Support: +49 (0)209 38642-22        Supportfall melden

Was sind eigentlich Rootkits?

Der Begriff Rootkit wird oft bei der Aufzählung von Schadsoftware aufgeführt, obwohl es sich dabei eher um den Komplizen einer solchen handelt. Die eigentliche Hauptaufgabe des Rootkits besteht bei einem Cyberangriff darin, den eingeschleusten Schadcode und dessen Wirken vor Sicherheitseinrichtungen wie Virenscannern und dem Nutzer des Systems zu verbergen.

Die Bezeichnung Rootkit gibt bereits Aufschluss darauf, wie es dabei vorgeht. Root (von engl. Wurzel) bezieht sich auf den üblichen Administrator-Zugang mit sogenannten Root-Rechten, der bei der Installation von Betriebssystemen standardmäßig angelegt wird. Dieser Benutzer ist mit Rechten ausgestattet, die es ihm ermöglichen, tief in das Betriebssystem vorzudringen und Einstellungen vorzunehmen. Der Begriff Kit steht für eine Softwaresammlung (von engl. Bausatz oder Ausrüstung), die verschiedene Tools für administrative Möglichkeiten beinhaltet.

Das Hauptmerkmal eines Rootkits ist es, sich unbemerkt auf einem System installieren zu können und einem Angreifer so die Möglichkeit zu bieten, sich ebenso unbemerkt an diesem System anzumelden. Anschließend können weitere Schadprogramme nachgeladen werden, die empfindliche Daten wie Passwörter, Netzwerkinformationen bis hin zu persönlichen Dokumenten stehlen können. Währenddessen verhindert das Rootkit, dass diese im Hintergrund ablaufenden Prozesse und die nicht autorisierten Anmeldungen am System erkannt werden. Es gibt viele Varianten von Rootkits, die sich in der Art, wie sie sich in das System einschleusen und wo sie sich im System festsetzen, unterschieden. Die zwei gängigsten Varianten sind aber das User-Mode-Rootkit und das Kernel-Rootkit.

Das User-Mode-Rootkit arbeitet auf der Programm-Ebene und wird häufiger gegen Windows Systeme eingesetzt, wo es durch das Einklinken in laufende Prozesse Informationen auslesen und manipulieren kann. Das deutlich komplexere Kernel-Rootkit überschreibt sozusagen an der Wurzel des Systems, dem Kernel oder auch Betriebssystemkern Code und greift so tief in das System ein. Diese Variante ist seltener, ermöglicht es aber einem Angreifer, das komplette System zu übernehmen und für seine Zwecke zu nutzen. Und das, ohne dem Nutzer oder Antivirus-Software Hinweise auf sein Eindringen zu liefern. Es gibt einige Maßnahmen, die man treffen kann, um sich vor einem Rootkit zu schützen oder es zumindest aufzuspüren und im besten Fall zu beseitigen. Hierzu zählt bei einem Windows-System zum Beispiel die Anmeldung eines eingeschränkten Benutzerkontos. In keinem Fall sollte für den täglichen Gebrauch ein Konto mit Administrator-Rechten benutzt werden. Dieses Konto verfügt über deutlich mehr Rechte und stellt bei der Ausnutzung durch ein Rootkit eine geringere Hürde dar, wenn es darum geht, administrative Vorgänge auszulösen.

Des Weiteren sollten das System, die darauf laufenden Programme und die Sicherheits-Software immer auf dem laufenden Stand gehalten werden.
Besteht der Verdacht, dass sich ein Rootkit eingenistet hat, kann das System mithilfe von Antiviren-Software, die über eine Prüfung auf Rootkits verfügt, untersucht werden. Auch Boot-CDs, die vor dem eigentlichen Betriebssystem-Start ausgeführt werden, können Rootkits aufspüren. Sie haben in der Regel sogar eine bessere Erfolgsquote, da sie prüfen können, ohne dass das Rootkit im Betrieb bereits seinen "Tarnmodus" aktiviert hat.