Cryptojacking: Schürfen im Verborgenen

Während sich die Medien auf spektakuläre Kryptodiebstähle konzentrieren, breitet sich im Hintergrund eine leise, aber rasant wachsende Bedrohung aus: Cryptojacking.

Hacker missbrauchen mit diesem unsichtbaren Cyberangriff die IT Systeme ihrer Opfer, um Kryptowährungen zu schürfen. Die Geschädigten werden mit steigenden Stromrechnungen, leistungsschwächeren IT Geräten und möglichen Schachstellen in der eigenen IT Sicherheit konfrontiert.

Wichtige Punkte

Cyberkriminelle nutzen heimlich fremde Computer, Smartphones oder Server zum Schürfen von Kryptowährungen – ohne Wissen oder Zustimmung der Eigentümer.
2024 wurde die US-Behörde für internationale Entwicklung USAID Opfer eines Cryptojacking-Angriffs, der einen Schaden von USD 500‘000 verursachte.
Cryptojacking-Malware wird in der Regel über Phishing-E-Mails, kompromittierte Websites oder infizierte Browser-Erweiterungen eingeschleust. Im Gegensatz zu Ransomware-Attacken bleiben die Angreifer still im Hintergrund.
Neben den finanziellen und operativen Kosten hinaus weist Cryptojacking auf mögliche Sicherheitslücken hin. Robuste Abwehrstrategien – Systemüberwachung, Netzwerkanalyse und Sensibilisierung der Mitarbeitenden – sind entscheidend für die Prävention.

Der Akku Ihres Smartphones wird heiss, der Ventilator Ihres Laptops dreht permanent auf und Ihre Stromrechnung schiesst in die Höhe. Sie reagieren auf solche Ärgernisse nur mit einem gleichgültigen Schulterzucken.

Aber was, wenn es sich hier um einen Cyberangriff handelt?

Was ist Cryptojacking?

In der ersten Hälfte des Jahres 2025 entwendeten Cyberkriminelle über USD 2,1 Milliarden durch kryptowährungsbezogene Angriffe.¹ Die meisten Verluste resultierten aus kompromittierten Wallets und Phishing-Kampagnen. Während solche Vorfälle die Schlagzeilen in den Medien dominieren, agiert im Hintergrund eine weitaus heimtückischere Bedrohung: Cryptojacking. Hierbei kapern Kriminelle die Rechenleistung der Geräte ihrer Opfer, wie etwa Computer, Smartphones oder Server, um ohne deren Wissen Kryptowährungen zu schürfen.

Beispiel von Cryptojacking: USAID

Im Herbst 2024 wurde die US-Behörde für internationale Entwicklung (USAID) von Microsoft über eine Sicherheitsverletzung informiert. Ein Administratorkonto wurde durch einen Password-Spray-Angriff kompromittiert,² was zur Erstellung eines zweiten Kontos führte. Beide Konten wurden genutzt, um über die Azure-Ressourcen von USAID Krypto-Mining-Operationen durchzuführen. Der dadurch entstandene Schaden belief sich auf geschätzte USD 500‘000. Als Reaktion darauf implementierte USAID strengere Passwortrichtlinien, führte Multi-Faktor-Authentifizierung (MFA) ein und verstärkte die Sicherheitsüberwachung, um künftige Angriffe zu verhindern.³

Das Motiv für Cryptojacking ist Profitgier: Das Schürfen von Kryptowährungen kann sehr lukrativ sein, erfordert jedoch teure Hardwareinvestitionen und einen hohen Energieaufwand. Für den Angreifer bietet das Kapern von Geräten und Netzwerken ihrer Opfer eine Möglichkeit, Kryptowährungen wie Bitcoins «kostenlos» zu schürfen.⁴

Der Ablauf zur Verbreitung von Cryptojacking-Malware verläuft in der Regel wie folgt ab:⁵

Phishing-E-Mails mit infizierten Links oder Anhängen
Kompromittierte Websites oder Online-Anzeigen (auch bekannt als Drive-by-Mining)
Schädliche Browser-Erweiterungen oder Plug-ins von Drittanbietern

Während bei einer Ransomware-Attacke die Nutzer ausgesperrt und erpresst werden, arbeitet Cryptojacking leise im Hintergrund: Die Opfer nutzen weiterhin ihre Geräte, ohne zu wissen, dass ihre Ressourcen gekapert wurden. Manche Cryptojacking-Malware verbreiten sich wie Computerwürmer. Sie wandern durch Netzwerke, infizieren mehrere Geräte und missbrauchen dabei deren Rechenleistung. Abbildung 1 veranschaulicht, wie Cryptojacking-Malware ein Gerät infiltriert, heimlich dessen Rechenressourcen übernimmt und Kryptowährungen schürft, ohne dass der Nutzer etwas davon merkt.

Abbildung 1: So funktioniert Cryptojacking

Ein Ablaufdiagramm, das veranschaulicht, wie Cryptojacking-Malware ein Gerät infiltriert, dessen Rechenressourcen übernimmt und im Verborgenen Kryptowährungen schürft – ohne Wissen des Nutzers.

Quelle: Fortinet (2025)

Dieses Ablaufdiagramm zeigt, wie Cryptojacking-Malware ein Gerät infiltriert, heimlich dessen Rechenressourcen übernimmt und Kryptowährungen schürft, ohne dass der Nutzer etwas davon merkt.

Auf den ersten Blick mag Cryptojacking weniger schädlich erscheinen als eine Ransomware-Attacke oder eine Datenschutzverletzung. Die Auswirkungen jedoch können beträchtlich sein: Höhere Stromrechnungen, mögliche Hardwareschäden durch Überlastung der Systeme und Produktivitätseinbussen aufgrund einer langsameren Systemleistung. Entscheidender ist auch, dass das Vorhandensein von Cryptojacking-Software auf mögliche Sicherheitslücken hinweist: Wenn Angreifer Cryptojacking-Malware installieren können, so sind sie möglicherweise auch in der Lage, andere schädliche Programme einzuschleusen.⁶

Wie kann Cryptojacking entdeckt werden?

Cryptojacking arbeitet heimlich im Hintergrund und ist primär darauf ausgelegt, oft über eine längere Zeitperiode hinweg unentdeckt zu bleiben. Eine wirksame Erkennung erfordert einen mehrstufigen Ansatz, einschliesslich der Überwachung der Systemleistung, der Analyse des Netzwerkverkehrs und der Beobachtung des Browserverhaltens. Mögliche Warnzeichen sind:⁷

Leistungsprobleme wie Verlangsamung, Einfrieren, Absturz oder Überhitzung der IT Systeme.
Hohe CPU/GPU⁸-Auslastung bei geringer Systemaktivität.
Unerklärliche Spitzen im Energieverbrauch.
Ungewöhnlicher Netzwerkverkehr oder grosse Datenübertragungen an unbekannte Orte.
Verdächtige oder ungewohnte Prozesse, die im Hintergrund laufen.

Konklusion

Cryptojacking ist eine heimliche und zunehmend verbreitete Cyberbedrohung, welche die Rechenleistung der Geräte von Einzelpersonen und Organisationen missbraucht zwecks Schürfung von Kryptowährungen. Zwar verursacht es keinen sofort sichtbaren Schaden wie bei einer Ransomware-Attacke, kann jedoch die IT-Systeme erheblich verlangsamen und die Betriebskosten erhöhen. Zudem zeigt es auch mögliche Schwachstellen in der IT Sicherheit auf. Eine wirksame Abwehrstrategie erfordert daher eine ständige Überwachung und Upgrades der eigenen IT- Systeme, Analyse der Netzwerke sowie die Sensibilisierung / Ausbildung der Mitarbeiter im Bereich der IT Sicherheit.

Die UBS Security Equity Strategie investiert in führende IT-Sicherheitsunternehmen, die Lösungen zur Erkennung von Cyberbedrohungen und zum wirksamen Schutz von Privatpersonen, Unternehmen und Regierungen anbieten.

¹ Cointelegraph. USD 2.1bn crypto stolen in 2025 as hackers shift focus from code to users, 04.06.2025, Blog.
² Password Spraying ist ein Brute-Force-Versuch, in ein System durch das Erraten mehrerer Passwörter einzudringen.
³ SentinelOne. How to prevent cryptojacking?, Blog, 01.06.2025; Medium. Cloud Security Threats. How USAID became a victim of cryptojacking and the rising danger of cloud-based attacks, Blog, 03.02.2025.
⁴ Das Mining von Kryptowährungen beinhaltet das Lösen komplexer mathematischer Probleme mithilfe leistungsfähiger Hardware und verbraucht dabei erhebliche Mengen an Strom und Rechenleistung.
⁵ Keepnet. What is cryptojacking? Definition, detection & protection, Blog, 13.06.2025.
⁶ Crowdstrike. What is cryptojacking?, Blog, 04.10.2022.
⁷ Zscaler (2025): What is cryptojacking?, Blog.
⁸ CPU-Auslastung – prozentualer Anteil der Rechenkapazität, den die zentrale Verarbeitungseinheit (CPU) eines Computers zu einem bestimmten Zeitpunkt nutzt; GPU – Grafikverarbeitungseinheit.