Rootkit
Schadsoftware, die sich tief im System verankert, um Angreifern dauerhaften, verborgenen Zugriff zu ermöglichen.
Ein Rootkit ist eine spezialisierte Form von Malware, die darauf ausgelegt ist, sich selbst und andere schädliche Aktivitäten vor Sicherheitssoftware und Administratoren zu verbergen. Der Name leitet sich von „Root" ab — dem höchsten Berechtigungslevel auf Unix-Systemen — und „Kit", einem Werkzeugkasten. Rootkits manipulieren Betriebssystemfunktionen so grundlegend, dass infizierte Systeme ihren eigenen Zustand nicht mehr zuverlässig berichten können.
Typen von Rootkits
Rootkits unterscheiden sich erheblich darin, wie tief sie sich im System verankern. Je tiefer die Ebene, desto schwieriger die Erkennung — aber auch desto aufwendiger die Entwicklung.
| Typ | Ebene | Erkennung | Beschreibung |
|---|---|---|---|
| User-Mode | Anwendungsebene | Mittel | Ersetzt Systemprogramme oder nutzt API-Hooking |
| Kernel-Mode | Betriebssystemkern | Schwer | Manipuliert Kernelstrukturen und Systemaufrufe |
| Bootkits | Boot-Prozess | Sehr schwer | Infiziert MBR/UEFI, lädt vor dem Betriebssystem |
| Firmware-Rootkits | Hardware-Firmware | Extrem schwer | Nistet sich in BIOS/UEFI-Firmware ein |
| Hypervisor-Rootkits | Virtualisierungsebene | Extrem schwer | Schiebt sich als Hypervisor unter das OS |
Wie Rootkits sich verbergen
Die zentrale Fähigkeit eines Rootkits ist die Tarnung. Kernel-Mode-Rootkits manipulieren beispielsweise die System Service Dispatch Table (SSDT) oder nutzen Direct Kernel Object Manipulation (DKOM), um Prozesse, Dateien und Netzwerkverbindungen aus Systemabfragen zu entfernen. Ein Task-Manager zeigt den schädlichen Prozess schlicht nicht an, ein Verzeichnislisting überspringt die versteckten Dateien.
In der Praxis erschwert das die Forensik erheblich: Wenn das kompromittierte System selbst die Informationsquelle ist, sind alle Aussagen potenziell verfälscht. Deshalb setzen Forensiker auf externe Analyse — etwa durch Booten von einem sauberen Medium oder durch Speicherforensik mit Tools wie Volatility.
Rootkits und Secure Boot
Moderne Schutzmechanismen wie Secure Boot, TPM und Virtualization-Based Security (VBS) erschweren Bootkits und Kernel-Rootkits erheblich. Secure Boot verifiziert die Integrität des Bootloaders kryptografisch, bevor er ausgeführt wird. Credential Guard isoliert sensible Daten in einer geschützten Enklave, die selbst ein Kernel-Rootkit nicht erreicht.
Allerdings: Wir finden in Assessments regelmäßig Systeme, bei denen Secure Boot deaktiviert oder falsch konfiguriert ist — besonders bei älteren Geräten oder nach Hardware-Wartung. Ohne aktiven Secure Boot bleibt die Tür für Bootkits offen.
Erkennung und Entfernung
Da sich Rootkits aktiv vor lokaler Erkennung verbergen, reichen klassische Virenscanner nicht aus. EDR-Lösungen mit Kernel-Level-Telemetrie und verhaltensbasierter Analyse bieten bessere Chancen, verdächtige Systemmanipulationen zu identifizieren. Integritätsprüfungen, die bekannte gute Zustände mit dem aktuellen System vergleichen, können Abweichungen aufdecken.
Bei bestätigtem Rootkit-Befall ist eine Neuinstallation des Betriebssystems in der Regel der sicherste Weg. Bei Firmware-Rootkits kann sogar ein BIOS-Reflash notwendig sein. Ein vorbereiteter Incident-Response-Plan verkürzt die Reaktionszeit und begrenzt den Schaden.
Relevanz für KMUs
Rootkits sind zwar seltener als Ransomware oder Phishing, aber besonders gefährlich, weil sie über Monate unentdeckt bleiben können. Für KMUs bedeutet das: Systemhärtung mit aktiviertem Secure Boot, aktueller Firmware und EDR-Monitoring ist keine optionale Maßnahme, sondern Grundvoraussetzung. Regelmäßige Schwachstellenprüfungen helfen, Fehlkonfigurationen zu identifizieren, bevor Angreifer sie ausnutzen.