkeit bricht ein.

Der zweite Flaschenhals ist eine nicht instabile Internetverbindung. Das kommt sowohl bei DSL- als auch bei Kabelanschlüssen vor. Wenn die Nachbarschaft – in diesem Fall sind alle gemeint, die an einem Verteilerkasten (Kabelverzweiger) hängen – nach dem Abendessen mit Downloads und Video-Streams anfängt, dann tröpfeln die Daten oft nur noch durch die Leitung. Denn alle Nutzer teilen sich die Bandbreite, die beim Verteilerkasten ankommt.

Und schließlich: Auch Familienmitglieder können am lahmen Internet-Tempo schuld sein: Wenn einer 4K-Videos streamt und ein anderer GB-weise Spiele herunterlädt, geht so manche Internetverbindung in die Knie.

Wer eine Fritzbox nutzt und Version 8 von Fritz-OS installiert hat, kann sich im „Online-Monitor“ des Routers den Traffic jedes Netzwerkgerätes ansehen.

Arne Arnold

Gefährliche Ursache: Tatsächlich kann das Internet auch dann stocken, wenn gerade ein Erpresser-Trojaner Ihren gesamten Datenbestand ins Internet hochlädt. Das machen diese Schädlinge mittlerweile fast immer, bevor sie die Daten verschlüsseln. Denn so können die Kriminellen Sie gleich zweimal erpressen.

Einmal mit den verschlüsselten Daten auf Ihrem PC und zum zweiten mit der Drohung, Ihre Daten öffentlich ins Internet zu stellen. Das ist vor allem bei Firmengeheimnissen eine starke Drohung. Und es sind auch meist Unternehmen, die von Erpresserviren betroffen sind. Privatanwender werden zum Glück nur noch selten Opfer von Ransomware. Auf Null ist das Risiko einer Infektion allerdings nicht gesunken.

Untersuchung: Ob von Ihrem Rechner viele Daten ins Internet geladen werden, verrät ein schneller Blick in den Taskmanager. Rufen Sie ihn mit der Tastenkombination Strg-Umschalt-Esc auf und wählen Sie „Leistung“ und dann „Ethernet“ oder „WLAN“, je nachdem, was Sie verwenden. Um zu prüfen, ob von anderen PCs in Ihrem Netzwerk viele Daten ins Internet fließen, lässt sich mit der Fritzbox prüfen, wenn diese mit Fritz-OS 8 läuft.

In der Weboberfläche der Fritzbox wählen Sie „Internet > Online-Monitor“. Das orangefarbene Diagramm zeigt den Upstream, also die Datenmenge, die von der Fritzbox ins Internet übertragen wird. Mit einem Klick auf „Einzelne Geräte“ vergleichen Sie den Datenverkehr von bis zu sieben Geräten. So finden Sie leicht heraus, welches Gerät die Bandbreite am stärksten beansprucht.

Ein lahmendes WLAN schließen Sie am schnellsten immer noch mit einem Netzwerkkabel aus, das die WLAN-Verbindung testweise ersetzt.

Lösung: Sollten Sie tatsächlich eine Ransomware dabei erwischen, wie sie Ihre Daten ins Internet hochlädt, heißt es: Internetverbindung kappen. Ziehen Sie das Netzwerkkabel vom PC ab und deaktivieren Sie das WLAN. Das geht über einen Klick auf das WLAN-Symbol im Infobereich von Windows 11 und einen weiteren auf das WLAN-Symbol im Schnellmenü.

Nun heißt es, den PC mit einem Antiviren-Stick zu booten und mit einer aktuellen Antiviren-Software den Erpresservirus zu finden und zu löschen. Einen solchen Stick erstellen Sie etwa mit dem Tool Sardu. Hier gibt es einen ausführlichen Ratgeber.

Mit dem Tool Sardu erstellen Sie mit wenigen Mausklicks eigene Multi-Boot-USB-Sticks, etwa mit mehreren Antiviren-Tools darauf. Sardu lässt sich nach einer Registrierung schneller bedienen.

Arne Arnold

Gefälschte Antivirus-Meldungen

Symptom: Plötzlich taucht eine Virenwarnung auf dem Bildschirm auf, oft im Vollbildmodus. Sofortiger Handlungsbedarf wird angemahnt. Meist ertönt auch eine Sirene in hoher Lautstärke.

Harmlose Ursache: In den meisten Fällen hat eine Website ein Fenster im Vollbildmodus gestartet und zeigt eine gefälschte Warnung an. Dieser Angriff ist erst einmal harmlos, da es sich nur um eine Webseite, manchmal um ein Bild handelt. Mit der Esc-Taste lässt sich der Vollbildmodus beenden. Unter Umständen hat es die Website geschafft, sich im Browser zu verankern. Dann taucht die Warnung beim nächsten PC- oder Browser-Start wieder auf (siehe „Untersuchung und Lösung“).

Gefährliche Ursache: Der Trick mit der Webseite im Vollbildmodus wird dann gefährlich, wenn Sie den Anweisungen der Warnung folgen. Die fordern meist, den Kauf einer vermeintlichen Antiviren-Software oder die Installation eines Tools, das den Angreifern Zugriff auf Ihren PC gewährt. Natürlich kann die Warnung auch von Ihrem Antiviren-Programm stammen. Über folgende einfache Untersuchung finden Sie es heraus.

Das Tool Autoruns listet fast alle Startrampen in Windows und Software auf. So entdecken Sie nervige Programme, die nach einem Neustart immer wieder automatisch aktiv sind.

Arne Arnold

Untersuchung und Lösung: Eine Virenwarnung im Vollbildmodus ist ungewöhnlich. Der Druck auf die Esc-Taste sollte den Vollbildmodus beenden und offenbaren, ob die Warnung von einem Browser-Fenster stammt, was harmlos wäre, oder von Ihrem Antiviren-Programm. Wem das aktive Fenster gehört, ist in der Taskleiste ersichtlich.

Handelt es sich um eine Warnung in einem Browser-Fenster, schließen Sie dieses einfach. Sollte es beim nächsten Systemstart wieder auftauchen, müssen Sie die Startrampen des Browsers und gegebenenfalls von Windows nach einem passenden Eintrag absuchen und diesen löschen. Dabei helfen ein Blick in die Browser-Einstellungen und das Tool Autoruns.

Sollte die Warnung tatsächlich von Ihrem Antiviren-Programm stammen, folgen Sie seinen Anweisungen. Diese sollten Sie nicht zum Kauf eines Antiviren-Programms drängen. Allerdings: Viele kostenlose Tools warnen Sie vor verschiedensten Dingen, etwa Fehlern in der Registry, fehlender VPN‑Verbindung etc., und drängen Sie dann zum Kauf der Vollversion. Der Unterschied zwischen einer falschen Virenwarnung, einer bösartigen Website und einer vorgeschlagenen Tuning-Maßnahme des kostenlosen Antiviren-Programms ist oft nicht allzu groß.

Der PC wacht von selbst aus dem Ruhezustand auf

Symptom: Sie haben Ihren PC heruntergefahren, doch plötzlich startet er von alleine. Bei älteren PCs sieht man das HDD-Lämpchen blinken. Bei neuen Laptops verrät der Blick in den Taskmanager unter „Leistung > Datenträger“, dass viele Daten geschrieben oder gelesen werden.

Harmlose Ursachen: Die erste harmlose Ursache kann eine Unterbrechung in der Stromzufuhr sein. Viele PCs sind so eingestellt, dass sie nach einer Stromunterbrechung starten. Wahrscheinlicher aber ist, dass Ihr PC sich im Ruhezustand befand und von Windows selbst für eine Wartungsarbeit, meist ein Update, oder für einen Virenscan gestartet wurde.

Gefährliche Ursache: Möglicherweise hat aber ein RAT oder eine andere Fernzugriffs-Software Ihren PC aufgeweckt. RAT steht für Remote Access Trojans, also einen Schädling, mit dessen Hilfe Kriminelle Ihren PC über das Internet steuern können.

In der Aufgabenplanung sind unter anderem die Tasks eingetragen, die Ihren PC aus dem Ruhezustand aufwecken. Sehr übersichtlich ist der Planer nicht, aber ein Blick in „Letzte Laufzeit“ hilft meist weiter.

Arne Arnold

Untersuchung und Lösung: Der erste Blick sollte der Update-Historie von Windows gelten. Die Tastenkombi Win-I startet die Einstellungs-App und unter „Windows Update > Update Verlauf“ sehen Sie die letzten Installationen von Patches & Co. mit Datum, allerdings ohne Uhrzeit. Findet sich hier nichts Passendes, lohnt ein Blick in die Aufgabenplanung von Windows, da sich die meisten harmlosen, geplanten Tasks dort eintragen. Geben Sie dafür Aufgabenplanung in das Windows-Suchfeld ein und starten Sie das gleichnamige Tool.

Im mittleren Fenster unter „Trigger“ sehen Sie in vielen Fällen den Startzeitpunkt einer Aufgabe. Oft sind das schnell erfassbare Angaben, etwa „Jeden Tag um 13:00“. In einigen Fällen muss man rechnen, etwa bei „Jeden Tag um 11:12 Uhr – nach Auslösung alle 9 Stunden“. Sehr hilfreich ist die Spalte „Letzte Laufzeit“.

Falls sich in Ihrem System viele Einträge in der Aufgabenplanung finden, kann die Recherche etwas mühsam, aber dennoch lohnenswert sein. Eine weitere Möglichkeit der Ursachenfindung ist die Kontrolle des Startprotokolls in der Windows-Ereignisanzeige. Einen ausführlichen Ratgeber dazu finden Sie hier. Lassen sich keine harmlosen Ursachen finden, muss der Antiviren-Stick ran und nach Schädlingen suchen.

Sicherheitswarnungen von Webseiten häufen sich

Symptom: Beim Besuch Ihrer bevorzugten Websites häufen sich Captchas. Vielleicht gibt es dazu Aufforderungen zu einem Passwort-Reset oder gar eine Log-in-Blockaden.

Harmlose Ursachen: Webseiten nutzen Captchas, wenn Sie aktuell stark von automatisierten Log-in-Versuchen betroffen sind. Das muss überhaupt nichts mit Ihnen zu tun haben. Captcha steht übrigens für Completely Automated Public Turing Test to tell Computers and Humans apart“, also für einen Test zur Unterscheidung von Mensch und Maschine.

Ein Passwort-Reset führen Webseiten durch, wenn Hacker in Datenbanken eindringen konnten und Log-in-Daten der Nutzer gestohlen haben. Das klingt nicht besonders harmlos, wenn aber der Webseiten-Betreiber alle betroffenen Passwörter sofort zurückgesetzt hat, entsteht für die Nutzer in der Regel kein Schaden. Wichtig ist, dass Sie Ihr Passwort nicht auch für andere Dienste verwendet haben.

So sieht ein klassisches Captcha aus. Es soll verhindern, dass automatisierte Log-in-Versuche einen Webdienst angreifen und etwa massenhaft Passwörter für einen Log-in ausprobieren.

Arne Arnold

Gefährliche Ursache: Hacker konnten Ihren PC oder ein anderes Gerät aus Ihrem Netzwerk infizieren und es zu einem Bot-Netzwerk anschließen. Dann gehen von Ihrem Gerät DoS-Attacken aus. Es bombardiert Server im Internet mit Anfragen, mit dem Ziel, den Server unbrauchbar zu machen. Das wiederum verwandelt Ihre IP-Adresse in eine feindliche Adresse, die genauer untersucht wird, wenn Sie sie bei einem Log-in benutzen.

Möglich ist auch, dass ein Hacker versucht, sich in Ihre Online-Dienste einzuloggen, etwa mit Log-in-Daten aus dem Internet. Da Sie ja sicher für jeden Dienst ein eigenes Passwort verwenden, hat der Hacker damit keinen Erfolg, aber seine wiederholten Anmeldeversuche machen natürlich den Diensteanbieter misstrauisch, weshalb er Captchas und andere Sicherheitsmaßnahmen einschaltet.

Modernere Captchas fragen nur nach einem Klick in der Checkbox und prüfen anhand der Mausbewegung und des Timings, ob der Klick von einem Menschen oder einer Maschine stammt.

Arne Arnold

Untersuchung und Lösung: Werden Ihnen Captchas bei einem Dienst neu angezeigt, ist das wenig alarmierend. Am einfachsten warten Sie eine Woche und schauen, ob der Dienst die Captchas wieder weglässt. Wenn nicht, oder wenn Sie umgehend aktiv werden möchten, können Sie zwei Dinge tun: Aktivieren Sie für alle Ihre Online-Konten eine Zwei-Faktor-Authentifizierung. Das erhöht den Schutz gegen Passwort-Diebstahl immens. Am besten nutzen Sie Passkeys, wenn der Dienst diese anbietet.

Um zu prüfen, ob andere Geräte in Ihrem Netzwerk Angriffe auf Webseiten führen, hilft für den Anfang ein Blick in den Online-Monitor der Fritzbox (siehe Punkt „Die Internetverbindung ist langsam“). Wenn dort ein Gerät Daten sendet, obwohl Sie es aktuell nicht nutzen, sollten Sie dieses Gerät weiter untersuchen.