Zum Inhalt springen

Services, Wiki-Artikel und Blog-Beiträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Cryptojacking: Wenn Angreifer fremde Rechenleistung kapern

Cryptojacking bezeichnet den unbefugten Missbrauch fremder IT-Ressourcen für das Mining von Kryptowährungen. Erkennungsmerkmale, Verbreitungswege, Schutzmaßnahmen und die rechtliche Einordnung im Überblick.

Inhaltsverzeichnis (7 Abschnitte)

Kurzerklärung: Missbrauch fremder Rechenleistung für Kryptowährungs-Mining ohne Wissen des Eigentümers. Oft durch Browser-Skripte oder Malware - erkennbar an unerwartetem CPU-Anstieg. Verursacht hohe Energiekosten und Systemabnutzung.

Cryptojacking (auch Crypto-Mining-Malware oder illizites Kryptowährungs-Mining genannt) bezeichnet den unbefugten Einsatz fremder IT-Ressourcen - Rechenleistung, Strom, Netzwerkbandbreite - für das Mining von Kryptowährungen, ohne Wissen oder Zustimmung des Eigentümers. Im Gegensatz zu Ransomware oder Datendiebstahl bleibt das Ziel der Angreifer möglichst unsichtbar: Das kompromittierte System soll so lange wie möglich unentdeckt für den Angreifer schürfen.

Das am häufigsten geminte Asset ist Monero (XMR), da Monero gegenüber Bitcoin zwei entscheidende Vorteile bietet: Der Mining-Algorithmus RandomX ist CPU-optimiert (keine teure GPU-Hardware nötig) und die Blockchain-Transaktionen sind standardmäßig verschleiert, was die Rückverfolgung erheblich erschwert.

Funktionsweise: Browser-basiertes vs. Malware-basiertes Cryptojacking

Cryptojacking lässt sich in zwei grundlegende Ausprägungen unterteilen, die sich in Persistenz, Aufwand und Erkennbarkeit unterscheiden.

Browser-basiertes Cryptojacking (In-Browser-Mining)

Bei dieser Variante wird Mining-Code direkt im Browser des Besuchers einer Webseite ausgeführt - ohne Installation von Software auf dem Zielsystem. Das Script lädt sich beim Aufruf der Seite, startet im Hintergrund und läuft solange der Browser-Tab geöffnet ist.

Ablauf:

  1. Angreifer kompromittieren eine Webseite oder schalten ein bösartiges Werbe-Netzwerk-Ad
  2. Beim Seitenaufruf wird JavaScript-Mining-Code geladen und ausgeführt
  3. Der CPU des Besuchers übernimmt rechenintensive Hashing-Operationen
  4. Ergebnis-Hashes werden an einen Mining-Pool übermittelt
  5. Die Mining-Belohnung landet in der Wallet des Angreifers

Browser-basiertes Mining verursacht nach dem Schließen des Tabs keinen dauerhaften Schaden und hinterlässt keine Spuren auf der Festplatte. Es ist daher technisch gesehen weniger invasiv als Malware - verbraucht aber während der Sitzung erhebliche Rechenressourcen und erhöht den Stromverbrauch des Endgeräts messbar.

Malware-basiertes Cryptojacking

Die persistente Variante installiert einen Miner direkt auf dem Zielsystem - als Dienst, geplante Aufgabe oder durch Einbettung in bestehende Prozesse. Diese Form ist deutlich profitabler für Angreifer, da der Miner rund um die Uhr läuft, auch wenn der Nutzer nicht aktiv am Rechner arbeitet.

Typischer Ablauf:

  1. Initial Access über ungepatchte Schwachstelle, Phishing, kompromittierte Software oder gestohlene Zugangsdaten
  2. Installation des Miners (häufig XMRig oder eine Abwandlung) als Dienst
  3. Absenkung der CPU-Auslastung auf 70-80%, um nicht sofort aufzufallen
  4. Kommunikation mit einem Mining-Pool über verschlüsselte Verbindungen
  5. Deaktivierung von Sicherheitssoftware oder Hinzufügen von Ausnahmen für den Miner-Prozess

Fortgeschrittene Varianten nutzen Fileless-Techniken - der Miner läuft ausschließlich im Arbeitsspeicher, schreibt keine Dateien auf die Festplatte und umgeht signaturbasierte Antivirus-Erkennung.

Geschichte: Coinhive und der Monero-Mining-Boom

2017 - Coinhive und der Beginn des Browser-Minings

Im September 2017 startete Coinhive - ein Dienst der es Webseitenbetreibern ermöglichte, durch das Mining von Monero im Browser der Besucher Einnahmen zu erzielen, als "ethische Alternative" zu Werbebannern. Das Konzept war technisch elegant: Ein einzelner JavaScript-Snippet reichte aus, um die Rechenleistung aller Besucher zu bündeln.

Innerhalb weniger Wochen wurde Coinhive zum meistgenutzten - und meistmissbrauchten - Mining-Service im Web. Angreifer schleusten den Code in tausende kompromittierte Webseiten ein, ohne die Betreiber oder Besucher zu informieren. Auch über bösartige Werbe-Netzwerke (Malvertising) verteilten sich Mining-Scripts massenhaft.

Auf dem Höhepunkt 2018 war Coinhive in den Threat-Intelligence-Listen der großen Antivirus-Hersteller regelmäßig unter den Top 3 der häufigsten Bedrohungen zu finden - noch vor klassischen Viren und Banking-Trojanern.

2018 - Ausweitung auf Server und Cloud-Infrastruktur

Parallel zum Browser-Mining entdeckten Angreifer das deutlich lukrativere Potenzial von Server-Kompromittierungen. Durch den Kryptowährungs-Boom 2017/2018 stiegen die Monero-Kurse stark an, was Server-basiertes Mining hochprofitabel machte.

Aufsehenerregende Fälle dieser Phase:

  • Tesla (2018): Eine ungesicherte Kubernetes-Admin-Konsole ermöglichte Angreifern den Zugang zur Cloud-Infrastruktur, in der Cryptominer installiert wurden.
  • WannaMine (2018): Nutzte den NSA-Exploit EternalBlue (dieselbe Schwachstelle wie WannaCry) zur Ausbreitung in Unternehmensnetzwerken und installierte anschließend Monero-Miner.
  • Jenkins- und Confluence-Server: Öffentlich erreichbare DevOps-Instanzen mit bekannten Schwachstellen wurden systematisch gescannt und kompromittiert.

2019 - Das Ende von Coinhive und die Evolution der Bedrohung

Am 8. März 2019 stellte Coinhive seinen Betrieb ein - als Konsequenz aus dem drastischen Kurseinbruch von Monero (über 85% Wertverlust) und der zunehmenden Blockierung durch Browser-Hersteller und Sicherheitssoftware. Google Chrome, Firefox und Edge integrierten Erkennungslogik gegen bekannte Mining-Scripts.

Doch das Ende von Coinhive bedeutete nicht das Ende von Cryptojacking. Bis heute existieren zahlreiche Nachfolger-Dienste und selbst entwickelte Mining-Tools. Die Bedrohungslandschaft hat sich verlagert: weg vom massenbasierten Browser-Mining, hin zu gezielten Angriffen auf Cloud-Infrastruktur, Kubernetes-Cluster und ungepatchte Server.

Heute - Cloud-fokussiertes Mining und Botnetze

Aktuelle Cryptojacking-Kampagnen richten sich gezielt gegen Cloud-Umgebungen, wo Angreifer auf hunderte oder tausende CPU-Kerne gleichzeitig zugreifen können. Bekannte Botnetze wie Prometei (über Microsoft-Exchange-Schwachstellen verbreitet) oder 8220 Gang (auf Oracle WebLogic und andere Schwachstellen spezialisiert) infizieren kontinuierlich neue Systeme.

Erkennungsmerkmale

Cryptojacking ist darauf ausgelegt, unentdeckt zu bleiben. Trotzdem gibt es charakteristische Warnsignale.

Erhöhte CPU-Auslastung

Das deutlichste Symptom: Ein Prozess verbraucht dauerhaft 70-90% der CPU-Kapazität ohne erkennbaren Grund. Bei Servern - die normalerweise mit 20-40% Auslastung laufen - fällt dies in Monitoring-Systemen auf. Bei Endgeräten bemerken Nutzer die Verlangsamung häufig zuerst durch träge reagierende Anwendungen.

Auf Webseiten: Wenn der Besuch einer bestimmten Seite die CPU-Auslastung im Browser auf 80%+ treibt, ist Browser-Mining wahrscheinlich.

Lüftergeräusch und Überhitzung

Moderne Notebooks und Server-Hardware regeln die Lüfterdrehzahl anhand der CPU-Temperatur. Dauerhaft hohe Rechenlast führt zu dauerhaftem Lüfterbetrieb auf hoher Stufe - auch im Leerlauf und ohne aktive Nutzeraktivität. Bei Servern kann anhaltende Überhitzung zu vorzeitigem Hardwareverschleiß führen.

Erhöhter Stromverbrauch

Ein Server mit aktivem Cryptominer verbraucht nach Beobachtungen aus der Praxis 200-300% mehr Strom als im Normalbetrieb. In Cloud-Umgebungen schlägt sich das direkt in unerwarteten Kostensteigerungen in der Abrechnung nieder - ein Frühwarnsignal, das Cloud-Kostenmanagementsysteme oft zuerst anschlagen.

Netzwerkverbindungen zu Mining-Pools

Cryptominer kommunizieren mit Mining-Pools über das Stratum-Protokoll, typischerweise auf den Ports 3333, 4444, 5555, 7777 oder 14444. Diese ausgehenden Verbindungen zu unbekannten externen Servern auf ungewöhnlichen Ports sind in EDR- und SIEM-Systemen erkennbar.

Verbreitung: Wie Cryptominer in Systeme gelangen

Drive-by-Infektion und Malvertising

Beim Drive-by-Cryptojacking genügt der bloße Besuch einer kompromittierten Webseite. Angreifer injizieren Mining-Scripts in legitime Webseiten durch:

  • Ausnutzung von CMS-Schwachstellen (WordPress, Joomla, Drupal)
  • Kompromittierung von CDN-Diensten oder eingebundenen Drittanbieter-Scripts
  • Bösartige Werbeanzeigen in legitimen Werbenetzwerken (Malvertising)

Da Browser-Mining keine Persistenz erfordert, ist es für Angreifer mit vergleichsweise geringem Aufwand umsetzbar.

Kompromittierte und unsichere Websites

Webseiten, die selbst Mining-Scripts ausführen - ob wissentlich (als Einnahmequelle) oder unwissentlich (nach Kompromittierung) - sind unmittelbare Verbreitungsvektoren. Besonders gefährdet sind Seiten mit veralteten CMS-Versionen, nicht gepatchten Plugins oder schwachen Administrator-Passwörtern.

Schwachstellen in exponierten Diensten

Server-basiertes Cryptojacking nutzt bekannte Schwachstellen in öffentlich erreichbaren Diensten:

  • Ungepatchte Webanwendungsserver (Apache Log4Shell, Oracle WebLogic, Atlassian Confluence)
  • Fehlkonfigurierte Kubernetes-Cluster oder Docker-Instanzen mit exponierter API
  • Offene Redis-, MongoDB- oder Elasticsearch-Instanzen ohne Authentifizierung
  • RDP- und SSH-Dienste mit schwachen oder wiederverwendeten Zugangsdaten

Cloud-Instanzen und Container

Cloud-Umgebungen sind ein bevorzugtes Ziel weil dort theoretisch unbegrenzte Rechenleistung verfügbar ist - auf Kosten des Opfers. Angreifer mit Zugang zu Cloud-Accounts skalieren Compute-Instanzen hoch, um maximale Mining-Leistung zu erzielen. Bekannte Angriffsvektoren sind:

  • Geleakte AWS-, Azure- oder GCP-Zugangsdaten in öffentlichen Code-Repositories
  • Missbrauch von IAM-Rollen mit zu weitreichenden Berechtigungen
  • Kompromittierte CI/CD-Pipelines, die Cloud-Ressourcen provisionieren können

Supply-Chain-Kompromittierung

Angreifer schleusen Mining-Code in legitime Software-Pakete ein. Bekannte Fälle umfassen npm-Pakete, PyPI-Bibliotheken und Browser-Extensions, die nach einer Übernahme durch Angreifer bösartigen Code erhielten.

Schutzmaßnahmen

Ad-Blocker und Browser-Erweiterungen

Für Endnutzer und Arbeitsplatzrechner sind Browser-Erweiterungen die erste und einfachste Schutzschicht:

  • uBlock Origin: Blockiert bekannte Mining-Script-Quellen über Filterlisten
  • MinerBlock / NoCoin: Spezialisierte Erweiterungen gegen Browser-Mining
  • NoScript: Verhindert die Ausführung von JavaScript von unbekannten Quellen grundsätzlich

Browser-Hersteller haben inzwischen ebenfalls Erkennungslogik integriert: Chrome und Firefox blockieren bekannte Mining-Libraries.

Endpoint Detection and Response (EDR)

Moderne EDR-Lösungen erkennen Cryptominer über Verhaltensanalyse - nicht nur über Signaturen. Erkennungsmerkmale die EDR-Systeme auswerten:

  • Dauerhaft hohe CPU-Auslastung eines einzelnen Prozesses
  • Netzwerkverbindungen zu bekannten Mining-Pool-Domains und -Ports
  • Prozesse die sich selbst vor Beendigung schützen oder Sicherheitssoftware deaktivieren
  • Injection von Mining-Code in legitime Prozesse

XMRig und verbreitete Cryptominer-Varianten werden von führenden EDR-Lösungen (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint) zuverlässig erkannt.

Monitoring und Alerting

In Unternehmensumgebungen sollten folgende Überwachungsregeln aktiv sein:

CPU-Monitoring: Alarm bei dauerhafter CPU-Auslastung über 90% für mehr als 30 Minuten auf Servern außerhalb bekannter Lastfenster.

Netzwerkmonitoring: Ausgehende Verbindungen auf Ports 3333, 4444, 5555, 14444 oder zu bekannten Mining-Pool-Domains (z.B. pool.minexmr.com, xmrpool.eu) generieren automatisch Alerts.

Cloud-Kostenmonitoring: Schwellenwert-Alarme für unerwartete Kostenanstiege in Cloud-Abrechnungen - ein Anstieg um 50%+ innerhalb eines Tages ist ein ernst zu nehmendes Signal.

SIEM-Regeln: Korrelation von CPU-Anstieg, ungewöhnlichem ausgehenden Traffic und neuen Diensten oder geplanten Aufgaben als kombinierter Indikator für Cryptomining-Aktivität.

Patch-Management und Härtung

Da viele Cryptojacking-Kampagnen bekannte Schwachstellen ausnutzen, ist konsequentes Patch-Management die wichtigste Präventionsmaßnahme:

  • Kritische Schwachstellen in exponierten Diensten innerhalb von 72 Stunden patchen
  • Nicht benötigte Dienste deaktivieren und nicht exponierte Ports schließen
  • Kubernetes- und Docker-Umgebungen mit Least-Privilege-Prinzip konfigurieren
  • Cloud-IAM-Berechtigungen regelmäßig auditieren

DNS-Filterung

Bekannte Mining-Pool-Domains lassen sich auf DNS-Ebene blockieren - ein einfacher und effektiver Schutz in Unternehmensumgebungen, der keine Client-seitige Softwareinstallation erfordert. Threat-Intelligence-Feeds liefern regelmäßig aktualisierte Listen bekannter Mining-Pool-Domains.

Rechtliche Einordnung

Deutschland: Strafbarkeit nach StGB

Cryptojacking ist in Deutschland in mehrfacher Hinsicht strafbar:

§ 303b StGB - Computersabotage: Die unbefugte Nutzung fremder IT-Ressourcen zur Beeinträchtigung der Datenverarbeitung erfüllt den Tatbestand der Computersabotage, insbesondere wenn dadurch die Verfügbarkeit von Systemen oder die Arbeitsfähigkeit eines Unternehmens beeinträchtigt wird.

§ 202a StGB - Ausspähen von Daten: Beim Erlangen von Zugang zu fremden Systemen über Schwachstellen oder gestohlene Zugangsdaten ist der Tatbestand des Ausspähens von Daten erfüllt - unabhängig davon, ob der Zugang "nur" für Mining genutzt wird.

§ 263a StGB - Computerbetrug: Die unbefugte Nutzung fremder Rechenkapazität zum eigenen Vorteil kann als Computerbetrug gewertet werden.

Für die Opfer: Cryptojacking ist kein Bagatelldelikt. Strafanzeige bei Polizei oder BSI ist sinnvoll, da die Ermittlungsbehörden zunehmend erfolgreicher bei der Verfolgung von Mining-Botnetz-Betreibern sind.

eco-Verband: Anforderungen an legales Browser-Mining

Der eco-Verband Internet hat in einem Positionspapier Mindestanforderungen für einen rechtmäßigen Einsatz von Browser-Mining-Scripts definiert:

  • Explizite, informierte Einwilligung der Nutzer vor dem Mining-Start
  • Jederzeit mögliches, einfaches Abbrechen des Mining-Prozesses durch den Nutzer
  • Transparenz über den eingesetzten Code (kein verschleiertes JavaScript)

Diese Anforderungen sind in der Praxis kaum mit nutzerfreundlicher Web-Erfahrung vereinbar, weshalb Browser-Mining als Einnahmemodell keine breite legale Anwendung gefunden hat.

DSGVO-Relevanz

Sofern beim Cryptojacking-Angriff auch personenbezogene Daten abgerufen oder verarbeitet werden, greift zusätzlich die DSGVO. Unternehmen die Opfer eines Cryptojacking-Angriffs wurden, müssen prüfen, ob im Zuge der Kompromittierung auch personenbezogene Daten betroffen waren - und gegebenenfalls eine Meldung an die zuständige Datenschutzbehörde erstatten (Art. 33 DSGVO, Frist: 72 Stunden).

Aktuelle Entwicklungen

Verlagerung in die Cloud

Der wichtigste Trend der letzten Jahre ist die Verlagerung von Cryptojacking-Angriffen auf Cloud-Infrastruktur. Während Browser-Mining durch bessere Browser-Sicherheit und niedrigere Kryptowährungs-Kurse an Attraktivität verloren hat, sind Cloud-Angriffe profitabler als je zuvor: Angreifer mit Zugang zu einem kompromittierten Cloud-Account können in Minuten dutzende High-Performance-Instanzen starten und Mining-Leistung im Bereich von tausenden CPU-Kernen nutzen.

Worm-artige Verbreitung in Kubernetes

Neuere Cryptomining-Kampagnen nutzen Kubernetes-spezifische Angriffsvektoren: Schwach konfigurierte RBAC-Berechtigungen, exponierte etcd-Endpunkte oder Schwachstellen in Container-Images ermöglichen nicht nur die Kompromittierung einzelner Pods, sondern die laterale Bewegung durch den gesamten Cluster.

Cryptojacking als Indikator für größere Kompromittierung

Ein wichtiger Befund aus Incident-Response-Einsätzen: Cryptojacking ist häufig nicht das eigentliche Ziel der Angreifer, sondern ein Indikator dafür, dass Angreifer bereits dauerhaften Zugang zu Systemen haben. Wer Cryptominer auf einem System findet, muss davon ausgehen, dass die Angreifer bei steigenden Kryptowährungs-Kursen oder veränderter Risikobereitschaft denselben Zugang für Ransomware oder Datendiebstahl nutzen könnten.

Empfehlung: Ein gefundener Cryptominer sollte wie ein vollständiger Security Incident behandelt werden - mit forensischer Untersuchung des Angriffswegs, vollständiger Bereinigung aller kompromittierten Systeme und Schließung der ausgenutzten Schwachstelle.

Containerisiertes Mining und Supply-Chain-Angriffe

Angreifer schleusen Mining-Code zunehmend in legitim erscheinende Container-Images auf Registries wie Docker Hub ein. Entwickler die nicht geprüfte Images aus öffentlichen Registries einsetzen, riskieren damit Cryptominer in ihrer Infrastruktur. Regelmäßige Scans der eingesetzten Container-Images auf bekannte Bedrohungen und die Nutzung ausschließlich vertrauenswürdiger, signiertrer Images sind daher Pflicht in modernen DevSecOps-Umgebungen.

HeaderBedeutung
X-Cache: HIT / MISSCache-Status
Age: <Sekunden>Zeit seit Caching
CF-Cache-Status: HIT / MISS / EXPIREDCloudflare-Status
X-Varnish: <ID>Varnish Cache
Cache-Control: public, max-age=3600Cache-Direktiven
Vary: Accept-Encoding, Accept-LanguageCache-Key-Varianten

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 29.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de