Cryptojacking bedeutet, dass jemand Deinen Computer heimlich zum Schürfen (Mining) von Kryptowährungen missbraucht – ohne Dein Wissen und ohne Deine Zustimmung. Dein Rechner rechnet rund um die Uhr komplexe mathematische Aufgaben, die dem Angreifer digitales Geld einbringen. Du bekommst davon nichts ab – außer einen langsamen Computer, einen lauten Lüfter und eine deutlich höhere Stromrechnung.
Wie funktioniert das?
Um Kryptowährungen wie Bitcoin oder Monero zu erzeugen, müssen Computer komplexe Rechenaufgaben lösen – das sogenannte Mining. Wer die Aufgabe zuerst löst, bekommt eine Belohnung in der jeweiligen Kryptowährung. Das Problem für ehrliche Miner: Das Mining verbraucht enorme Mengen an Strom und erfordert teure Hardware. Für Kriminelle liegt die Lösung nahe: Sie lassen andere Leute die Stromrechnung bezahlen.
Cryptojacking-Malware gelangt auf verschiedenen Wegen auf Deinen Rechner – über Phishing-E-Mails, infizierte Downloads, kompromittierte Webseiten oder Sicherheitslücken. Einmal installiert, arbeitet sie im Hintergrund. Sie nutzt Deine CPU (den Hauptprozessor) und manchmal auch die Grafikkarte, um Kryptowährungen zu berechnen und die Ergebnisse an den Angreifer zu senden.
Besonders beliebt bei Cryptojackern ist die Kryptowährung Monero. Anders als Bitcoin ist Monero komplett anonym – die Transaktionen sind nicht rückverfolgbar. Außerdem lässt sich Monero auch auf normalen Heim-PCs effizient schürfen, während für Bitcoin inzwischen spezielle Mining-Hardware nötig ist.
Moderne Cryptojacking-Malware ist erstaunlich raffiniert. Sie drosselt ihre Aktivität, wenn Du aktiv am Computer arbeitest, damit der Lüfter nicht auffällig laut wird. Sobald Du den Rechner in Ruhe lässt, dreht sie die Leistung voll auf. Manche Varianten deaktivieren sogar Sicherheitssoftware oder andere Mining-Malware – Konkurrenz ist nicht erwünscht.
Die Schäden durch Cryptojacking werden oft unterschätzt, weil keine Dateien verschlüsselt und keine Daten gestohlen werden. Aber die Folgen sind real: Dein Computer wird langsam und unzuverlässig, Hardware-Komponenten verschleißen schneller durch die Dauerbelastung, und der Stromverbrauch steigt erheblich. Bei Unternehmen mit Hunderten befallener Rechner summieren sich die Energiekosten auf Tausende Euro pro Monat.
Es gibt auch browserbasiertes Cryptojacking, bei dem ein Skript auf einer Webseite Deinen Browser zum Mining nutzt, solange die Seite geöffnet ist. Diese Variante verschwindet, sobald Du den Tab schließt. Weitaus problematischer sind die persistenten Varianten, die sich als Software auf Deinem System installieren und jeden Neustart überleben.
Beispiele aus der Praxis
WannaMine nutzte dieselbe EternalBlue-Schwachstelle wie die berüchtigte WannaCry-Ransomware – aber statt Daten zu verschlüsseln, schürfte WannaMine Monero. Das Besondere: WannaMine arbeitete komplett „fileless", also ohne eine klassische Datei auf der Systempartition zu hinterlassen. Die Malware nutzte Windows-eigene Werkzeuge wie PowerShell und WMI, um sich im Speicher einzunisten und zu verbreiten. Das machte sie für herkömmliche Virenscanner nahezu unsichtbar. Die Details in unserem Schadenbeispiel zu WannaMine.
GhostEngine ging noch einen Schritt weiter: Dieser Cryptominer deaktivierte aktiv die Sicherheitssoftware auf dem befallenen System, indem er verwundbare Treiber lud – eine Technik namens BYOVD (Bring Your Own Vulnerable Driver). GhostEngine konnte so EDR-Lösungen und Virenscanner außer Gefecht setzen und ungestört Monero schürfen. Wie das im Detail funktionierte, zeigt unser Schadenbeispiel zu GhostEngine.
StaryDobry verbreitete sich 2024/2025 über trojanisierte Versionen beliebter Spiele auf Torrent-Plattformen. Wer sich ein gecracktes Spiel herunterlud, bekam einen Cryptominer obendrauf. Die Kampagne war besonders clever: Die Malware prüfte zuerst, ob der Rechner leistungsstark genug war, und aktivierte den Miner nur auf Systemen mit mindestens 8 CPU-Kernen. Mehr dazu in unserem Schadenbeispiel zu StaryDobry.
Wie schützt Deep Freeze davor?
Cryptojacking-Malware muss sich dauerhaft auf Deinem System einnisten, um profitabel zu sein. Ein Miner, der nur ein paar Stunden läuft, bringt den Angreifern kaum Gewinn. Die Schadsoftware installiert sich deshalb tief im System, manipuliert Autostart-Einträge und registriert sich als Dienst, damit sie jeden Neustart überlebt.
Genau das funktioniert mit Deep Freeze nicht. Beim Neustart wird die Systemfestplatte auf ihren eingefrorenen Zustand zurückgesetzt. Der Cryptominer, seine Autostart-Einträge, die deaktivierten Sicherheitslösungen – alles wird gelöscht. Der Miner muss bei jedem Neustart von vorne anfangen, was ihn wirtschaftlich wertlos macht.
Das ist besonders wirksam gegen die raffinierten Varianten wie WannaMine, die sich über Windows-Bordmittel im System verankern, oder GhostEngine, die Sicherheitssoftware deaktiviert. All diese Persistenzmechanismen werden beim Neustart rückgängig gemacht.
Cryptojacking frisst Deine Rechenleistung, Deinen Strom und die Lebensdauer Deiner Hardware – und Du merkst es oft erst, wenn es zu spät ist. Eine eingefrorene Systempartition macht das Geschäftsmodell der Cryptojacker kaputt: Kein Neustart, kein Miner.