Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde.
BKA-Trojaner.de Logo
BKA-Trojaner

Geschichte des BKA-Trojaners

Der BKA-Trojaner gehört zu den bekanntesten Beispielen sogenannter Police-Locker, die ab etwa 2011 in Deutschland und vielen weiteren europäischen Ländern aktiv waren. Aus der heutigen Perspektive wirkt er fast altmodisch - prägend für das öffentliche Bild digitaler Erpressung ist er trotzdem geblieben.

Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde. Im Notfall bitte Polizei, BSI oder einen spezialisierten IT-Dienstleister einbinden. Diese Inhalte ersetzen keine professionelle Incident-Response-, Forensik-, Rechts- oder IT-Beratung.

Das Wichtigste in Kürze

  • Erste Police-Locker mit Behördenoptik tauchten in Europa schon vor 2011 auf, die deutschsprachigen Varianten folgten ab etwa 2011.
  • Zwischen 2012 und 2014 wurden die Sperrbildschirme professioneller, regional angepasst und sprachlich sauberer.
  • Ab 2013 verlagerten sich die Täter schrittweise auf verschlüsselnde Ransomware wie CryptoLocker.
  • Aus reiner Einschüchterung gegen Privatnutzer wurde technisch destruktive Erpressung gegen Unternehmen und Kliniken.
  • Die Mechanik aus Autorität, Angst, Scham und Zeitdruck bildet bis heute das Rückgrat digitaler Erpressung.

Vorgeschichte: Police-Locker in Europa

Schon vor dem ersten Auftauchen des BKA-Trojaners gab es international die Masche, Sperrbildschirme mit Polizei- oder Justizoptik einzusetzen. Erste Fälle wurden vor allem aus osteuropäischen Ländern berichtet. Die Täter passten die Meldungen jeweils an Sprache, Behördenbezeichnungen und nationale Symbole an.

Ab 2011: Erste Wellen im deutschsprachigen Raum

Die frühen deutschsprachigen Varianten richteten sich vor allem an Windows-Nutzer. Die Texte waren teils erkennbar maschinell übersetzt, die Drohkulisse mit Bundesadler und Logos war jedoch wirkungsvoll. Bezahlt werden sollte über anonyme Guthabencodes von Diensten wie Ukash oder Paysafecard.

2012 bis 2014: Professionalisierung

Die Sperrbildschirme wurden besser übersetzt, regional angepasst und nutzten IP-basierte Geolokalisierung, um glaubwürdiger zu wirken. Es entstanden zahlreiche Ableger mit Namen wie GVU-Trojaner oder verschiedenen Polizei-Trojanern. Auch der Bundespolizei- oder GEMA-Bezug tauchte vereinzelt auf.

Parallel reagierten Behörden mit Warnmeldungen, und Sicherheitsanbieter veröffentlichten spezielle Removal-Tools und Notfallmedien. Trotzdem blieb der wirtschaftliche Schaden für viele Privatpersonen erheblich.

Übergang zu verschlüsselnder Ransomware

Ab etwa 2013 verlagerten sich Angreifer zunehmend auf verschlüsselnde Ransomware wie CryptoLocker und seine Nachfolger. Sperrung allein reichte ihnen nicht mehr - stattdessen wurden Dateien tatsächlich unbrauchbar gemacht. Aus dem reinen Schreckwerkzeug wurde ein technisch destruktiver Angriff mit deutlich größerem Schaden.

Mit dem Aufstieg von Krypto-Ransomware und später Double-Extortion-Angriffen verschoben sich die Hauptziele zudem stärker zu Unternehmen, Krankenhäusern, Kommunen und kritischen Infrastrukturen.

Psychologische Mechanik der Police-Locker

Der wirtschaftliche Erfolg der frühen Police-Locker lag weniger im Code, sondern in einer sehr genau kalkulierten emotionalen Dramaturgie. Die Sperrbildschirme arbeiteten bewusst mit vier Hebeln gleichzeitig:

  • Autorität: Bundesadler, Behördennamen, Aktenzeichen und juristisch klingende Paragrafen
  • Angst: drastische Vorwürfe wie Kinderpornografie, Urheberrechtsverletzungen oder Terrorverdacht
  • Scham: die Sorge, das soziale Umfeld könnte von den Vorwürfen erfahren
  • Zeitdruck: Countdown, angedrohte Festnahme, Datenlöschung oder Verfahrensverschärfung

Was aus dieser Zeit bleibt

  • Digitale Erpressung lebt von Social Engineering, nicht nur von Technik.
  • Gefälschte Autorität ist ein wiederkehrendes Werkzeug.
  • Anonyme Zahlungswege - früher Paysafecard und Ukash, heute oft Krypto - sind ein Warnsignal.
  • Konsequente Nichtzahlung und Anzeige sind die richtigen Reaktionen.
  • Backups, Updates und kritisches Lesen schützen besser als jede einzelne Software.

Häufige Fragen

Wann tauchte der BKA-Trojaner erstmals auf?

Erste Wellen im deutschsprachigen Raum wurden ab etwa 2011 beobachtet, einzelne Vorläufer und ähnliche Police-Locker schon davor in anderen europäischen Ländern.

Wer steckte hinter der Masche?

Organisierte cyberkriminelle Gruppen, häufig international vernetzt. Sie passten die Sperrbildschirme an verschiedene Länder und Behörden an und nutzten anonyme Zahlungsdienste, um schwer nachverfolgbar zu bleiben.

Wurde der BKA-Trojaner abgeschaltet?

Es gab Strafverfolgung, Sicherheits-Updates und spezielle Removal-Tools. Eine einzelne Abschaltung gibt es bei Schadsoftware nie - die Welle ebbte ab, weil sich Angreifer auf lohnendere Modelle wie Krypto-Ransomware verlagerten.

War der BKA-Trojaner der Beginn moderner Ransomware?

Er war ein wichtiger Zwischenschritt. Davor gab es bereits Sperr-Trojaner und einfache Krypto-Versuche, danach folgte ab etwa 2013 die Welle echter Krypto-Ransomware. Der BKA-Trojaner steht symbolisch für den Übergang von Einschüchterung zu technischer Zerstörung.

Welche Lehren lassen sich heute ziehen?

Die wichtigste: Druck und vorgetäuschte Autorität sind Warnzeichen, keine Beweise. Ruhe, Beweissicherung, kein Geld an Erpresser und der Weg über Polizei und seriöse IT-Hilfe sind die belastbaren Reaktionen - damals wie heute.