PC gehackt erkennen: So erkennen und prüfen Sie in Windows 11 und Windows 10 alle typischen Anzeichen eines Hacks – und schützen Sie Ihr System gezielt.
Ob Ihr PC gehackt wurde, erkennen Sie an konkreten Warnsignalen: unerklärliche Systemverlangsamungen, selbstständige Mausbewegungen, deaktivierte Sicherheitssoftware oder unbekannte Prozesse im Task-Manager.
Dieser Ratgeber erklärt Ihnen Schritt für Schritt, wie Sie einen Hackerangriff unter Windows 11 und Windows 10 zuverlässig aufdecken, welche Tools dabei helfen und was Sie danach tun müssen.
Was bedeutet es, wenn ein PC gehackt wurde?
Bevor Sie konkrete Schritte unternehmen, sollten Sie verstehen, was hinter einem Hack steckt. Ein Hackerangriff bedeutet, dass eine unbefugte Person oder ein automatisiertes Schadprogramm Zugriff auf Ihr System erlangt hat. Dabei geht es Angreifern häufig um gestohlene Passwörter, Bankdaten, persönliche Dateien oder die Nutzung Ihrer Rechenleistung – etwa für das sogenannte Kryptomining.
Wichtig zu wissen: Viele Angriffe verlaufen zunächst völlig unbemerkt. Cyberkriminelle wollen laut Sicherheitsexperten möglichst lange im Hintergrund bleiben, um kontinuierlich Daten abzugreifen. Deshalb ist es entscheidend, die Anzeichen frühzeitig zu kennen und konsequent zu prüfen.
Die häufigsten Anzeichen für einen gehackten PC
Plötzliche Leistungseinbrüche und hohe CPU-Auslastung
Das auffälligste und häufigste Symptom eines kompromittierten Rechners ist eine unerklärliche Verlangsamung. Webseiten laden deutlich langsamer als gewohnt, Anwendungen reagieren träge, und der PC friert bei einfachen Aufgaben ein. Der Grund dafür ist simpel: Malware, Erpressungstrojaner und Mining-Software verbrauchen enorme Rechenkapazitäten im Hintergrund.
So prüfen Sie das in Windows 11 und Windows 10:
Drücken Sie gleichzeitig Strg + Umschalt + Entf oder Strg + Umschalt + Esc, um den Task-Manager zu öffnen. Klicken Sie anschließend auf „Mehr Details“ (Windows 10) bzw. wechseln Sie zur Registerkarte „Prozesse“ (Windows 11). Sortieren Sie die Liste nach der Spalte „CPU“, indem Sie darauf klicken. Ein unbeschäftigter PC sollte maximal 5–10 % CPU-Last aufweisen. Zeigt hingegen ein unbekanntes Programm dauerhaft mehr als 30 % an, ist das ein deutliches Warnsignal.
Zusätzlich empfiehlt sich der kostenlose Process Explorer von Microsoft Sysinternals. Er zeigt noch detailliertere Informationen als der Standard-Task-Manager und hilft dabei, getarnte Malware zu entlarven.
Unbekannte Programme und Prozesse im System
Erscheinen auf Ihrem Rechner Programme, die Sie nicht selbst installiert haben, sollten Sie hellhörig werden. Außerdem versteckt sich Malware häufig hinter täuschend ähnlichen Namen bekannter Systemprozesse – zum Beispiel „svchost32.exe“ statt des legitimen „svchost.exe“.
So überprüfen Sie installierte Programme:
Öffnen Sie unter Windows 10 und Windows 11 die Einstellungen (Windowstaste + I), navigieren Sie zu „Apps“ und sortieren Sie die Liste nach dem Installationsdatum. Unbekannte Einträge mit aktuellen Installationsdaten sollten Sie genauer untersuchen – und im Zweifel sofort deinstallieren.
Darüber hinaus empfiehlt sich das kostenlose Tool Autoruns von Microsoft Sysinternals. Es zeigt alle Programme, die beim Systemstart automatisch geladen werden. Verdächtige Einträge ohne bekannten Hersteller sind dabei besonders zu beachten.
Selbstständige Mausbewegungen und Tastatureingaben
Bewegt sich Ihr Mauszeiger eigenständig über den Bildschirm, öffnet Programme oder klickt auf Menüpunkte – ohne dass Sie die Maus berühren – dann ist Ihr PC mit hoher Wahrscheinlichkeit gehackt. Dieses Anzeichen deutet auf eine aktive Fernsteuerungssoftware (Remote Access Trojan, kurz RAT) hin. Dabei hat ein Angreifer in Echtzeit die Kontrolle über Ihren Rechner übernommen.
Trennen Sie in diesem Fall sofort die Internetverbindung, indem Sie das WLAN deaktivieren oder das Netzwerkkabel abziehen. Führen Sie anschließend einen vollständigen Virenscan durch.
Sicherheitssoftware wurde deaktiviert oder lässt sich nicht starten
Viele Schadprogramme deaktivieren als erstes die installierten Sicherheitstools – denn so können sie ungehindert agieren. Prüfen Sie deshalb regelmäßig, ob der Windows Defender (unter Windows 11 und 10 als „Microsoft Defender Antivirus“ bekannt) noch aktiv ist.
So prüfen Sie den Defender-Status:
Öffnen Sie über die Einstellungen die Windows-Sicherheit (Einstellungen → Datenschutz und Sicherheit → Windows-Sicherheit → Viren- und Bedrohungsschutz). Zeigt die Anwendung an, dass der Echtzeitschutz deaktiviert ist – und lässt sich dieser nicht wieder aktivieren – ist das ein ernstes Warnsignal.
Zusätzlich sollten Sie prüfen, ob die Windows-Firewall noch aktiv ist. Sie finden diese ebenfalls in der Windows-Sicherheits-App unter „Firewall- und Netzwerkschutz“.
Ungewöhnliche Netzwerkaktivität und hoher Datenverbrauch
Schadsoftware kommuniziert ständig mit externen Servern. Deshalb ist ein erhöhter Datenverbrauch, den Sie sich nicht erklären können, ebenfalls ein Hinweis auf einen Hack. Ebenso können Sie verdächtige Netzwerkverbindungen direkt in Windows aufspüren.
So analysieren Sie Netzwerkverbindungen in Windows 11 und Windows 10:
Öffnen Sie die Eingabeaufforderung als Administrator (Windowstaste + X → „Windows-Terminal (Administrator)“) und geben Sie folgenden Befehl ein:
netstat -ano
Diese Anzeige listet alle aktiven Netzwerkverbindungen auf. Verbindungen mit dem Status „ESTABLISHED“ zu unbekannten IP-Adressen sollten Sie prüfen. Notieren Sie die Prozess-ID (PID) in der letzten Spalte und suchen Sie sie anschließend im Task-Manager unter „Prozesse“ → „Details“, um das zugehörige Programm zu identifizieren.
Alternativ eignet sich das kostenlose Tool TCPView (ebenfalls von Microsoft Sysinternals) für eine übersichtlichere Darstellung aller Verbindungen in Echtzeit.
Browser zeigt veränderte Startseite oder unbekannte Erweiterungen
Öffnet sich Ihr Webbrowser plötzlich mit einer anderen Startseite als gewöhnlich oder wurden Ihre Standardsuchmaschine ohne Ihr Zutun geändert? Dann wurde möglicherweise Browser-Hijacking-Malware installiert. Außerdem installieren viele Schadprogramme unbemerkt Browsererweiterungen, die Ihre Online-Aktivitäten ausspähen oder Werbung einblenden.
So prüfen Sie Ihre Browsererweiterungen:
- Microsoft Edge: Einstellungen → Erweiterungen → Erweiterungen verwalten
- Google Chrome: Einstellungen → Erweiterungen (chrome://extensions)
- Mozilla Firefox: Einstellungen → Add-ons und Themes
Entfernen Sie alle Erweiterungen, die Sie nicht bewusst installiert haben. Außerdem sollten Sie die Startseite und Suchmaschine in den Einstellungen des Browsers manuell zurücksetzen.
Plötzlich gesperrte Konten oder geänderte Passwörter
Können Sie sich nicht mehr bei Ihren E-Mail-, Social-Media- oder Banking-Konten anmelden, obwohl Sie das richtige Passwort eingeben, ist das ein starkes Indiz dafür, dass Angreifer Ihre Zugangsdaten gestohlen haben. Ebenso verdächtig: Sie erhalten Benachrichtigungen über Passwort-Zurücksetzungen oder Anmeldeversuche von fremden Geräten und Standorten, die Sie nicht veranlasst haben.
Prüfen Sie in solchen Fällen sofort auf der Website Have I Been Pwned (haveibeenpwned.com), ob Ihre E-Mail-Adresse in bekannten Datenlecks aufgetaucht ist.
Webcam-LED leuchtet unerwartet auf
Leuchtet die Kontrollleuchte Ihrer Webcam, obwohl Sie keine Videokonferenz oder Kamera-App geöffnet haben, sollten Sie das ernst nehmen. Zwar deaktivieren manche Angreifer inzwischen die LED gezielt, jedoch ist ein unerwartetes Aufleuchten dennoch ein klassisches Anzeichen für einen Kamerazugriff durch Malware.
So prüfen Sie Kamera-Zugriffsberechtigungen unter Windows 11 und Windows 10:
Öffnen Sie die Einstellungen (Windowstaste + I) → Datenschutz und Sicherheit → Kamera. Dort sehen Sie, welche Apps zuletzt auf die Kamera zugegriffen haben. Unbekannte Einträge sollten Sie sofort sperren.
Gefälschte Virenwarnungen und Lösegeldforderungen
Erscheint auf Ihrem Desktop eine Warnmeldung eines Ihnen unbekannten Antivirenprogramms oder sogar eine Lösegeldforderung (Ransomware), ist der Fall klar: Ihr System wurde kompromittiert. Wichtig zu wissen: Wenn eine solche Fake-Warnung erscheint, hat die Schadsoftware das System bereits infiltriert. Ein bloßes Schließen des Fensters reicht also nicht aus.
Befindet sich die Meldung jedoch lediglich in einem Browserfenster, handelt es sich möglicherweise nur um ein täuschend echtes Pop-up einer Webseite. In diesem Fall können Sie den Browser-Tab einfach schließen.
Unbekannte Dateien oder veränderte Dateiendungen
Finden Sie auf Ihrer Festplatte Dateien, die Sie nicht kennen, oder wurden bekannte Dateien umbenannt und tragen nun unbekannte Endungen wie .locked, .encrypted oder .WNCRY, dann ist das ein typisches Anzeichen für Ransomware. Diese verschlüsselt Ihre persönlichen Daten und verlangt anschließend Lösegeld für die Entschlüsselung.
So überprüfen Sie die Windows-Ereignisanzeige auf Anzeichen eines Hacks
Die Ereignisanzeige von Windows protokolliert alle wichtigen Systemereignisse – und ist daher ein wertvolles Werkzeug zur Entdeckung unbefugter Zugriffe.
Anleitung für Windows 11 und Windows 10:
- Drücken Sie Windowstaste + R, geben Sie
eventvwr.mscein und bestätigen Sie mit Enter. - Navigieren Sie zu „Windows-Protokolle“ → „Sicherheit“.
- Suchen Sie nach Ereignissen mit der Ereignis-ID 4624 (erfolgreiche Anmeldung) und 4625 (fehlgeschlagene Anmeldung).
- Prüfen Sie insbesondere Anmeldungen zu ungewöhnlichen Uhrzeiten – zum Beispiel nachts – oder von unbekannten Benutzerkonten.
Finden Sie dort auffällige Einträge, sollten Sie umgehend weitere Maßnahmen einleiten.
Virenscan durchführen: Welche Tools empfohlen werden
Sobald Sie einen Verdacht haben, sollten Sie sofort einen vollständigen Virenscan durchführen. Der Microsoft Defender ist unter Windows 11 und Windows 10 bereits vorinstalliert und bietet soliden Grundschutz.
Empfohlene Vorgehensweise für einen vollständigen Scan mit Microsoft Defender:
- Öffnen Sie die Windows-Sicherheit (Einstellungen → Datenschutz und Sicherheit → Windows-Sicherheit).
- Klicken Sie auf „Viren- und Bedrohungsschutz“.
- Wählen Sie „Scanoptionen“ und anschließend „Vollständiger Scan“.
- Starten Sie den Scan. Er kann je nach Datenmenge 30 Minuten bis mehrere Stunden dauern.
Zusätzlich empfiehlt sich ein Zweitscan mit dem kostenlosen Tool Malwarebytes (malwarebytes.com). Es erkennt viele Schädlinge, die der Defender übersieht, und lässt sich parallel zu anderen Antivirenprogrammen betreiben. Laden Sie Malwarebytes herunter, installieren Sie es und führen Sie einen „Bedrohungsscan“ durch. Gefundene Einträge werden in Quarantäne verschoben und können anschließend dauerhaft gelöscht werden.
Darüber hinaus eignet sich HitmanPro (hitmanpro.com) als cloudbasierter Scanner hervorragend für einen ergänzenden Check. Die 30-Tage-Testversion ist kostenlos und erkennt auch hartnäckige Rootkits.
Sofortmaßnahmen, wenn der PC gehackt wurde
Erhärtet sich der Verdacht oder bestätigt der Virenscan eine Infektion, sollten Sie folgende Schritte unverzüglich einleiten:
1. Internetverbindung sofort trennen
Ziehen Sie das Netzwerkkabel oder deaktivieren Sie WLAN (Windowstaste + A → WLAN ausschalten). So verhindern Sie, dass der Angreifer weiterhin Daten übertragen oder Befehle senden kann.
2. Virenscan im abgesicherten Modus durchführen
Starten Sie Windows im abgesicherten Modus mit Netzwerktreibern: Halten Sie beim Neustart die Umschalttaste gedrückt, wählen Sie „Problembehandlung“ → „Erweiterte Optionen“ → „Starteinstellungen“ → „Neu starten“ → Option 5 (Abgesicherter Modus mit Netzwerktreibern). Im abgesicherten Modus lassen sich viele Schadprogramme einfacher entfernen, da sie dort nicht aktiv sind.
3. Alle Passwörter ändern
Ändern Sie nach der Bereinigung – und zwar von einem anderen, sicheren Gerät aus – zunächst die Passwörter für E-Mail, Banking, Social Media und alle weiteren wichtigen Konten. Verwenden Sie dafür sichere Kombinationen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
4. Zwei-Faktor-Authentifizierung aktivieren
Richten Sie für alle wichtigen Konten die Zwei-Faktor-Authentifizierung (2FA) ein. Damit schützen Sie sich selbst dann, wenn ein Passwort in die Hände von Angreifern gelangt ist.
5. Bank und betroffene Dienste informieren
Informieren Sie Ihre Bank sowie jeden Dienst, bei dem möglicherweise Zugangsdaten kompromittiert wurden. Ebenso sollten Sie den Vorfall bei der Polizei anzeigen und alle Beweise (Screenshots, Protokolldateien, E-Mails) sichern.
6. Im Extremfall: Windows neu installieren
Wenn der Schaden zu groß ist oder sich Rootkits nicht restlos entfernen lassen, bleibt als letzte Option die Neuinstallation von Windows. Löschen Sie dazu die gesamte Festplatte, formatieren Sie sie neu und installieren Sie Windows 11 oder Windows 10 frisch. Wichtig: Stellen Sie nur Daten aus einem Backup wieder her, das vor dem Hack erstellt wurde. Erstellen Sie niemals ein Backup von einem System, das bereits kompromittiert ist.
Empfohlene Vorgehensweisen zur Vorbeugung von Hackangriffen
Neben der Erkennung und Beseitigung eines Hacks ist die Prävention der wichtigste Faktor. Folgende Maßnahmen verringern das Risiko erheblich:
Windows-Updates zeitnah installieren: Unter Windows 11 und Windows 10 finden Sie Updates unter Einstellungen → Windows Update. Aktivieren Sie automatische Updates, damit Sicherheitslücken schnell geschlossen werden.
Starke, einzigartige Passwörter nutzen: Verwenden Sie für jeden Dienst ein anderes Passwort. Ein Passwort-Manager wie Bitwarden (kostenlos, bitwarden.com) oder KeePass (kostenlos, keepass.info) hilft dabei, den Überblick zu behalten.
Vorsicht bei E-Mail-Anhängen und Links: Öffnen Sie keine Anhänge oder Links in E-Mails von unbekannten Absendern. Phishing-Mails sind nach wie vor das häufigste Einfallstor für Schadprogramme.
Regelmäßige Backups erstellen: Sichern Sie Ihre wichtigsten Daten regelmäßig auf einer externen Festplatte oder in einem Cloud-Dienst. Unter Windows 11 und Windows 10 nutzen Sie dafür die integrierte Funktion „Dateiversionsverlauf“ (Einstellungen → System → Speicher → Erweiterte Speichereinstellungen → Sicherungsoptionen).
Router-Passwort ändern: Ein sicheres WLAN-Passwort und ein geändertes Administratorpasswort am Router erschweren Angreifern den Einstieg ins Heimnetzwerk erheblich.
VPN im öffentlichen WLAN verwenden: Nutzen Sie in öffentlichen Netzwerken stets ein Virtual Private Network (VPN), um Ihre Datenübertragung zu verschlüsseln.
Verdächtige Autostarts und Registrierungseinträge prüfen
Fortgeschrittene Nutzer können außerdem die Windows-Registrierung auf unbekannte Autostart-Einträge prüfen. Drücken Sie dafür Windowstaste + R, geben Sie regedit ein und navigieren Sie zu:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
sowie
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Hier finden Sie alle Programme, die beim Systemstart automatisch ausgeführt werden. Unbekannte Einträge ohne nachvollziehbaren Hersteller sollten genauer untersucht werden. Änderungen in der Registrierung sollten jedoch nur von erfahrenen Nutzern vorgenommen werden, da falsche Eingriffe das System beschädigen können.
Einfacher und sicherer funktioniert dies erneut mit dem bereits erwähnten Autoruns von Microsoft Sysinternals. Das Tool hebt verdächtige Einträge farblich hervor und erleichtert so die Analyse erheblich.
Überblick: Diese Tools helfen bei der Analyse
| Tool | Kosten | Verwendungszweck |
|---|---|---|
| Microsoft Defender | Kostenlos (integriert) | Virenscan, Echtzeitschutz |
| Malwarebytes | Kostenlos (Basisversion) | Ergänzender Malwarescan |
| HitmanPro | Kostenlos (30 Tage) | Cloudbasierter Zweitscan, Rootkits |
| Process Explorer | Kostenlos (Sysinternals) | Detaillierte Prozessanalyse |
| Autoruns | Kostenlos (Sysinternals) | Autostart-Einträge prüfen |
| TCPView | Kostenlos (Sysinternals) | Netzwerkverbindungen überwachen |
Häufige Fragen zum gehackten PC
Kann mein PC gehackt sein, ohne dass ich es bemerke?
Ja, das ist leider möglich und sogar häufig der Fall. Viele Schadprogramme – besonders Spyware und Keylogger – sind darauf ausgelegt, möglichst lange unbemerkt zu bleiben. Deshalb sind regelmäßige Scans mit Malwarebytes und die Überprüfung der Ereignisanzeige so wichtig.
Wie erkenne ich einen Hackerangriff über den Task-Manager?
Öffnen Sie den Task-Manager mit Strg + Umschalt + Esc, wechseln Sie zur Registerkarte „Prozesse“ und sortieren Sie nach CPU- oder Netzwerkauslastung. Unbekannte Prozesse mit hohem Ressourcenverbrauch oder verdächtigen Speicherpfaden außerhalb von „C:\Windows\System32″ oder „C:\Program Files“ sind ein Warnsignal. Klicken Sie mit der rechten Maustaste auf einen Prozess und wählen Sie „Dateispeicherort öffnen“, um die Herkunft zu prüfen.
Was soll ich tun, wenn Windows Defender einen Virus findet?
Folgen Sie der Empfehlung des Defenders und verschieben Sie die Bedrohung in Quarantäne. Anschließend können Sie sie dauerhaft löschen. Führen Sie zusätzlich einen Scan mit Malwarebytes durch, um sicherzustellen, dass keine weiteren Schädlinge übersehen wurden. Prüfen Sie danach alle Passwörter und Autostart-Einträge.
Hilft eine Systemwiederherstellung nach einem Hack?
Eine Systemwiederherstellung auf einen Wiederherstellungspunkt vor dem Hack kann helfen, ist jedoch kein garantierter Schutz. Manche Rootkits und Trojaner überleben die Wiederherstellung. Für vollständige Sicherheit ist daher eine Neuinstallation von Windows mit anschließend frisch formatierter Festplatte die zuverlässigste Methode.
Kann Ransomware rückgängig gemacht werden?
In einigen Fällen ja. Das Projekt No More Ransom (nomoreransom.org) stellt kostenlose Entschlüsselungstools für bestimmte Ransomware-Varianten bereit. Zahlen Sie jedoch niemals das geforderte Lösegeld – eine Garantie für die Entschlüsselung gibt es nicht, und die Zahlung finanziert weitere kriminelle Aktivitäten.
Wie schütze ich meinen PC dauerhaft vor Hackerangriffen?
Halten Sie Windows und alle Programme stets aktuell, nutzen Sie sichere und einzigartige Passwörter (idealerweise mit einem Passwort-Manager wie Bitwarden), aktivieren Sie die Zwei-Faktor-Authentifizierung und öffnen Sie keine unbekannten E-Mail-Anhänge. Ebenso sollten Sie regelmäßig Backups erstellen.
Kann ein Hacker über meine Webcam zugreifen?
Ja, das ist technisch möglich. Einige Schadprogramme aktivieren die Kamera gezielt, ohne dass die LED aufleuchtet. Überprüfen Sie daher regelmäßig unter Einstellungen → Datenschutz und Sicherheit → Kamera, welche Apps Kamerazugriff haben. Zusätzlich empfiehlt sich eine physische Webcam-Abdeckung als einfacher und zuverlässiger Schutz.
Muss ich nach einem Hack die Polizei informieren?
Ja, das wird ausdrücklich empfohlen. Erstatten Sie Anzeige bei Ihrer zuständigen Polizeidienststelle. Dokumentieren Sie den Vorfall so gut wie möglich mit Screenshots, Protokolldateien und Kontoauszügen. Insbesondere bei finanziellem Schaden ist eine Anzeige wichtig.
Wie erkenne ich, ob mein E-Mail-Konto gehackt wurde?
Typische Anzeichen sind: Sie können sich nicht mehr anmelden, Ihre Kontakte berichten, dass Sie ihnen Spam geschickt haben, oder Sie erhalten unerwartete Passwort-Zurücksetzungs-E-Mails. Prüfen Sie außerdem auf Have I Been Pwned (haveibeenpwned.com), ob Ihre E-Mail-Adresse in Datenlecks aufgetaucht ist.
Wie lange kann ein Hacker unbemerkt auf meinem PC aktiv sein?
Das variiert stark – von wenigen Stunden bis zu Monaten oder sogar Jahren. Professionelle Angreifer sind darauf ausgerichtet, möglichst lange unentdeckt zu bleiben. Deshalb sind regelmäßige Scans und die Überprüfung der Systemprotokolle so wichtig, auch wenn der PC scheinbar normal funktioniert.
Fazit
Einen gehackten PC zu erkennen, erfordert Aufmerksamkeit und die richtigen Werkzeuge. Mit dem Task-Manager, Malwarebytes, Process Explorer und der Ereignisanzeige haben Sie unter Windows 11 und Windows 10 alle nötigen Mittel zur Hand.
Regelmäßige Scans, aktuelle Software und starke Passwörter schützen Sie zuverlässig vor den meisten Angriffen. Handeln Sie bei Verdacht sofort – je früher Sie reagieren, desto geringer ist der Schaden.