Projekt Hibiskus

StartBedrohungenCryptojacking

Bedrohungsszenario

Cryptojacking

Oft unentdeckt Angreifer stehlen Ihre Rechenleistung auf Ihre Kosten
Was ist Cryptojacking?
Beim Cryptojacking kapern Angreifer heimlich die Rechenkapazität fremder Systeme, um damit Kryptowährungen zu schürfen (Mining). Die Betreiber der betroffenen Geräte tragen die Kosten – erhöhte Stromrechnungen, beschleunigte Hardware-Abnutzung und verlangsamte Systeme – ohne es zunächst zu bemerken. Cryptojacking-Code kann sowohl auf Endgeräten als auch in Browsern und Cloud-Umgebungen laufen.

Wie gelangt Cryptojacking-Code ins System?

Browser-basiertes Mining

JavaScript-Code auf kompromittierten oder manipulierten Websites nutzt die CPU des Besucher-Browsers für das Mining. Verlässt der Nutzer die Seite, stoppt das Mining. Manche Betreiber setzen dies mit Nutzer-Zustimmung als Alternative zu Werbung ein – die meisten jedoch ohne Wissen des Nutzers.

Malware auf Endgeräten

Über Phishing, Malvertising oder Softwareschwachstellen wird Mining-Software auf Geräten installiert. Diese läuft dauerhaft im Hintergrund, auch wenn der Browser geschlossen ist, und ist schwerer zu erkennen.

Cloud-Cryptojacking

Besonders lukrativ für Angreifer: Kompromittierte Cloud-Konten oder schlecht gesicherte Container-Umgebungen (Docker, Kubernetes) werden für Mining verwendet. Die Rechenleistung ist hoch, die Kosten landen beim Cloud-Kunden – Schäden von Zehntausenden Euro in Tagen sind dokumentiert.

Anzeichen für Cryptojacking

Unerklärlich hohe CPU-Last

Systeme laufen dauerhaft auf hoher Last, auch im Leerlauf. Lüfter laufen ständig auf Hochtouren. Geräte werden ungewöhnlich heiß.

Verlangsamte Systeme

Browser, Anwendungen und das gesamte System reagieren träge – da Rechenleistung für Mining abgezweigt wird.

Steigende Cloud-Kosten

Plötzlich stark ansteigende Cloud-Rechnungen ohne erkennbaren Grund können auf Cryptojacking in Cloud-Umgebungen hinweisen.

Erhöhte Stromkosten

Langfristig messbar höherer Stromverbrauch der IT-Infrastruktur ohne Änderungen im Betrieb.

Schutzmaßnahmen

Technisch

  • Browser-Erweiterungen gegen Cryptomining einsetzen (uBlock Origin blockiert bekannte Mining-Skripte)
  • Endpoint-Security-Lösung nutzen, die Mining-Aktivitäten erkennt
  • CPU-Monitoring auf Servern und Arbeitsgeräten einrichten – Alarm bei dauerhaft hoher Last
  • Cloud-Kosten-Monitoring aktivieren: Alerts bei unerwartetem Anstieg
  • Container-Umgebungen absichern: Keine privilegierten Container, Network Policies, Image-Signing
  • JavaScript in Browsern selektiv deaktivieren (NoScript) auf nicht vertrauenswürdigen Seiten

Organisatorisch

  • Cloud-Ausgaben regelmäßig prüfen und Budget-Alerts konfigurieren
  • Software-Inventar: Unbekannte Prozesse mit hoher CPU-Last hinterfragen
  • Mitarbeiter informieren: Dauerhaft langsame oder heiße Geräte sofort melden
  • Patch-Management konsequent umsetzen – Cryptojacker nutzen bekannte Lücken

Was tun bei Verdacht?

Vorgehen bei Verdacht
Cryptojacking verursacht keinen direkten Datenverlust – aber es zeigt, dass Angreifer Zugang zu Ihren Systemen haben und möglicherweise mehr tun als nur minen. Jedes kompromittierte System muss als vollständig kompromittiert behandelt werden.
  1. Betroffenes Gerät vom Netz isolieren
  2. Laufende Prozesse mit hoher CPU-Last identifizieren (Task-Manager, top)
  3. IT-Abteilung informieren
  4. Vollständiger Malware-Scan mit aktualisierter Endpoint-Security
  5. Bei Cloud-Vorfällen: Kompromittierte Zugangsdaten sofort rotieren
  6. System bereinigen oder neu aufsetzen

Checkliste: Cryptojacking-Schutz

Weiterführende Ressourcen
CoinBlocker (Browser-Filter für Mining-Domains): gitlab.com/ZeroDot1/CoinBlockerLists
BSI-Publikationen zu Schadsoftware: bsi.bund.de
Sophos Cryptomining Protection: sophos.com