Trojaner und Keylogger im Online-Banking: Schutz und Erste Hilfe 2026

Was sind Banking-Trojaner und Keylogger?

Banking-Trojaner und Keylogger sind zwei der gefährlichsten Werkzeuge im Arsenal von Cyberkriminellen. Ein Banking-Trojaner ist Schadsoftware, die sich als legitimes Programm tarnt – etwa als PDF-Viewer, Rechnungsdatei oder Browser-Update. Im Hintergrund hat sie ein einziges Ziel: deine Zugangsdaten für das Online-Banking zu stehlen. Was diese Schadsoftware besonders tückisch macht, ist ihre Unsichtbarkeit. Sie operiert still, ohne dass du etwas merkst.

Ein Keylogger ist eine spezifische Funktion – entweder als eigenständiges Programm oder als Bestandteil eines Trojaners. Er zeichnet buchstäblich jeden Tastendruck auf: deine PIN, dein Passwort, deine TAN. Manche Keylogger gehen noch weiter und fertigen in regelmäßigen Abständen Screenshots an. Das ist wichtig, denn viele Nutzer glauben, eine virtuelle Bildschirmtastatur schütze sie vor Keyloggern. Das stimmt nicht. Wer Screenshots macht, sieht auch, was du auf der Bildschirmtastatur anklickst.

Die gefährlichste Angriffstechnik heißt Man-in-the-Browser (MitB). Dabei nistet sich der Trojaner direkt im Browser ein – tief genug, um Transaktionen in Echtzeit zu manipulieren oder abzufangen. Das Perfide: Du siehst auf deinem Bildschirm alles korrekt. Die Überweisung an deinen Vermieter sieht normal aus. Im Hintergrund hat der Trojaner längst das Empfängerkonto und den Betrag geändert. Selbst eine verschlüsselte HTTPS-Verbindung schützt dich dabei nicht, weil der Angriff nach der Entschlüsselung im Browser stattfindet.

Die bekanntesten Vertreter dieser Schadsoftware-Familie haben Namen, die in der IT-Sicherheitsbranche berüchtigt sind. ZeuS gilt als Referenz-Schadsoftware im Banking-Bereich: Er kombiniert klassisches Keylogging mit Screenshot-Funktion und kann sowohl physische als auch virtuelle Tastaturen kompromittieren. Emotet ist technisch gesehen ein sogenannter Dropper – er schleust sich ein und lädt dann weitere Schadsoftware nach, darunter Banking-Trojaner. In Deutschland war Emotet zeitweise die dritthäufigste Bedrohung für Privatnutzer. TrickBot wird häufig in Kombination mit Emotet eingesetzt und hat sich auf den Diebstahl von Bankdaten spezialisiert.

Der konzeptuelle Unterschied zwischen Trojaner und Keylogger ist schnell erklärt: Der Trojaner ist der Oberbegriff für die getarnte Schadsoftware als Ganzes. Der Keylogger ist eine spezifische Funktion innerhalb dieses Trojaners. Banking-Trojaner enthalten fast immer Keylogger-Komponenten – plus Screenshot-Funktionen, Man-in-the-Browser-Module und oft auch Mechanismen, um sich selbst zu aktualisieren oder weitere Schadsoftware nachzuladen. Du hast es also selten mit einem einzelnen Werkzeug zu tun, sondern mit einem ganzen Arsenal.

Aktuelle Bedrohungslage: Zahlen und Fakten

Die Zahlen sind ernüchternd. Der durch Cyberkriminalität verursachte Schaden in Deutschland erreichte 2024 je nach Berechnungsmethode zwischen 178,6 Milliarden Euro (Bundeslagebild Cybercrime 2024) und 267 Milliarden Euro (Bitkom-Studie, Unternehmen). Die Diskrepanz erklärt sich durch unterschiedliche Erhebungsmethoden und Abgrenzungen der Schadenskategorien – beide Zahlen zeigen jedoch dieselbe Richtung: steil nach oben. Zum Vergleich: Im Vorjahr 2023 bezifferte Bitkom den Schaden für Unternehmen auf 206 Milliarden Euro. Das entspricht einem Anstieg von rund 30 Prozent innerhalb eines Jahres.

Die Polizeiliche Kriminalstatistik (PKS) zählte 2024 exakt 131.391 in Deutschland verübte Cybercrime-Fälle. Dazu kommen noch einmal 201.877 sogenannte Auslandstaten – Angriffe, die vom Ausland oder von unbekanntem Ort aus auf deutsche Opfer abzielten. Die Dunkelziffer dürfte um ein Vielfaches höher liegen, da viele Betroffene keine Anzeige erstatten.

Besonders alarmierend ist die Entwicklung bei Schadsoftware. Im Zeitraum von Juli 2023 bis Juni 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten registriert. Das entspricht einem Anstieg von 26 Prozent gegenüber dem Vorjahreszeitraum, in dem es noch 250.000 pro Tag waren. Für Windows-Systeme mit 64-Bit-Architektur stieg die Zahl der Malware-Varianten sogar um 256 Prozent.

Wer glaubt, auf dem Smartphone sicherer zu sein, irrt. Android-Malware-Varianten nahmen im selben Zeitraum um 48 Prozent zu. Noch drastischer: Die Zahl der Smartphone-Nutzer, die von Banking-Malware betroffen waren, stieg von 2023 auf 2024 um den Faktor 3,6. Mobiles Banking ist längst kein sicherer Hafen mehr.

Wie real ist die Bedrohung für Privatpersonen? Eine Studie von BSI und ProPK aus dem Juni 2024 gibt eine klare Antwort: 15 Prozent der Befragten gaben an, bereits Opfer von Betrug beim Online-Banking geworden zu sein. Bei jungen Erwachsenen zwischen 16 und 22 Jahren war die Quote mit 28 Prozent fast doppelt so hoch. Das ist fast jeder Dritte in dieser Altersgruppe – eine erschreckende Zahl, die zeigt, dass Selbstüberschätzung beim Thema digitale Sicherheit teuer werden kann.

Infektionswege und Angriffsmethoden

Zu verstehen, wie Banking-Trojaner auf deinen Computer oder dein Smartphone gelangen, ist der erste Schritt zur Prävention. Der mit Abstand häufigste Infektionsweg führt über E-Mail-Anhänge und Links. Das klingt nach einem alten Hut – ist aber nach wie vor hochwirksam. Emotet hat diese Methode perfektioniert: Die Malware kapert echte E-Mail-Konten und antwortet auf bestehende Konversationen. Du bekommst also eine Nachricht, die aussieht, als käme sie von deinem Kollegen oder deiner Freundin, mit einem Anhang, der sich auf ein echtes früheres Gespräch bezieht. Das Misstrauen ist minimal, der Klick erfolgt schnell.

Der zweite wichtige Infektionsweg sind sogenannte Drive-by-Downloads. Dabei reicht es aus, eine manipulierte Webseite zu besuchen – du musst nichts herunterladen oder anklicken. Veraltete Browser-Plugins, ungepatchte Betriebssysteme oder veraltete PDF-Reader reichen als Einfallstor. Kriminelle kaufen oder mieten Exploit-Kits, die automatisch nach solchen Schwachstellen suchen und die Schadsoftware still im Hintergrund installieren.

Dritter Infektionsweg: infizierte Software-Downloads aus unseriösen Quellen. Gecrackte Programme, kostenlose Spiele aus dubiosen Quellen oder gefälschte Browser-Updates – all das kann Banking-Trojaner enthalten. Besonders gefährlich sind gefälschte Antivirus-Programme, die vorgeben, dein System zu schützen, während sie es tatsächlich kompromittieren.

Sobald ein Banking-Trojaner installiert ist, beginnt der eigentliche Angriff. Beim Man-in-the-Browser-Angriff fälscht die Schadsoftware die Banking-Oberfläche vollständig. Du siehst die gewohnte Seite deiner Bank – aber es ist eine Fälschung, die deine Eingaben abfängt. Fortgeschrittene Trojaner können sogar den Kontostand manipulieren, den du siehst, damit du den Diebstahl nicht sofort bemerkst.

Viele Nutzer verlassen sich auf die Zwei-Faktor-Authentifizierung (2FA) als letzten Schutzwall. Das ist berechtigt – aber nicht ausreichend. Fortgeschrittene Trojaner können SMS-TANs abfangen, Push-TANs manipulieren oder gefälschte TAN-Eingabefelder direkt in die Banking-Seite einblenden. Du gibst die TAN ein, glaubst, deine eigene Transaktion zu bestätigen – und bestätigst in Wirklichkeit die Überweisung des Angreifers. Seit 2021 ist 2FA für Online-Banking in Deutschland durch die EU-Zahlungsdiensterichtlinie PSD2 gesetzlich vorgeschrieben. Das erhöht die Sicherheit erheblich, schafft aber keine absolute Sicherheit.

Auf mobilen Geräten hat sich die Bedrohungslage besonders verschärft. Banking-Trojaner für Android kombinieren oft zwei Angriffsvektoren: Sie stehlen die Zugangsdaten über eine gefälschte Banking-App und fangen gleichzeitig die SMS-TAN ab – alles auf demselben Gerät. Genau deshalb empfehlen Sicherheitsexperten, Banking-App und TAN-Empfang auf getrennten Geräten zu nutzen. Kleinstbeträge als Testüberweisungen sind übrigens ein klassisches Warnsignal: Kriminelle prüfen damit, ob ein Konto aktiv ist und ob die Transaktion durchgeht, bevor sie größere Beträge transferieren.

Woran erkenne ich eine Infektion? Warnsignale im Überblick

Banking-Trojaner sind darauf ausgelegt, unentdeckt zu bleiben. Trotzdem hinterlassen sie Spuren – wenn du weißt, wonach du suchen musst. Die folgende Liste zeigt die wichtigsten Warnsignale. Keines davon ist für sich allein ein Beweis, aber mehrere zusammen sollten dich sofort handeln lassen.

Ungewöhnliche Systemverlangsamung ohne erkennbaren Grund ist oft das erste Zeichen. Trojaner verbrauchen Rechenleistung für ihre Aktivitäten im Hintergrund – Datenübertragung, Screenshot-Erstellung, Kommunikation mit dem Kontrollserver. Wenn dein Computer plötzlich träge wird, obwohl du keine ressourcenintensiven Programme geöffnet hast, lohnt sich ein genauerer Blick.

Unerklärliche Pop-ups während des Online-Bankings sind ein klassisches Zeichen für Man-in-the-Browser-Angriffe. Wenn deine Bank plötzlich nach zusätzlichen Sicherheitsabfragen fragt, die du nicht kennst – etwa nach einer vollständigen TAN-Liste oder nach deiner Kreditkartennummer –, ist höchste Vorsicht geboten. Seriöse Banken fragen niemals nach vollständigen TAN-Listen oder Passwörtern per Pop-up.

Login-Benachrichtigungen von unbekannten Geräten oder Standorten sind ein direktes Warnsignal. Viele Banken und E-Mail-Anbieter senden solche Benachrichtigungen automatisch. Ignoriere sie nicht. Wenn du eine Benachrichtigung über einen Login aus einer anderen Stadt oder einem anderen Land erhältst, ohne selbst gereist zu sein, ist dein Konto kompromittiert.

Unerwartete Push-TANs, SMS oder E-Mails der Bank, ohne dass du selbst eine Transaktion initiiert hast, sind ein starkes Warnsignal. Jemand anderes versucht gerade, mit deinen Zugangsdaten eine Transaktion durchzuführen und wartet auf deine TAN-Bestätigung. Bestätige in diesem Fall niemals – und kontaktiere sofort deine Bank.

Unerklärliche Transaktionen auf dem Kontoauszug – auch Kleinstbeträge von wenigen Cent oder Euro – sollten dich aufhorchen lassen. Wie oben beschrieben, nutzen Kriminelle Testüberweisungen, um die Funktionsfähigkeit eines kompromittierten Kontos zu prüfen. Wer solche Kleinstbeträge ignoriert, riskiert, die eigentliche große Abbuchung zu verpassen.

Browser schließt sich unerwartet nach PIN- oder TAN-Eingabe. Einige Trojaner beenden die Browser-Session nach dem Abfangen der Daten, um zu verhindern, dass du die manipulierte Transaktion siehst. Wenn dein Browser nach der Eingabe sensibler Daten abstürzt oder sich schließt, ist das kein technischer Fehler – das ist ein Warnsignal.

Zertifikatswarnungen oder Unterbrechungen der HTTPS-Verbindung beim Aufrufen deiner Banking-Seite sollten niemals ignoriert werden. Auch wenn du die Seite schon hundert Mal aufgerufen hast – eine plötzliche Zertifikatswarnung bedeutet, dass etwas nicht stimmt.

Unbekannte E-Mail-Weiterleitungsregeln im E-Mail-Konto sind ein oft übersehenes Warnsignal. Viele Trojaner richten automatisch Weiterleitungen ein, damit Kriminelle alle eingehenden E-Mails – inklusive Passwort-Reset-Links und TAN-Bestätigungen – mitlesen können. Prüfe regelmäßig die Einstellungen deines E-Mail-Kontos auf unbekannte Weiterleitungsregeln.

Erste Hilfe: Was tun bei Verdacht auf Banking-Trojaner?

Wenn du einen oder mehrere der oben beschriebenen Warnsignale bemerkst oder bereits unautorisierte Transaktionen auf deinem Konto siehst, zählt jede Minute. Hier ist die richtige Reihenfolge der Sofortmaßnahmen – abweichen solltest du davon nur, wenn deine Bank explizit andere Anweisungen gibt.

Schritt 1: Bank sofort telefonisch kontaktieren. Ruf direkt bei deiner Bank an und lass Konto sowie alle verknüpften Karten sofort sperren. Nutze die Nummer auf der Rückseite deiner Karte oder die offizielle Webseite deiner Bank – nicht eine Nummer, die dir per E-Mail oder Pop-up angezeigt wurde. Das könnte Teil des Angriffs sein.

Schritt 2: Sperr-Notruf 116 116 nutzen. Diese Nummer ist rund um die Uhr erreichbar und gilt für viele Bankkarten in Deutschland. Kläre vorher bei deiner Bank, ob deine Karte über diesen zentralen Sperrdienst gesperrt werden kann. Im Zweifel rufe direkt bei deiner Bank an.

Schritt 3: Passwort von einem sauberen Gerät ändern. Das ist entscheidend: Ändere dein Online-Banking-Passwort niemals von dem Gerät aus, das möglicherweise infiziert ist. Nutze ein anderes Gerät – das Smartphone eines Familienmitglieds, ein Gerät im Büro oder ein frisch aufgesetztes System. Solange der Trojaner auf deinem Computer aktiv ist, sieht er jedes neue Passwort sofort.

Schritt 4: E-Mail-Weiterleitungsregeln prüfen. Logge dich in dein E-Mail-Konto ein (ebenfalls von einem sauberen Gerät) und prüfe die Einstellungen auf unbekannte Weiterleitungsregeln. Entferne alle Regeln, die du nicht selbst eingerichtet hast. Kriminelle nutzen solche Weiterleitungen, um Passwort-Reset-E-Mails und TAN-Bestätigungen abzufangen.

Schritt 5: Alle verknüpften Konten prüfen. Deine E-Mail-Adresse ist der Schlüssel zu fast allem. Prüfe alle Konten, die mit dieser Adresse verknüpft sind – Online-Shops, Social-Media-Profile, andere Banking-Zugänge – auf Missbrauch und ändere die Passwörter. Nutze dabei einen Passwort-Manager und vergib für jeden Dienst ein einzigartiges, starkes Passwort.

Schritt 6: Kontoauszüge sorgfältig prüfen. Gehe die letzten Wochen durch und markiere alle Transaktionen, die du nicht erkennst – auch Kleinstbeträge. Informiere deine Bank schriftlich über alle verdächtigen Buchungen. Bewahre diese Dokumentation auf, sie ist wichtig für eventuelle Haftungsansprüche.

Schritt 7: Vollständigen Systemscan durchführen. Führe mit einer aktuellen Antivirus-Software einen vollständigen Scan durch. Im Zweifel ist es sicherer, das Betriebssystem komplett neu aufzusetzen – ein erfahrener Trojaner kann sich tief im System verankern und einfache Scans überstehen. Sichere vorher wichtige Daten, aber öffne keine ausführbaren Dateien aus dem Backup, bevor du sie gescannt hast.

Schritt 8: Strafanzeige erstatten. Erstattet Anzeige bei der Polizei – entweder persönlich oder über die Online-Wachen der Bundesländer. Das ist nicht nur für die Strafverfolgung wichtig, sondern auch für deine eigene Dokumentation bei Haftungsstreitigkeiten mit der Bank.

Zur Haftungsfrage: Banken haften in Deutschland grundsätzlich für unautorisierte Transaktionen. Das ist gesetzlich geregelt. Die Haftung kann jedoch eingeschränkt sein, wenn du grob fahrlässig gehandelt hast – etwa wenn du eine TAN auf einer offensichtlichen Phishing-Seite eingegeben hast oder dein Passwort an Dritte weitergegeben hast. Streitfälle landen häufig vor Gericht, und die Urteile sind nicht immer eindeutig. Deshalb ist eine lückenlose Dokumentation aller Schritte so wichtig.

Schutzmaßnahmen: Antivirus-Software und Banking-Modi im Vergleich

Die beste Erste Hilfe ist Prävention. Und bei der Prävention gegen Banking-Trojaner spielt Antivirus-Software eine zentrale Rolle – aber nicht jede Software ist gleich gut. Der entscheidende Unterschied liegt in spezialisierten Banking-Schutzfunktionen, die über den normalen Virenschutz hinausgehen.

Das Prinzip hinter den besten Lösungen ist elegant: Statt zu versuchen, jeden Trojaner zu erkennen und zu blockieren, führen sie Banking-Transaktionen in einer vollständig isolierten Umgebung durch. Kaspersky nennt diese Funktion „Safe Money“, Bitdefender „Safepay“, Avast „Bank Mode“. Gemeinsam ist allen: Die Banking-Session läuft in einem abgeschirmten Browser-Container, der vom restlichen System getrennt ist. Ein Keylogger, der auf deinem normalen System aktiv ist, kann in dieser isolierten Umgebung weder Tastatureingaben aufzeichnen noch Screenshots anfertigen.

Was sagen unabhängige Tests? Der Testsieger der Stiftung Warentest ist Norton Security Standard mit der Note 1,9. Dahinter folgen Kaspersky Internet Security (Note 2,1) und Eset Internet Security (Note 2,2). Für 2026 kürte experte.de Bitdefender zum Testsieger – ein Produkt, das auch in anderen internationalen Tests regelmäßig ganz oben landet.

Kostenlose Alternativen gibt es durchaus. AVG Free erreichte im Warentest die Note 2,3, Avira Free Antivirus die Note 2,4. Beide bieten soliden Grundschutz. Der Haken: Sie verfügen nicht über spezialisierte Banking-Umgebungen. Im direkten Vergleich erkannte AVG Free im Test 66 Viren und Trojaner weniger als Norton. Bei der Phishing-Erkennung ist der Unterschied noch deutlicher: Norton erkannte 435 von 500 Phishing-Links als gefährlich, AVG Free nur 160. Wer regelmäßig Online-Banking betreibt, sollte diesen Unterschied ernst nehmen.

Microsoft Defender, der vorinstallierte Schutz in Windows 10 und 11, bildete das Schlusslicht im Warentest mit der Note 3,0. Er ist besser als gar kein Schutz – aber für Online-Banking klar unzureichend. Als Richtwert gilt: Für zuverlässigen Schutz mit häufigen Updates und gutem Support solltest du etwa 30 bis 40 Euro pro Jahr einplanen. Das entspricht weniger als 4 Euro pro Monat – ein überschaubarer Betrag angesichts des potenziellen Schadens.

Neben der Antivirus-Software gibt es weitere wichtige Schutzmaßnahmen. Halte dein Betriebssystem und alle Programme – insbesondere Browser und Browser-Plugins – stets aktuell. Aktiviere automatische Updates. Nutze für Online-Banking nach Möglichkeit ein dediziertes Gerät oder zumindest einen dedizierten Browser, den du ausschließlich für Banking verwendest. Klicke niemals auf Links in E-Mails, die dich zur Eingabe von Banking-Daten auffordern – gehe immer direkt über die Adressleiste auf die Seite deiner Bank. Und: Nutze für Banking-App und TAN-Empfang nach Möglichkeit zwei verschiedene Geräte.

Die gesetzlich vorgeschriebene Starke Kundenauthentifizierung (SCA) nach PSD2 bietet eine wichtige Sicherheitsebene. Studien schätzen, dass 2FA das Angriffsrisiko gegenüber reiner Passwortsicherung um bis zu 90 Prozent reduziert. Aber wie gezeigt: Fortgeschrittene Trojaner können auch diese Hürde überwinden. 2FA ist notwendig – aber nicht hinreichend.