Was ist eigentlich ein Rootkit?

G DATA Ratgeber

Unbemerkt gehen sie bei Fremden ein und aus. Sie stehlen sich durch die Hintertür hinein, schmuggeln Wertvolles hinaus, um es auf dem Schwarzmarkt zu verkaufen. Sie erbeuten Geld, Kreditkartendaten und geheime Unterlagen – ohne dass die Opfer etwas davon ahnen. Was nach einem Sonntagabendkrimi klingt, ist längst auch ein digitales Problem. Mit komplexer Software verschaffen sich Hacker Zutritt zu fremden Systemen und machen sich eigenmächtig zu Herrschern über die Computer ihrer Opfer. Das Rootkit ist bei solchen Aktionen der Komplize, der Schmiere steht und das Unwesen der eigentlichen Übeltäter bestmöglich verschleiert.

Wie gefährlich sind Rootkits?

Die eigentliche Gefahr geht nicht vom Rootkit aus – sondern von den Schadcodes, deren Spuren es verwischt. Ein Rootkit ist keine Schadsoftware (Malware) im eigentlichen Sinne. Seine besondere Fähigkeit besteht darin, Schadprogramme vor Virenscannern und Sicherheitslösungen zu verstecken. Wie gefährlich eine Infektion mit einem Rootkit ist, hängt also davon ab, was die Einbrecher im Schilde führen und welchen Schadcode sie durch die aufgebrochene Hintertür ins System bugsieren.

Was bedeutet „root“ und was heißt „kit“?

Dieser Komplize in Code-Form dringt tief ins Betriebssystem vor und aktiviert sich dann. Das Wort „root“ bezieht sich deshalb auf die sogenannten Root-Rechte, die auch den Namen Superuser-Konto tragen. Dieses Konto wird bei der Installation eines Betriebssystems angelegt und gewährt dem User allgemeine Zugriffsrechte. Es ist damit nicht für die alltägliche Nutzung, sondern für alle administrativen Aufgaben vorgesehen, die tief im System ausgeführt werden müssen – eben an der Wurzel (engl. „root“). Das „kit“ deutet seinerseits an, dass es eine Sammlung von Softwarewerkzeugen ist. Wörtlich übersetzt ist ein Rootkit also so etwas wie ein Werkzeugkasten für Administratoren.

Wie funktioniert ein Rootkit?

Mit diesem Werkzeugkasten können sich Cyberkriminelle unbemerkt auf dem Computer anmelden und Administrationsfunktionen ausführen. Das Rootkit verhindert, dass der User etwas von den illegalen Zugriffen auf seinem Computer bemerkt. So werden Anmeldungen der Kriminellen auf dem Computer verschleiert, ebenso wie die mit diesem Vorgang genutzten Dateien und angestoßenen Prozesse. Das Rootkit kann auch gefährliche Programme verstecken, die dann beispielsweise Passwörter, Betriebsgeheimnisse, Tastatur- und Mauseingaben oder Kreditkarteninformationen ausspionieren.

Wie kann ich einer Infektion vorbeugen?

  • Account
    Nutzen Sie Ihren Windows-Rechner immer nur mit einem Nutzer-Account. Der Administratoren-Account sollte unter keinen Umständen Ihr alltäglicher Weg ins System sein. Das Administrator-Konto hält Bedrohungen aus dem Internet weniger Barrieren und Schutzmechanismen entgegen als ein Nutzer-Account mit eingeschränkten Rechten.
     
  • Systemupdates
    Achten Sie darauf, dass Ihr Betriebssystem (z. B. Windows) stets auf dem neuesten Stand ist und installieren Sie gegebenenfalls Updates.
     
  • Softwareupdates
    Gleiches gilt für auch für installierte Programme. Da die Rootkits auch durch Sicherheitslücken in Programmen ins System gelangen können, sollten Sie diese durch die vom Hersteller regelmäßig bereitgestellten Updates schließen.
     
  • Sicherheitssoftware
    Eine solide Antivirus-Software ist unerlässlich. Sie sollte Schutzmechanismen wie Verhaltensüberwachung und andere proaktive Technologien beinhalten.
     
  • Boot-CD
    Eine Boot-CD scannt das System, während es nicht in Betrieb ist. Ein solches Boot-Medium analysiert den Computer auf eine ganze Reihe von Schädlingen, unter anderem auch auf Rootkits. Eine Boot-CD kann also nicht unbedingt der Infektion mit einem Rootkit vorbeugen. Sie kann aber vermeiden, dass sich unbemerkt Schadsoftware auf den Rechner schleichen kann.
     
  • Rootkit-Prüfung
    Für die Rootkit-Prüfung wird das System in einen besonderen Zustand versetzt und anschließend auf einen Rootkit-Befall untersucht. In diesem Zustand lässt sich ein Rootkit eher ausfindig machen, da es sich während des Betriebs tarnt. Diese Prüfung kann auch mit einer Boot-CD durchgeführt werden.
     
  • Aufmerksamkeit
    Ebenso wie die Mehrzahl der Schadprogramme verbreiten sich Rootkits über Speichermedien, das Internet oder E-Mails. Schärfen Sie Ihr Bewusstsein dafür, fremde USB-Sticks, Anhänge oder Links von unbekannten Absendern kritisch zu hinterfragen. Klicken Sie niemals unbedacht auf einen Link und öffnen Sie auch harmlos wirkende Dateien wie PDFs nur, wenn Sie sich sicher sind, dass Sie nicht hinters Licht geführt werden.
     
  • Vorsicht
    Lassen Sie Ihren Computer oder Ihre mobilen Geräte vor allem im eingeschalteten Modus nie unbeaufsichtigt, egal ob Sie im Café kurz aufstehen oder in der Bücherei noch eben ein Buch holen. Zusätzliche Sicherheit bietet das Einrichten von starken Passwörtern, so dass sich Unbefugte nicht an Ihrem Computer, Tablet oder Smartphone anmelden können, selbst wenn sie es in die Finger bekommen.

Wie unterscheiden sich Rootkits?

Da es so viele verschiedene Dateien und Prozesse verstecken kann, ist Rootkit längst nicht gleich Rootkit. Jede Variante geht auf andere Weise vor und setzt an verschiedenen Stellen des Systems an. Die beiden verbreitetsten Rootkit-Arten sind das User-Mode-Rootkit und das Kernel-Mode-Rootkit. Der Kernel-Mode ist der innerste Kern eines Betriebssystems. Dort werden die grundlegendsten Einstellungen festgehalten und nur der Administrator hat Zugriff auf diesen Systemteil. Wenn sich ein Rootkit hier einnistet, kann der Angreifer den Computer aus der Ferne nach Belieben manipulieren. Der User-Mode umfasst dagegen deutlich weniger Rechte und hat entsprechend auch weniger Einfluss auf das Betriebssystem. Je nachdem, wo das Rootkit ansetzt, kann es entsprechend tief ins System vordringen. Die komplexen Kernel-Rootkits sind zwar seltener, aber zugleich auch schwerer zu entdecken und zu entfernen als die User-Mode-Rootkits.

Was ist eine Backdoor-Funktion?

Wenn Kriminelle ein solches Rootkit auf den Computer geschmuggelt bekommen, haben sie bereits einen Fuß in der Tür. Gelingt es ihnen zudem, das Passwort zu Ihrem Computer auszuspionieren, halten sie mit der richtigen Schadsoftware den Schlüssel zu Ihrem System in der Hand – und können sich so jeder Zeit selbst rein lassen. Wenn dieses Hinein- und Hinausspazieren im Schutz eines Rootkits geschieht, sprechen Experten auch davon, dass sich eine Backdoor, also eine Hintertür, ins System aufgetan hat. Hintertüren ermöglichen es Hackern, weitere Software zu installieren oder zu starten, auf Daten zuzugreifen oder Einstellungen zu ändern.

Wo werden Rootkits eingesetzt?

Was die Einbrecher mit Hilfe des Rootkits anstellen können, ist somit sehr unterschiedlich. Ein bekanntes Beispiel für einen solch ungebetenen Gast auf fremden Computern ist der Sony-Skandal: 2005 kam ans Licht, dass Sony auf diversen Musik-CDs einen Kopierschutz einsetzte, der mit einem Rootkit verborgen bleiben sollte. Dieses Rootkit manipulierte das Betriebssystem der User, um das Kopieren von CDs zu unterbinden. Antivirenprogramme und Antispyware-Software waren blind für dieses Programm. Außerdem sandte das Programm heimlich die privaten Hörgewohnheiten der User an Sony – alles im Schutz des Rootkits. Damit erreichte Sony nicht nur ein enormes Wissen über die User, sondern sorgte auch für einen handfesten Skandal. Statt das Urheberrecht zu schützen, verletzte Sony damit erheblich den Datenschutz – und erleichterte potentiell auch Hackern das Eindringen durch die so geöffnete Sicherheitslücke.

Wie erkenne ich Rootkits und was ist ein Rootkit Scan?

Ob die Türen zu Ihrem Computer noch fest verschlossen sind, lässt sich mit bloßem Auge nicht erkennen. Auch durch ein auffälliges Verhalten des Rechners verraten sich Rootkits nur sehr selten. Sicherheit kann da nur technische Unterstützung schaffen – zum Beispiel eine spezielle Rootkit-Prüfung. In mancher Security-Software ist ein solcher Schutz gegen Rootkits enthalten. Die Rootkit-Prüfung, die manchmal auch als Rootkit-Scan bezeichnet wird, geht dabei auf besondere Weise vor. Weil sich Rootkits aktiv gegen ihre Erkennung in einem laufenden System wehren, lassen sie sich fast nur erkennen, wenn das System in einen speziellen Zustand gebracht wird. Nur so kann die Festplatte, auf der das System läuft, erfolgreich auf Rootkits untersucht werden.

Wie kann ich ein Rootkit entfernen?

Um ein Rootkit zu entdecken, helfen spezielle Boot-CDs. G DATA Sicherheitslösungen bieten die Möglichkeit zur Erstellung einer Linux-basierten Boot-CD, mit der der Rechner abseits des installierten Betriebssystems hochgefahren werden kann. Mit dem auf der CD enthaltenen Virenscanner kann das System in einem Zustand gescannt werden, in dem das möglicherweise auf der Festplatte vorhandene Rootkit nicht aktiv ist und somit leichter entdeckt werden kann. In diesem Zustand wird die Tarnfunktion unwirksam und das Rootkit fliegt zusammen mit seinen kriminellen Mittätern auf.