Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde.
BKA-Trojaner.de Logo
BKA-Trojaner

Der BKA-Trojaner - Geschichte einer digitalen Erpressung

Der sogenannte BKA-Trojaner war eine in Deutschland weit verbreitete Form digitaler Erpressung. Eine gefälschte Behördenmeldung sperrte den Bildschirm und forderte eine angebliche Strafzahlung. Mit dem echten Bundeskriminalamt hatte das nichts zu tun - die Masche zählt zu den prägenden frühen Beispielen von Scareware- und Screenlocker-Ransomware im deutschsprachigen Raum.

Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde. Im Notfall bitte Polizei, BSI oder einen spezialisierten IT-Dienstleister einbinden. Diese Inhalte ersetzen keine professionelle Incident-Response-, Forensik-, Rechts- oder IT-Beratung.

Das Wichtigste in Kürze

  • Der BKA-Trojaner war nie eine echte Behördensoftware, sondern Schadsoftware krimineller Gruppen.
  • Die Masche nutzte Behördenoptik, um eine angebliche Strafe vorzutäuschen und schnelle Zahlungen zu erzwingen.
  • Die eigentliche Wirkung beruhte auf Social Engineering mit Autorität, Angst, Scham und Zeitdruck, nicht auf besonderer Technik.
  • Frühe Varianten sperrten nur den Bildschirm, spätere Ableger verschlüsselten zusätzlich Dateien.
  • Eine Zahlung löste das Problem nie und finanzierte weitere Angriffe, damals wie heute.
  • Wer dieses Muster einmal verstanden hat, erkennt auch moderne Erpressungsmaschen deutlich schneller.

Was war der BKA-Trojaner?

Der Begriff BKA-Trojaner bezeichnete nie eine offizielle Software des Bundeskriminalamts, sondern eine Reihe betrügerischer Schadprogramme. Sie missbrauchten die Optik staatlicher Stellen, um Privatpersonen eine angeblich legale Geldforderung vorzutäuschen.

Nach einer Infektion - meist über manipulierte Webseiten oder E-Mail-Anhänge - erschien ein bildschirmfüllender Sperrbildschirm. Darauf wurde behauptet, der Nutzer habe gegen Gesetze verstoßen, etwa durch das Aufrufen illegaler Inhalte. Zur angeblichen Entsperrung sollte eine Strafzahlung geleistet werden, häufig über Bezahldienste wie Paysafecard oder Ukash. Mit der Zahlung wäre das Verfahren angeblich eingestellt - eine reine Lüge.

Warum die Masche funktionierte

Der Erfolg lag weniger an besonders ausgefeilter Technik als an gezieltem Social Engineering. Die Täter spielten konsequent mit vier psychologischen Hebeln:

  • Autorität: vermeintliche staatliche Stelle, Wappen und Behördenoptik
  • Angst: drastische Vorwürfe wie Kinderpornografie, Urheberrechtsverletzungen oder Terrorverdacht
  • Scham: Furcht, das Umfeld könnte von den Vorwürfen erfahren
  • Zeitdruck: Countdown, angedrohte Festnahme oder Datenlöschung

Typische Merkmale

  • Vollbildmeldung, die sich nicht regulär schließen lässt
  • Falsche oder leicht abgewandelte Hoheitszeichen und Behördenlogos
  • IP- und ortsbezogene Angaben, um Glaubwürdigkeit vorzutäuschen
  • Forderung im niedrigen drei- bis vierstelligen Eurobereich
  • Zahlung ausschließlich über anonyme Guthaben- oder Gutscheinkarten
  • Aktivierung der Webcam, um zusätzlichen Druck zu erzeugen
  • Fehlerhafte Übersetzungen, ungewöhnliche Formulierungen und falsche Paragrafen

Screenlocker, Scareware oder Ransomware? Eine Einordnung

Der BKA-Trojaner war typischerweise eine Mischung aus Screenlocker und Scareware - er sperrte den Bildschirm und arbeitete vor allem mit Einschüchterung. Echte Ransomware im heutigen Sinne verschlüsselt darüber hinaus Dateien oder ganze Systeme.

  • Screenlocker: sperrt den Zugriff auf Bildschirm oder Browser, ohne Daten zu zerstören
  • Scareware: setzt vor allem auf Angst und vorgetäuschte Bedrohung
  • Ransomware: verschlüsselt Daten und erpresst Lösegeld für eine Entschlüsselung

Warum der Begriff heute noch relevant ist

Klassische BKA-Trojaner sind in dieser Form selten geworden. Die Mechanik aber lebt weiter: gefälschte Behördenoptik in Phishing-Mails, Browser-Sperrseiten mit angeblichen Microsoft-Warnungen, Erpressungs-E-Mails mit Drohkulisse und moderne Ransomware mit Countdown und Leak-Drohung.

Wer das Schema des BKA-Trojaners einmal verstanden hat, erkennt diese Muster schneller wieder und fällt seltener auf Forderungen herein - egal ob als Privatperson oder im Unternehmen.

Was Betroffene damals und heute beachten sollten

  • Keine Zahlung leisten - weder per Gutscheinkarte noch per Krypto oder Überweisung
  • Foto oder Screenshot der Meldung als Beweis sichern
  • Bei Verdacht auf echten Befall das Gerät vom Netzwerk trennen
  • Keine fragwürdigen Cleaner- oder Entfernungs-Tools installieren
  • Anzeige bei der Polizei erstatten
  • Bei Unsicherheit professionelle IT-Hilfe einbeziehen

Warum der Begriff BKA-Trojaner irreführend ist

Der Name suggeriert eine Software aus dem Hause Bundeskriminalamt. Genau das war jedoch nie der Fall. Das BKA hat zu keinem Zeitpunkt eine Software entwickelt oder verteilt, die Privatpersonen einen Sperrbildschirm anzeigt und Geld einfordert. Ermittlungsbefugnisse deutscher Sicherheitsbehörden sind eng gesetzlich geregelt und folgen einem komplett anderen Ablauf.

Der Begriff hat sich in Medien und Alltag durchgesetzt, weil die Sperrbildschirme das Logo und den Namen des BKA missbraucht haben. Sachlich korrekter wären Bezeichnungen wie Police-Locker, Locker-Ransomware mit Behördenoptik oder schlicht Erpressungs-Scareware.

Wie sich digitale Erpressung seitdem verändert hat

  • Von Bildschirmsperre zu echter Dateiverschlüsselung (Krypto-Ransomware)
  • Von Einzelnutzern hin zu Unternehmen, Kliniken, Kommunen und kritischen Infrastrukturen
  • Von einmaliger Forderung zu Double Extortion mit zusätzlichem Datendiebstahl und Leak-Drohung
  • Von Paysafecard und Ukash zu Kryptowährungen, oft mit professionellen Verhandlungs-Portalen
  • Von Einzeltätern zu organisierten Ransomware-as-a-Service-Strukturen mit Affiliate-Modellen

Interne Empfehlungen

Vertiefende Inhalte zu Geschichte, Varianten und Bereinigung finden sich in den weiterführenden Artikeln. Für aktuelle Bedrohungen lohnt sich der Blick in die Ransomware-Übersicht und in den Erste-Hilfe-Bereich.

Häufige Fragen

Hatte der BKA-Trojaner etwas mit dem Bundeskriminalamt zu tun?

Nein. Es handelte sich um Schadsoftware Krimineller, die lediglich das Erscheinungsbild und die Autorität des BKA missbrauchte. Das Bundeskriminalamt war an dieser Software in keiner Weise beteiligt.

Warum spricht man dann überhaupt vom BKA-Trojaner?

Weil die Sperrbildschirme das Logo, den Namen und die Optik des Bundeskriminalamts nachgebildet haben. Der Name beschreibt also nicht den Urheber, sondern die missbrauchte Marke.

Sperrt eine echte Behörde private Rechner per Vollbildmeldung?

Nein. Weder das BKA noch die Polizei noch andere deutsche Behörden sperren private Geräte mit einem Sperrbildschirm und verlangen Zahlungen über Gutscheinkarten oder Kryptowährungen.

Gibt es den BKA-Trojaner heute noch?

Die klassische Variante ist selten geworden. Das Muster - gefälschte Autorität, Angst und Zeitdruck - findet sich aber bis heute bei Browser-Sperren, Phishing und moderner Ransomware.

War der BKA-Trojaner Ransomware?

Im weiteren Sinne ja. Er war eine frühe, vor allem auf Einschüchterung basierende Form von Ransomware (Locker-Ransomware). Moderne Ransomware verschlüsselt zusätzlich Dateien und stiehlt häufig Daten.

Soll man bei einer solchen Meldung zahlen?

Niemals. Eine Zahlung beendet das Problem nicht und finanziert die nächsten Angriffe. BSI und Polizei raten konsequent von Zahlungen ab.

Warum ist der BKA-Trojaner bis heute ein wichtiges Beispiel?

Weil er besonders deutlich zeigt, wie stark digitale Erpressung mit Psychologie arbeitet. Wer das Schema einmal verstanden hat, durchschaut moderne Varianten wie Fake-Support-Anrufe, Browser-Sperren oder Erpresser-Mails sehr viel schneller.