Ihr infizierter PC ist jetzt ein Kill-Schalter für Ihr Handy. Hier ist, was zu tun ist

Nordkoreanische, staatlich unterstützte Hacker haben gerade etwas demonstriert, was den meisten Menschen nicht bewusst ist: Wenn Ihr Computer mit Malware infiziert ist, ist die Sicherheit Ihres Smartphones bereits kompromittiert – selbst wenn Ihr Handy selbst völlig sauber ist.

Im September 2025 nutzte die APT-Gruppe KONNI Malware auf Windows-PCs, um Android-Handys aus der Ferne über Googles „Mein Gerät finden“ (Find My Device) zurückzusetzen. Doch hier ist das entscheidende Detail, das alles verändert: Google bestätigte, dass dieser Angriff keine Sicherheitslücke in Android oder in „Mein Gerät finden“ ausnutzte. Die Schwachstelle war viel einfacher und beängstigender: infizierte Desktop-Computer.

Was tatsächlich geschah: Die PC-zu-Handy-Angriffskette

Die KONNI-Kampagne funktionierte über eine sorgfältig orchestrierte Abfolge, die zeigt, wie vernetzt unsere Geräte wirklich sind:

Schritt 1: Social Engineering über eine Messaging-App

Angreifer gaben sich als psychologische Berater und nordkoreanische Menschenrechtsaktivisten aus und verteilten Malware, die als Stressbewältigungsprogramme getarnt war, über die beliebte koreanische Messaging-App KakaoTalk. Opfer glaubten, legitime Beratungssoftware herunterzuladen.

Schritt 2: RAT-Infektion auf Windows-PCs

Nach der Ausführung installierten die bösartigen MSI-Installer Remote-Access-Trojans (RATs), konkret RemcosRAT, QuasarRAT und RftRAT. Das sind keine simplen Viren; es handelt sich um ausgefeilte Werkzeuge, die Angreifern die vollständige Fernsteuerung über infizierte Computer geben.

RATs tarnen sich als legitime Software und bleiben verborgen; sie erscheinen nicht in Listen laufender Programme oder Prozesse. Einmal installiert, können Angreifer das Nutzerverhalten überwachen, vertrauliche Informationen abrufen, Webcams aktivieren, Screenshots erstellen und auf alles zugreifen, worauf das Opfer Zugriff hat.

Schritt 3: Diebstahl von Anmeldedaten und Sitzungen

Die RATs sammelten Google-Kontodaten auf mehreren Wegen:

• Keylogging: Aufzeichnen von Passwörtern, während Opfer sie eintippten.
• Extraktion von Browser-Anmeldedaten: Diebstahl gespeicherter Passwörter aus Chrome, Edge oder anderen Browsern.
• Diebstahl von Sitzungscookies: Kopieren von Authentifizierungs-Cookies aus bereits angemeldeten Browsersitzungen.

Diese letzte Methode ist die heimtückischste. Wenn ein Hacker Sitzungscookies stiehlt, kann er die Zwei-Faktor-Authentifizierung vollständig umgehen, weil der Browser die Authentifizierungsprüfung bereits abgeschlossen hat. Das gestohlene Cookie gewährt vollen Zugriff, ohne neue Sicherheitsabfragen oder 2FA-Benachrichtigungen auszulösen.

Schritt 4: Zurücksetzen aus der Ferne über „Mein Gerät finden“

Mit den gestohlenen Zugangsdaten oder Sitzungscookies meldeten sich die Angreifer bei den Google-Konten der Opfer an und griffen auf „Mein Gerät finden“ zu. Von dort konnten sie nach Belieben Werksresets auslösen und alle Spuren ihres Eindringens löschen.

⚠️ Laut Forschern des südkoreanischen Cybersicherheitsunternehmens Genians wurden in mehreren Fällen Geräte der Opfer ohne Autorisierung gelöscht – dabei verschwanden Nachrichten, Fotos und andere Daten, die Spuren des Eindringens hätten offenlegen können.

Der Grad der Raffinesse war erschreckend. Angreifer nutzten die GPS-Ortungsfunktion in „Mein Gerät finden“, um zu erkennen, wann ein Ziel außer Haus war und weniger schnell reagieren konnte. In einem Fall führte der Angreifer den Löschbefehl nicht nur einmal, sondern dreimal aus – für maximale Störung und vollständigen Datenverlust.

Schritt 5: Laterale Bewegung über KakaoTalk Desktop

Vielleicht am perfidesten: Unmittelbar nach den Geräteslöschungen nutzten die Angreifer die noch angemeldeten KakaoTalk-Desktop-Apps der Opfer, um mit Malware verseuchte Dateien an die Kontakte der Opfer zu versenden – und so jedes kompromittierte Konto in einen sekundären Infektionsknoten zu verwandeln.

Die eigentliche Schwachstelle: Ihre Geräte bilden ein System

Der KONNI-Angriff entlarvt ein grundlegendes Missverständnis moderner Sicherheit: Wir betrachten unsere Geräte als getrennt, doch für Angreifer sind sie allesamt Einstiegspunkte in dasselbe Ökosystem.

Viele sicherheitsbewusste Nutzer könnten denken: „Ich habe die Zwei-Faktor-Authentifizierung für mein Google-Konto aktiviert. Ein Angreifer kann sich nicht einfach über seinen Computer bei ‚Mein Gerät finden‘ anmelden.“

Und das träfe zu, wenn der Angreifer versuchen würde, sich von seinem eigenen Gerät aus anzumelden. Aber genau das ist nicht passiert.

Wenn Malware Ihren PC infiziert, auf dem Sie bereits bei Google angemeldet sind, braucht der Angreifer weder Ihr Passwort noch Ihre 2FA-Codes. Er stiehlt Ihre Sitzungscookies – kleine Dateien, die Websites mitteilen: „Dieser Nutzer hat sich bereits erfolgreich authentifiziert.“ Mit diesen Cookies können Angreifer:

1. Auf Ihr Google-Konto zugreifen, als wären sie Sie;
2. „Mein Gerät finden“ aufrufen, ohne neue Anmeldeabfragen auszulösen;
3. Befehle wie Werksresets ausführen, die von Ihrer legitimen, authentifizierten Sitzung zu stammen scheinen;
4. alle 2FA-Schutzmechanismen umgehen, weil sie Ihre bereits verifizierte Sitzung nutzen.

Session Hijacking ermöglicht es Angreifern, die Zwei-Faktor-Authentifizierung zu umgehen, indem sie Sitzungscookies nach Ihrer Anmeldung stehlen. Sobald der Hacker das Sitzungscookie besitzt, kann er auf Ihr Konto zugreifen, als wären Sie es selbst – ohne Passwort oder 2FA-Code.

Darüber hinaus schaffen moderne Cloud-Dienste eine unsichtbare Brücke zwischen all Ihren Geräten. Wenn Ihr PC kompromittiert ist:

• werden die in Ihrem Browser gespeicherten Passwörter zu den Passwörtern des Angreifers;
• werden Ihre authentifizierten Sitzungen zu den authentifizierten Sitzungen des Angreifers;
• werden Ihre Cloud-Dienste (Google, Apple, Microsoft, Dropbox) zum Bedienpult des Angreifers;
• werden Ihre anderen Geräte (Handy, Tablet, Smart Home) zu den Zielen des Angreifers.

⚠️ Sie können auf dem Handy makellose Sicherheit haben (biometrische Sperren, verschlüsselte Speicherung, keine verdächtigen Apps) – wenn jedoch Ihr Desktop infiziert ist, spielt das keine Rolle. Der Angreifer muss Ihr Handy nicht direkt kompromittieren. Er muss lediglich die Cloud-Dienste kompromittieren, die Ihr Handy steuern.

Die Designfragen rund um „Mein Gerät finden“

Während die primäre Schwachstelle PC-Malware war, offenbart der Angriff einige Designbeschränkungen in „Mein Gerät finden“, die ihn wirksamer machten:

1. Sofortige Ausführung ohne Karenzzeit

Wenn ein Werksreset über „Mein Gerät finden“ ausgelöst wird, geschieht das sofort. Es gibt keine Abkühlphase, keine Option „Innerhalb von 5 Minuten abbrechen“, keine Bestätigung auf einem sekundären Gerät.

Dieses Design der Sofortausführung priorisiert den legitimen Anwendungsfall: Jemand, dessen Handy gestohlen wurde, muss es schnell löschen können, bevor der Dieb auf die Daten zugreift. Doch es schafft einen katastrophalen Single Point of Failure, wenn das Konto selbst kompromittiert ist.

ℹ️ Was helfen könnte: Eine konfigurierbare Verzögerung (auch nur 5–10 Minuten) mit der Möglichkeit, den Befehl von einem anderen authentifizierten Gerät zu stornieren. Nutzer, die sofortige Löschungen benötigen, könnten diese Verzögerung deaktivieren; sicherheitsbewusste Nutzer sie aktivieren.

2. Keine Anomalie-Erkennung

Das System markiert keine verdächtigen Muster. Wenn ein Angreifer:

• sich von einem ungewöhnlichen Ort anmeldet;
• GPS-Koordinaten prüft;
• sofort einen Werksreset ausführt;
• dies dreimal hintereinander wiederholt …

… gibt es kein automatisiertes System, das sagt: „Dieses Verhalten ist ungewöhnlich; verlangen wir zusätzliche Verifizierung.“

ℹ️ Was helfen könnte: Machine-Learning-Modelle, die anomale Muster erkennen und eine verstärkte Authentifizierung verlangen (z. B. die Eingabe eines 2FA-Codes speziell für diese Aktion, selbst wenn Sie bereits angemeldet sind).

3. Begrenzte forensische Protokollierung

Nach dem Löschen eines Geräts gibt es keinen cloudbasierten Verlauf dessen, was passiert ist. Opfer haben keine Möglichkeit:

• zu sehen, wann ihr Handy gelöscht wurde;
• zu erkennen, von welchem Ort der Löschbefehl kam;
• zu prüfen, welche anderen Aktionen in „Mein Gerät finden“ durchgeführt wurden;
• den Zeitverlauf des Angriffs nachzuvollziehen.

ℹ️ Was helfen könnte: Manipulationsresistente Protokolle, getrennt vom Gerät gespeichert, die alle Aktionen in „Mein Gerät finden“ aufzeichnen und auch nach einem Werksreset zugänglich sind.

4. Standortbenachrichtigungen, die Ihre Überwachung verraten

Wenn Sie ein Gerät über „Mein Gerät finden“ orten, erscheint auf dem Zielgerät eine Benachrichtigung mit „Gerätestandort geteilt“, die Angreifer darauf hinweist, dass Sie sie verfolgen.

Das ist in legitimen Szenarien aus Datenschutzsicht sinnvoll (Sie sollten wissen, wenn jemand Ihren Standort nachverfolgt), warnt jedoch versierte Angreifer, dass Sie den Kompromiss erkannt haben – und kann ihre Zeitplanung für das Löschen beschleunigen.

Was Sie tun können: Defense in Depth

Der KONNI-Angriff macht deutlich, dass mobile Sicherheit mit PC-Sicherheit beginnt. Das sollten Sie tun:

1. Behandeln Sie E-Mail-Anhänge als feindlich, bis das Gegenteil bewiesen ist.

   Die KONNI-Kampagne setzte darauf, dass Opfer bereitwillig über KakaoTalk empfangene MSI-Dateien und ZIP-Archive installierten, die als legitime Beratungssoftware getarnt waren.

   Öffnen Sie Anhänge niemals, selbst nicht von bekannten Kontakten, es sei denn:

   • Sie haben die Datei erwartet;
   • Sie haben über einen separaten Kommunikationskanal (Telefonanruf, nicht Textnachricht) verifiziert, dass sie wirklich von dort stammt;
   • Sie haben die Datei mit aktueller Antivirensoftware geprüft;
   • Sie verstehen, was die Datei macht.

   Achten Sie besonders auf:

   • .msi (Windows-Installer);
   • .exe (ausführbare Dateien);
   • .zip, .rar, .7z (komprimierte Archive, die ausführbare Dateien enthalten können);
   • .scr (Bildschirmschoner, häufig Malware);
   • Office-Dokumente mit aktivierten Makros.

2. Setzen Sie Endpoint Detection and Response (EDR) ein.

   Consumer-Antivirus reicht gegen hochentwickelte Malware nicht mehr aus. Ziehen Sie Lösungen in Unternehmensqualität in Betracht, z. B. Windows Defender for Business (in Microsoft 365 Business Premium enthalten) oder Bitdefender GravityZone.

   RATs sind darauf ausgelegt, der Erkennung zu entgehen, und können gängige Sicherheitsmaßnahmen wie Firewalls, Intrusion-Detection-Systeme und Zugriffs­kontrollen umgehen. Sie benötigen daher verhaltensbasierte Erkennung, die verdächtige Aktivitätsmuster identifiziert – nicht nur signaturbasierte Scans.

3. Isolieren Sie sensible Aktivitäten auf separaten Geräten.

   Wenn Sie mit sensiblen Informationen arbeiten oder wahrscheinlich ins Visier geraten, erwägen Sie:

   • ein dediziertes „sauberes“ Gerät für Finanztransaktionen und die Verwaltung kritischer Konten zu verwenden;
   • auf diesem Gerät niemals Drittanbieter-Software zu installieren;
   • verschiedene Google-Konten auf unterschiedlichen Geräten zu nutzen;
   • das Konto für die Steuerung von „Mein Gerät finden“ getrennt von Ihrem Alltags-E-Mail-Konto zu halten.

4. Überwachen Sie regelmäßig Ihre aktiven Sitzungen.

   Machen Sie das zur wöchentlichen Gewohnheit:

   1. Navigieren Sie zu myaccount.google.com > Sicherheit > Meine Geräte.

   2. Prüfen Sie alle angemeldeten Geräte.

   3. Melden Sie alles ab, was Sie nicht erkennen.

   4. Überprüfen Sie Orte und Zeitstempel: Stimmen sie mit Ihrer tatsächlichen Nutzung überein?

   

5. Aktivieren Sie hardwarebasierte Zwei-Faktor-Authentifizierung.

   Auch wenn der Diebstahl von Sitzungscookies selbst Hardware-2FA aushebeln kann, wenn auf einem bereits authentifizierten Gerät Malware läuft, erschweren Hardware-Keys Angriffe erheblich, weil sie für die Erstanmeldung physische Präsenz erfordern.

   Allerdings ist 2FA nicht gleich 2FA:

   ❌ SMS-basierte 2FA: Kann von Malware mit Benachrichtigungszugriff abgefangen werden

   ❌ Authenticator-Apps: Besser, aber weiterhin anfällig für Session Hijacking

   ✅ Hardware-Sicherheitsschlüssel: Physische Token mit kryptografischer Verifizierung

   ✅ Passkeys: Authentifizierung der nächsten Generation, an spezifische Geräte gebunden

   So aktivieren Sie es: Gehen Sie zu myaccount.google.com > Sicherheit > 2-Faktor-Authentifizierung > „Sicherheitsschlüssel“ auswählen.

   

6. Pflegen Sie Offline-Backups.

   Da Fernlöschungen ohne Ihr Wissen oder Ihre Zustimmung stattfinden können (wenn Ihr Konto kompromittiert ist), halten Sie verschlüsselte Offline-Backups vor:

   • Fotos/Videos: Verwenden Sie eine externe Festplatte mit regelmäßigen Backups, nicht nur Cloudspeicher;
   • Kontakte: Regelmäßig als VCF-Datei exportieren;
   • Wichtige Dokumente: Verschlüsselte Kopien auf einem sicher aufbewahrten USB-Stick;
   • 2FA-Backup-Codes: Ausdrucken und sicher verwahren.

Die unbequeme Wahrheit

Der KONNI-Angriff war nicht wegen ausgeklügelter Zero-Day-Exploits erfolgreich, sondern wegen einfacher Wahrheiten, denen wir uns ungern stellen:

• Nutzer öffnen Anhänge von vertrauenswürdigen Quellen (selbst wenn diese Quellen kompromittiert sind).
• PC-Sicherheit wird als weniger kritisch behandelt als mobile Sicherheit (obwohl PCs Zugriff auf alles haben, worauf auch mobile Geräte zugreifen).
• Sitzungscookies werden als weniger sensibel betrachtet als Passwörter (obwohl sie denselben Zugriff gewähren).
• Cloud-Dienste vertrauen authentifizierten Sitzungen (ohne kontinuierliche Prüfung ungewöhnlichen Verhaltens).
• Wir designen zuerst für Bequemlichkeit, dann für Sicherheit (sofortige Werksresets ohne Karenzzeit).

Die Opfer in Südkorea waren nicht unvorsichtig. Sie wurden von Personen angesprochen, die sich als vertrauenswürdige Figuren in ihrer Gemeinschaft ausgaben und scheinbar legitime Dienstleistungen anboten. Sie handelten mit normaler Vorsicht – und das reichte nicht.

Fazit: Sicherheit ist ein System, kein Gerät

Die Lehre aus KONNI betrifft nicht die Unsicherheit von „Mein Gerät finden“. Es geht um die Illusion von Gerätesicherheit in einer cloudvernetzten Welt.

Die Sicherheit Ihres Handys ist nur so stark wie:

Die Sicherheit Ihres PCs (Malware kann Sitzungscookies stehlen)

Die Authentifizierung Ihres Kontos (die 2FA-Art ist enorm wichtig)

Die Anomalie-Erkennung Ihres Cloud-Anbieters (meist nicht vorhanden)

Ihre Backup-Strategie (Fernlöschungen können ohne Ihre Zustimmung erfolgen)

Ihr Verständnis von Angriffsketten (Social Engineering ist der Einstiegspunkt)

Wir können nicht länger darüber nachdenken, einzelne Geräte zu sichern. Wir müssen das gesamte Ökosystem aus Geräten, Konten, Sitzungen und Cloud-Diensten sichern, das unser digitales Leben ausmacht.

Die KONNI-Gruppe zeigte, dass staatliche Akteure mit Geduld, Social Engineering und einem Verständnis der Funktionsweise von Cloud-Diensten Ihre eigenen Sicherheitswerkzeuge gegen Sie wenden können.

Die Sicherheit Ihres Handys beginnt mit der Sicherheit Ihres PCs. Im Zeitalter der cloudverbundenen Datenverarbeitung gibt es keine isolierten Geräte. Nur miteinander verbundene Schwachstellen.