Kann ein ausgeschalteter Computer gehackt werden? Diese Frage klingt auf den ersten Blick simpel, die ehrliche Antwort ist jedoch deutlich vielschichtiger. Ein vollständig vom Stromnetz getrennter Rechner ist für Remote-Angreifer praktisch unerreichbar — doch moderne PCs befinden sich selten in diesem Zustand. Standby, Ruhezustand, Netzwerkkarten mit Dauerstrom und Firmware-Schichten schaffen Angriffsflächen, die viele Nutzer unterschätzen.
- Was bedeutet „ausgeschaltet“ beim modernen PC wirklich?
- Wake-on-LAN und Fernstart: Wie Angreifer schlafende Computer wecken
- BIOS- und Firmware-Angriffe: Die unsichtbare Bedrohung unterhalb des Betriebssystems
- Cold-Boot-Attacken und physischer Zugriff: Wenn der RAM zum Tatort wird
- Cyberkriminalität und aktuelle Bedrohungslage in Deutschland
- Schutzmaßnahmen: So sichert man den Computer wirklich ab
Der folgende Artikel erklärt, welche technischen Mechanismen beim „ausgeschalteten“ PC tatsächlich aktiv bleiben, welche Angriffswege Cyberkriminelle kennen und nutzen, und welche konkreten Schutzmaßnahmen wirklich helfen.
Was bedeutet „ausgeschaltet“ beim modernen PC wirklich?
Im Alltag gleichgesetzt mit „sicher“ oder „unerreichbar“, ist der Begriff „ausgeschaltet“ technisch betrachtet deutlich differenzierter. Moderne Betriebssysteme unterscheiden mehrere Zustände, die sich grundlegend in der verbleibenden Angriffsfläche unterscheiden.
Beim normalen Herunterfahren (Shutdown, ACPI-Zustand S5) wird das Betriebssystem beendet, doch die Netzwerkkarte sowie der Chipsatz erhalten weiterhin einen sogenannten Standby-Strom aus dem Netzteil. Genau dieser Reststrom ist die Grundlage für Funktionen wie Wake-on-LAN — und damit für einen der häufigsten Angriffsvektoren auf nominell ausgeschaltete Rechner.
Der Schlafmodus (Suspend to RAM, S3) hingegen hält den gesamten Arbeitsspeicher aktiv unter Spannung. Der RAM-Inhalt bleibt vollständig erhalten und ist für Angreifer mit physischem Zugang über sogenannte Cold-Boot-Attacken lesbar. Im Ruhezustand (Hibernate, S4) wird der Arbeitsspeicher auf die Festplatte ausgelagert — hier sind Angriffe über Schwachstellen in der Ruhezustandsdatei theoretisch möglich, wenn die Festplattenverschlüsselung fehlt.
| PC-Zustand | Technische Bezeichnung | Netzwerkkarte aktiv? | Angriffspotenzial |
|---|---|---|---|
| Vollständig ausgeschaltet + Netzstecker gezogen | Kein ACPI-Zustand | Nein | Keins (nur physisch) |
| Heruntergefahren (Shutdown) | ACPI S5 | Teilweise (WoL) | Wake-on-LAN, BIOS-Fernstart |
| Schlafmodus | ACPI S3 | Ja | Cold Boot, Netzwerkangriffe |
| Ruhezustand | ACPI S4 | Nein | Hiberfil-Angriff (ohne Verschlüsselung) |
| Schnellstart (Windows) | Hybrid S4/S5 | Teilweise | Wie S5, evtl. Treiber-Restrisiken |
Wer seinen Rechner über die Steckdosenleiste vollständig vom Netz trennt, erreicht den einzigen Zustand, in dem ein Remote-Angriff technisch ausgeschlossen ist. Für den täglichen Betrieb ist das jedoch kaum praktikabel. Umso wichtiger ist es, die anderen Zustände zu verstehen und gezielt abzusichern.
Wake-on-LAN und Fernstart: Wie Angreifer schlafende Computer wecken
Wake-on-LAN (WoL) ist eine Netzwerkfunktion, die es ermöglicht, einen heruntergefahrenen oder schlafenden Computer aus der Ferne über das lokale Netzwerk zu starten. Das Verfahren nutzt ein spezielles Datenpaket — das sogenannte „Magic Packet“ — das die MAC-Adresse der Netzwerkkarte sechzehnmal hintereinander enthält.
Solange der PC mit dem Stromnetz verbunden ist, lauscht die Netzwerkkarte auf dieses Paket und startet den Rechner eigenständig. In Unternehmensumgebungen ist WoL für Fernwartung und automatisierte Software-Updates unverzichtbar. In privaten Netzwerken ist die Funktion dagegen oft aktiviert, ohne dass die Nutzer dies wissen oder bewusst entschieden haben.
Das Angriffsszenario ist realistisch: Gelingt es einem Angreifer, Zugriff auf das lokale Netzwerk zu erhalten — beispielsweise über ein schlecht gesichertes WLAN oder über eine infizierte IoT-Komponente im Smart Home —, kann er einen per WoL-aktivierten PC hochfahren und anschließend weitere Schwachstellen ausnutzen. Über das offene Internet ist ein solcher Angriff ohne zusätzliche Konfiguration (z. B. Port-Forwarding) in der Regel nicht direkt möglich, jedoch durch vorbereitete Malware auf anderen Geräten im Heimnetz vorstellbar.
Neben WoL existiert auch Wake-on-WAN, bei dem der Fernstart über das Internet ermöglicht wird. Diese Funktion wird vor allem in Firmennetzen mit VPN-Tunnel eingesetzt. Ist sie unkonfiguriert dem öffentlichen Internet ausgesetzt, stellt sie ein erhebliches Sicherheitsrisiko dar. Wer auf die Fernstart-Funktion verzichten kann, sollte WoL im BIOS/UEFI sowie im Gerätemanager des Betriebssystems deaktivieren — ein einfacher und wirkungsvoller Schutzmechanismus.
💡 Wichtige Fakten zu ausgeschalteten Computern und Hackerangriffen
- Das BSI bewertet die Cybersicherheitslage in Deutschland als „angespannt bis kritisch“ — täglich werden rund 70 neue Sicherheitslücken registriert (BSI-Lagebericht 2024).
- Cold-Boot-Attacken können RAM-Inhalte noch Sekunden bis Minuten nach dem Abschalten des Rechners extrahieren — ohne Betriebssystem oder Passwort.
- Wake-on-LAN ist auf den meisten modernen Mainboards ab Werk aktiviert und bleibt auch nach dem Herunterfahren des Systems aktiv, solange der PC am Netz hängt.
- BIOS/UEFI-Schwachstellen wie LoJax (2018) zeigen, dass Firmware-Angriffe einen Neuinstallation des Betriebssystems überleben können.
- Physischer Zugriff auf einen PC gilt in der IT-Sicherheit als „Game Over“ — alle softwarebasierten Schutzmaßnahmen können damit umgangen werden.
BIOS- und Firmware-Angriffe: Die unsichtbare Bedrohung unterhalb des Betriebssystems
Noch tiefer als das Betriebssystem liegt das BIOS (Basic Input/Output System) bzw. sein moderner Nachfolger UEFI (Unified Extensible Firmware Interface). Diese Firmware startet bei jedem Einschalten des Computers und initialisiert sämtliche Hardware — noch bevor Windows, Linux oder macOS geladen wird.
Angreifer, denen es gelingt, die Firmware zu manipulieren, haben eine Persistenz erreicht, die selbst eine vollständige Neuinstallation des Betriebssystems übersteht. Das Rootkit LoJax, das 2018 von Sicherheitsforschern bei ESET entdeckt wurde, war das erste öffentlich bekannte UEFI-Rootkit, das genau das demonstrierte. Es schrieb sich in den SPI-Flash-Speicher des Mainboards und konnte von dort aus nach jedem Systemstart erneut aktiv werden.
Ein weiteres Angriffsszenario ist der Evil-Maid-Angriff: Ein Angreifer mit kurzem physischem Zugang zum Gerät — etwa in einem Hotelzimmer oder einem ungesicherten Büro — manipuliert den Bootloader oder installiert einen Hardware-Keylogger. Beim nächsten Start des Rechners ist der Schaden bereits angerichtet, lange bevor der Nutzer Verdacht schöpft. Die Möglichkeit, Was ist ein Jailbreak in einem ähnlichen Kontext zu verstehen, hilft dabei, das Konzept tiefer greifender Systemmanipulationen einzuordnen.
Schutz gegen Firmware-Angriffe bietet vor allem die BIOS/UEFI-Funktion Secure Boot, die das Laden unsignierter Bootloader verhindert. TPM-Chips (Trusted Platform Module) ergänzen diesen Schutz durch kryptografische Schlüsselspeicherung. Dennoch gilt: Ohne physische Zugangskontrolle zum Gerät bieten auch diese Mechanismen keine absolute Sicherheit.
Cold-Boot-Attacken und physischer Zugriff: Wenn der RAM zum Tatort wird
Bei einer Cold-Boot-Attacke nutzen Angreifer die physikalische Eigenschaft von DRAM-Speicherchips aus: Der Arbeitsspeicher verliert seine Inhalte nicht sofort beim Abschalten der Stromzufuhr, sondern behält sie noch für Sekunden bis Minuten — bei Kühlung auf sehr niedrige Temperaturen sogar deutlich länger.
Das Angriffsszenario: Der Angreifer startet den abgeschalteten oder durch Kaltstart unterbrochenen Rechner von einem externen Medium (USB-Stick) neu und liest dabei den RAM-Inhalt aus. In diesem Speicher befinden sich möglicherweise Festplattenverschlüsselungsschlüssel (etwa für BitLocker oder VeraCrypt), geöffnete Passwortmanager-Datenbanken oder Browsersitzungen mit aktiven Login-Tokens.
Diese Methode erfordert zwar physischen Zugang zum Gerät, zeigt aber eindrücklich, warum die physische Sicherheit eines Computers genauso wichtig ist wie seine digitale Absicherung. Wer auf sicher online unterwegs ausgerichtete Maßnahmen beschränkt, ohne das Gerät selbst zu sichern, schließt die Haustür ab, lässt aber das Fenster offen.
Gegenmaßnahmen umfassen die vollständige Festplattenverschlüsselung mit Pre-Boot-Authentifizierung (der Schlüssel wird erst nach Eingabe des Passworts in den RAM geladen), den Einsatz von TPM-gebundener Verschlüsselung sowie das Deaktivieren des USB-Bootens im BIOS. In sensiblen Umgebungen kommen zusätzlich RAM-Module mit schnellerer Datenlöschung beim Neustart zum Einsatz.
| Angriffsvektor | Voraussetzung | Schutzmaßnahme | Aufwand Angreifer |
|---|---|---|---|
| Wake-on-LAN-Exploit | Netzwerkzugang (LAN/WLAN) | WoL im BIOS deaktivieren | Gering |
| Cold-Boot-Attacke | Physischer Zugang (kurz) | Vollverschlüsselung + TPM | Mittel |
| UEFI-Rootkit / Firmware-Infektion | Physischer oder Admin-Zugang | Secure Boot, BIOS-Passwort | Hoch |
| Evil-Maid-Angriff | Kurzer physischer Zugang | Geräteverschlüsselung, TPM-PIN | Mittel |
| Hardware-Implantate / Keylogger | Physischer Zugang | Regelmäßige Gerätekontrolle | Hoch |
| Vorgefertigte Malware (WoL-Trigger) | Infiziertes Heimnetz-Gerät | Netzwerksegmentierung, Firewall | Mittel |
Cyberkriminalität und aktuelle Bedrohungslage in Deutschland
Das Verständnis der technischen Angriffsvektoren auf ausgeschaltete Computer ist nur ein Teil des Gesamtbildes. Der breitere Kontext der Cyberkriminalität zeigt, wie real und allgegenwärtig die Bedrohung für Privatpersonen und Unternehmen geworden ist.
Laut einer aktuellen Lagebewertung werden täglich rund 70 neue Schwachstellen in verbreiteter Software und Hardware gemeldet — die Lage der IT-Sicherheit in Deutschland wird als angespannt bis kritisch eingestuft. Angreifer nutzen professionelle Toolkits, die auch wenig technikaffinen Kriminellen ermöglichen, ausgeklügelte Angriffe durchzuführen.
Ransomware, Datendiebstahl und der Handel mit gestohlenen Zugangsdaten gehören zu den häufigsten Delikten. Interessant in diesem Zusammenhang: Viele erfolgreiche Angriffe setzen gar nicht auf den Hack des ausgeschalteten Rechners selbst, sondern auf Methoden wie Spam- und Phishing-Mails, die den Nutzer dazu verleiten, Schadsoftware selbst zu installieren — und zwar auf dem laufenden System. Der ausgeschaltete PC wird dann zur Ablenkung, während das Einfallstor woanders liegt.
Gleichzeitig berichten Sicherheitsforscher über zunehmend koordinierte Angriffe auf kritische Infrastruktur, bei denen staatliche Akteure und kriminelle Gruppen kooperieren. Für Privatnutzer ist das Risiko einer gezielten Firmware-Attacke gering — deutlich realistischer sind opportunistische Angriffe über unsichere Heimnetze oder schlecht gepflegte Software.
Die Nutzung eines VPN Server einrichten kann dabei helfen, den Netzwerkverkehr zu verschlüsseln und die eigene IP-Adresse zu verschleiern — ein sinnvoller zusätzlicher Schutzlayer, insbesondere in öffentlichen Netzwerken. Dennoch ersetzt ein VPN keine grundlegende Systemhärtung.
Schutzmaßnahmen: So sichert man den Computer wirklich ab
Ein umfassendes Schutzkonzept für den Heimrechner oder das Büro-Notebook muss mehrere Ebenen abdecken: Firmware, Betriebssystem, Netzwerk und physischer Zugang. Wer nur eine Schicht absichert, schafft keine echte Sicherheit.
Die folgenden Maßnahmen lassen sich nach Aufwand und Wirkung priorisieren:
- Wake-on-LAN deaktivieren: Im BIOS/UEFI unter „Power Management“ oder „Advanced“ die WoL-Option abschalten. Zusätzlich im Gerätemanager (Windows) unter den Energieverwaltungsoptionen der Netzwerkkarte deaktivieren.
- Vollständige Festplattenverschlüsselung aktivieren: BitLocker (Windows Pro/Enterprise), FileVault (macOS) oder VeraCrypt (plattformübergreifend) schützen Daten bei physischem Gerätezugriff. Ohne den richtigen Schlüssel sind die Daten für Angreifer wertlos.
- Secure Boot und BIOS-Passwort einrichten: Secure Boot verhindert das Booten unsignierter Systeme. Ein BIOS-Passwort schützt vor Änderungen der Boot-Reihenfolge und verhindert das Starten von externen Medien.
- Regelmäßige BIOS/UEFI-Updates einspielen: Hersteller schließen Firmware-Lücken über Updates. Diese werden oft übersehen, da sie nicht wie Betriebssystem-Updates automatisch installiert werden. Erfahren Sie zudem, wie Sicherheitsupdates für Windows 10 nach dem Supportende organisiert werden können.
- Physischen Zugang kontrollieren: Rechner in gesicherten Räumen aufstellen, Gehäuse mit Schloss versehen (Kensington-Lock oder Gehäuseschloss bei Desktops) und USB-Ports im BIOS sperren, wenn nicht benötigt.
- Netzwerksegmentierung: IoT-Geräte und Smart-Home-Komponenten in ein separates WLAN-Netz (Gastnetz) auslagern, damit ein kompromittiertes Gerät keinen Zugriff auf den Haupt-PC erhält.
Wichtig ist außerdem eine sichere Internetnutzung im Alltag — denn die meisten erfolgreichen Angriffe beginnen nicht mit einem technischen Exploit, sondern mit einer Phishing-Mail, einem infizierten Download oder einer kompromittierten Website. Technische Absicherung und aufmerksames Nutzerverhalten ergänzen sich gegenseitig.
Zudem sollte die aktuelle Bedrohungslage für Privatnutzer regelmäßig verfolgt werden — neue Angriffsmethoden entstehen schnell und betreffen oft Millionen von Geräten gleichzeitig, bevor ein Patch verfügbar ist.
📊 Häufigste Einfallstore bei PC-Angriffen (Privathaushalte)
Quelle: BSI-Lagebericht IT-Sicherheit in Deutschland (Schätzwerte, gerundet)
Fazit: Kann ein ausgeschalteter Computer gehackt werden?
Die Antwort lautet: Es kommt entscheidend darauf an, was „ausgeschaltet“ im konkreten Fall bedeutet. Ein Rechner, der vollständig und dauerhaft vom Stromnetz getrennt ist, lässt sich aus der Ferne nicht hacken — das ist technische Realität.
In der Praxis bedeutet „ausgeschaltet“ jedoch fast immer: heruntergefahren und am Netz. In diesem Zustand bleibt der PC über Wake-on-LAN angreifbar, Firmware-Rootkits überleben Neustarts unbemerkt, und Cold-Boot-Attacken können bei kurzem physischem Zugang RAM-Inhalte extrahieren. Diese Szenarien sind kein Science-Fiction, sondern dokumentierte Angriffsmethoden, die reale Sicherheitslücken ausnutzen.
Wer die wichtigsten Schutzmaßnahmen — WoL deaktivieren, Festplattenverschlüsselung, Secure Boot, BIOS-Passwort und physische Zugangskontrolle — konsequent umsetzt, reduziert das Risiko auf ein Minimum. Für den typischen Heimanwender ist das Risiko eines gezielten Firmware-Angriffs gering; das größte reale Risiko bleibt nach wie vor der laufende Rechner mit ungeschütztem Betriebssystem, veralteter Software und sorglosem Nutzerverhalten. Kann ein ausgeschalteter Computer gehackt werden ist daher die falsche Sorge — viel häufiger werden aktive, schlecht gesicherte Systeme kompromittiert.
Häufige Fragen: Kann ein ausgeschalteter Computer gehackt werden?
Ist ein vollständig ausgeschalteter PC wirklich 100 % sicher vor Hackerangriffen?
Was ist Wake-on-LAN und warum ist es ein Sicherheitsrisiko?
Was ist eine Cold-Boot-Attacke und wen betrifft sie?
Kann Malware einen Rechner auch im ausgeschalteten Zustand befallen?
Welche einfachste Maßnahme schützt am effektivsten gegen diese Angriffe?
Unterscheidet sich das Risiko für Privatnutzer von dem für Unternehmen?
- Sanubi Login – so gelangen Sie schnell ins Kundenportal - 15. Oktober 2025
- Amazon Einmalpasswort – Ab welchem Betrag gilt die sichere Zustellung? - 6. Oktober 2025
- Amazon Music kündigen: Schritt-für-Schritt-Anleitung für alle Geräte - 5. Oktober 2025
