Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde.
BKA-Trojaner.de Logo
Erste Hilfe

PC gesperrt - was tun?

Eine bildschirmfüllende Meldung im Stil einer Behörde ist fast immer Betrug. Echte Behörden sperren keine privaten Geräte und fordern keine Zahlung über Gutscheinkarten oder Kryptowährungen. Entscheidend ist, ruhig zu unterscheiden, ob es ein Browser-Pop-up, eine echte Systemsperre oder bereits eine Dateiverschlüsselung ist.

Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde. Im Notfall bitte Polizei, BSI oder einen spezialisierten IT-Dienstleister einbinden. Diese Inhalte ersetzen keine professionelle Incident-Response-, Forensik-, Rechts- oder IT-Beratung.

Kurze Einordnung

Hinter einer Sperrmeldung im BKA-Stil stecken heute meist drei Szenarien: ein aufdringliches Browser-Pop-up, ein klassischer Screenlocker, der den Desktop blockiert, oder im schlimmsten Fall echte Ransomware mit verschlüsselten Dateien. Browser-Pop-ups sind häufig, aber harmlos. Ein blockierter Desktop ist seltener, aber ernster. Verschlüsselte Dateien sind ein echter Notfall.

Diese Seite hilft Ihnen, die Lage einzuordnen und die nächsten Schritte ruhig zu gehen, ohne auf Drohungen und Countdowns zu reagieren.

Das Wichtigste in Kürze

  • Die Meldung ist immer Betrug, unabhängig vom verwendeten Logo
  • Zahlung, Hotline-Anruf und Code-Eingabe sind in jedem Fall falsche Schritte
  • Browser-Pop-up und echte Systemsperre unterscheiden sich an einfachen Merkmalen
  • Bei echtem Befallsverdacht ist eine fachkundige Bereinigung wichtiger als Geschwindigkeit

Was Sie sofort tun sollten

  • Foto oder Screenshot der Meldung mit dem Smartphone sichern
  • WLAN, LAN-Kabel und mobile Datenverbindung trennen, wenn echter Schadcode vermutet wird
  • Andere Personen informieren, damit niemand am Gerät weiterarbeitet
  • Bei einem Arbeitsgerät umgehend die IT oder den IT-Dienstleister einbinden
  • Browser-Variante prüfen: lässt sich der Tab oder der Browser über den Task-Manager schließen?

Was Sie vermeiden sollten

  • Keine Zahlung leisten, weder per Paysafecard, Gutschein noch per Kryptowährung
  • Keine Telefonnummer aus der Meldung anrufen
  • Keine angeblichen Entsperr-Codes auf fragwürdigen Webseiten kaufen
  • Keine unbekannten Cleaner- oder Reparatur-Tools installieren
  • Keine Fernwartung für angebliche Helfer freigeben
  • Keine persönlichen Daten oder Kreditkartendaten eingeben

Wann es ein echter Notfall ist

  • Die Sperre bleibt nach einem sauberen Neustart sichtbar
  • Der Desktop ist nicht mehr erreichbar, Tastatur- und Mausaktionen sind blockiert
  • Dateien tragen plötzlich fremde Endungen oder lassen sich nicht öffnen
  • Erpresserschreiben wie 'readme.txt' oder 'how-to-decrypt' liegen im Dateisystem
  • Mehrere Geräte im Netzwerk zeigen ähnliche Symptome
  • Es wurde bereits gezahlt, Fernwartung freigegeben oder Bankdaten eingegeben

Wann es eher Browser-Scareware sein könnte

Browser-Scareware ist unangenehm, aber meist ungefährlich, solange Sie nichts installiert oder eingegeben haben. Eine vertiefte Anleitung dazu finden Sie unter Browser gesperrt.

  • Die Meldung erscheint nur, solange der Browser läuft
  • Nach Schließen des Tabs oder des Browsers ist das System normal benutzbar
  • Mit Strg+W, Alt+F4 oder über den Task-Manager lässt sich das Fenster beenden
  • Es gibt keine fremden Dateiendungen und keine Erpresserdatei im Dateisystem
  • Nach Neustart und ohne Wiederherstellung der letzten Sitzung ist die Meldung weg

Sonderfall: Pop-up mit Telefonnummer

Lautstarke Pop-ups, die zu einem Anruf bei einer angeblichen Microsoft-, Apple- oder Behörden-Hotline auffordern, sind Fake-Support. Ziel der Anrufer ist Fernzugriff auf Ihr Gerät und meist eine Zahlung. Nicht anrufen, das Fenster über den Task-Manager beenden und die Seite Fake-Support erkennen lesen.

Welche Informationen Sie sichern sollten

  • Foto oder Screenshot der Meldung mit erkennbarem Wortlaut
  • Datum und Uhrzeit des ersten Auftretens
  • Welcher Browser, welche Webseite oder welcher Anhang vorher offen war
  • Gab es ungewöhnliche Programminstallationen in den letzten Tagen?
  • Bei Arbeitsgeräten: Geräte-/Asset-Bezeichnung und Standort

Wann professionelle Hilfe sinnvoll ist

Versuchen Sie keine eigenmächtige Entfernung mit unbekannten Tools. Im Privatumfeld ist eine IT-Werkstatt oder ein vertrauenswürdiger Dienstleister die richtige Anlaufstelle. Im Unternehmen läuft alles Weitere über den Incident-Response-Prozess und die IT-Sicherheit.

  • Sobald die Sperre nach Neustart noch sichtbar ist
  • Bei jedem Hinweis auf verschlüsselte Dateien
  • Wenn Fernwartung freigegeben oder Zahlungsdaten eingegeben wurden
  • Bei Vorfällen auf Arbeitsgeräten, in Praxen, Kanzleien oder Unternehmen
  • Wenn Sie sich unsicher sind, ob es Scareware oder echte Malware ist

Nach dem Vorfall

  • Passwörter wichtiger Konten von einem sauberen Gerät aus ändern
  • Mehrfaktor-Authentifizierung dort aktivieren, wo sie noch fehlt
  • Online-Banking und wichtige Konten auf ungewöhnliche Vorgänge prüfen
  • Betriebssystem, Browser und Anwendungen aktualisieren
  • Backup-Konzept überprüfen oder erstmals einrichten

Wichtiger Hinweis

Diese Anleitung ist eine allgemeine Orientierung und ersetzt keine individuelle IT-, Forensik- oder Rechtsberatung. Im Zweifel ziehen Sie bitte professionelle Hilfe hinzu.

Häufige Fragen

Ist eine BKA- oder Polizei-Sperrmeldung jemals echt?

Nein. Weder das Bundeskriminalamt noch die Polizei sperren private Rechner per Vollbildmeldung oder fordern Zahlungen über Gutscheinkarten oder Kryptowährungen.

Wie unterscheide ich Browser-Pop-up und echte Systemsperre?

Ein Browser-Pop-up verschwindet, sobald der Browser beendet und neu gestartet wird, oft schon nach Schließen des Tabs. Eine echte Systemsperre bleibt nach Neustart sichtbar und blockiert den Desktop. Verschlüsselte Dateien mit fremden Endungen sprechen für Ransomware.

Soll ich den Sperrbildschirm einfach wegklicken oder das Gerät herunterfahren?

Beweise sichern ist wichtiger als sofortiges Wegklicken. Machen Sie zuerst ein Foto. Wenn Sie das Gerät anschließend herunterfahren, geschieht das idealerweise nach Rücksprache mit IT oder einem Dienstleister, damit forensische Spuren erhalten bleiben.

Reicht ein normaler Virenscanner?

Bei einfachen Browser-Pop-ups oft ja, bei echter Ransomware nicht zwingend. Wenn Daten verschlüsselt wirken oder mehrere Geräte betroffen sind, ist eine fachkundige Bereinigung nötig.

Was, wenn ein Pop-up zu einer Hotline auffordert?

Nicht anrufen. Es handelt sich um Fake-Support. Das Fenster über den Task-Manager beenden und keine Fernwartung freigeben.

Wo kann ich Anzeige erstatten?

Bei der örtlichen Polizei oder online über die Online-Wache des jeweiligen Bundeslandes. Beweise wie Fotos, Notizen und Erpresserschreiben sollten Sie mitbringen.