Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde.
BKA-Trojaner.de Logo
BKA-Trojaner

Varianten des BKA-Trojaners

Unter dem Begriff BKA-Trojaner werden viele technisch unterschiedliche Schadprogramme zusammengefasst. Gemeinsam ist ihnen die Masche mit gefälschten Behördenmeldungen - in den Details unterscheiden sie sich erheblich.

Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde. Im Notfall bitte Polizei, BSI oder einen spezialisierten IT-Dienstleister einbinden. Diese Inhalte ersetzen keine professionelle Incident-Response-, Forensik-, Rechts- oder IT-Beratung.

Das Wichtigste in Kürze

  • Unter dem Sammelbegriff BKA-Trojaner liefen technisch sehr unterschiedliche Schadprogramme mit gemeinsamer Masche.
  • Bekannte Ableger waren GVU-Trojaner, Bundespolizei-Varianten und regional angepasste Polizei-Locker.
  • Manche Varianten waren reine Screenlocker, andere kombinierten die Sperrung mit Datendiebstahl oder Verschlüsselung.
  • Die Übergänge zur modernen Krypto-Ransomware verliefen ab etwa 2013 fließend.
  • Heutige Browser-Sperren und Fake-Support-Maschen knüpfen optisch direkt an diese Tradition an.

Typische Erscheinungsformen

  • Gefälschte BKA-Meldungen mit Bundesadler-Optik
  • GVU-Trojaner mit Logo der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen
  • Polizei-Trojaner mit regional angepassten Logos einzelner Bundesländer
  • Bundespolizei-Varianten mit angeblicher Sicherstellung des Geräts
  • GEMA- oder Urheberrechts-Varianten mit Bezug zu Musik- und Filmtauschbörsen
  • Browser-basierte Varianten, die nur ein Browserfenster sperren

Technische Unterschiede

Einige Varianten waren reine Screenlocker, die nach einem Neustart im abgesicherten Modus relativ einfach entfernt werden konnten. Andere kombinierten die Sperrung mit Zusatzfunktionen wie dem Auslesen von Zugangsdaten, dem Nachladen weiterer Schadsoftware oder dem Versuch, das Bootverhalten zu manipulieren.

Ab etwa 2013 tauchten Mischformen auf, die zusätzlich Dateien verschlüsselten - der Übergang vom klassischen BKA-Trojaner zur modernen Ransomware war damit fließend.

Erkennungsmerkmale unabhängig von der Variante

  • Vollbild- oder Browser-Sperrung mit Behördenoptik
  • Konkrete Geldforderung im niedrigen drei- bis vierstelligen Bereich
  • Zahlung über anonyme Gutscheinkarten oder Kryptowährungen
  • Drohung mit Strafverfolgung, Datenlöschung oder Veröffentlichung
  • Anzeige der angeblichen IP-Adresse, Stadt oder Internetanbieter

Grobe Zeitachse der Varianten

  • 2011 bis 2012: Erste Welle klassischer BKA-Trojaner mit Bundesadler-Optik und Ukash- oder Paysafecard-Forderungen
  • 2012 bis 2013: GVU- und Bundespolizei-Varianten, regional angepasste Polizei-Logos einzelner Bundesländer
  • 2013 bis 2014: Mischformen mit Dateiverschlüsselung, Beginn des Übergangs zur modernen Ransomware
  • Ab 2014: Rückgang klassischer Screenlocker, parallel Aufstieg verschlüsselnder Ransomware wie CryptoLocker und Nachfolger
  • Heute: Browser-basierte Police-Locker und Fake-Support-Maschen als direkte Erben der ursprünglichen Optik

Abgrenzung zu modernen Bedrohungen

Viele heute auftretende Browser-Sperren mit angeblichen Microsoft-Warnungen oder Behördenhinweisen sind technisch näher an einfacher Scareware als an den ursprünglichen BKA-Trojanern. Echte verschlüsselnde Ransomware verläuft dagegen meist deutlich unauffälliger und zeigt erst nach der Verschlüsselung eine Erpressernotiz.

Begriffliche Einordnung im Glossar: Screenlocker beschreibt die reine Bildschirmsperre, Scareware den Einschüchterungsmechanismus, Ransomware die übergeordnete Kategorie und Exfiltration den zusätzlichen Datendiebstahl moderner Angriffe.

Häufige Fragen

Wie viele Varianten des BKA-Trojaners gab es?

Eine exakte Zahl existiert nicht. Sicherheitsforscher dokumentierten dutzende Varianten und ständig neue Ableger - allein die Logo- und Textanpassungen an einzelne Länder oder Bundesländer ergaben eine sehr große Bandbreite.

Waren GVU- und BKA-Trojaner dasselbe?

Technisch häufig sehr ähnlich, optisch unterschiedlich. Der GVU-Trojaner nutzte das Logo der Gesellschaft zur Verfolgung von Urheberrechtsverletzungen, der BKA-Trojaner das Erscheinungsbild des Bundeskriminalamts. Hinter beiden steckten kriminelle Gruppen.

Gibt es heute noch klassische BKA-Trojaner?

Selten. Häufiger sind heute Browser-Sperren, Fake-Support-Anrufe und moderne verschlüsselnde Ransomware. Die optischen Muster - Behördenlogo, Geldforderung, Drohkulisse - sind aber bis heute vergleichbar.

Welche Variante war besonders gefährlich?

Besonders problematisch waren Mischformen ab 2013, die zusätzlich zur Sperrung Dateien verschlüsselten oder Zugangsdaten abgriffen. Sie kündigten den Übergang von einfacher Scareware zu echter Ransomware an und konnten anders als reine Screenlocker nicht zuverlässig durch eine Bereinigung gelöst werden.

Woran erkenne ich, mit welcher Variante ich es zu tun habe?

Eine sichere Zuordnung ist für Laien kaum möglich und auch nicht zwingend nötig. Entscheidend ist die Unterscheidung, ob nur der Bildschirm gesperrt ist - dann eher Screenlocker - oder ob Dateien fremde Endungen tragen und nicht mehr geöffnet werden können, dann handelt es sich um Verschlüsselungs-Ransomware. Für beide Fälle ist die Seite Erste Hilfe der richtige Einstieg.