Keylogger.

Ein Keylogger erfasst Tastatureingaben und speichert sie entweder lokal oder überträgt sie an einen Angreifer. Software-Keylogger laufen als Usermode-Hooks (SetWindowsHookEx), Kernel-Treiber oder bösartige Browser-Erweiterungen; Hardware-Keylogger sitzen inline zwischen Tastatur und Rechner oder verstecken sich in manipulierter Peripherie. Angreifer nutzen sie, um Zugangsdaten, manuell eingegebene OTPs, Banking-Daten, Chat-Nachrichten und geistiges Eigentum abzugreifen, und sie werden als Standardmodule von Info-Stealern, Banking-Trojanern und Spionage-Toolkits wie Agent Tesla, HawkEye und Snake Keylogger ausgeliefert.

Keylogging ist älter als der PC. In einer der elegantesten Operationen des Kalten Krieges verwanzten die Sowjets von etwa 1976 bis 1984 IBM-Selectric-Schreibmaschinen in der US-Botschaft in Moskau: In einer hohlen Trägerstange versteckte Magnetometer erfassten die Drehung und Neigung der druckenden „Kugel" und funkten anschließend verschlüsselte Tastenanschläge in Stößen heraus. Das Project GUNMAN der NSA deckte die Implantate schließlich auf, nachdem ein Techniker eine zusätzliche Spule in einem Netzschalter entdeckt hatte — der Beweis, dass das Erfassen dessen, was Menschen tippen, gar keine Software benötigt.

Zu den Abwehrmaßnahmen zählen EDR mit Verhaltensüberwachung, phishing-resistente MFA auf Basis von Hardware-Schlüsseln (FIDO2/WebAuthn), sodass ein gestohlenes Passwort nutzlos ist, Schutzmechanismen des Betriebssystems für die Eingabe von Anmeldedaten, die physische Inspektion von Arbeitsplatzkabeln und das Deaktivieren ungenutzter USB-Ports.

flowchart LR
  K[Nutzer drueckt Tasten] --> C[Keylogger erfasst Eingabe]
  C --> S[Software-Hook oder Treiber]
  C --> H[Hardware-Inline-Geraet]
  S --> E[Kodieren und puffern]
  H --> E
  E --> X[Exfiltration an Angreifer-C2]
  X --> U[Diebstahl von Zugangsdaten oder Daten]