Ein Rootkit ist eine besonders raffinierte und gefährliche Form von (Schad-)Software, die entwickelt wurde, um unbemerkt tief in ein System einzudringen und dauerhaft Kontrolle über dessen Funktionen zu erlangen. Der Begriff leitet sich übrigens vom Unix-Konzept des Root-Zugriffs ab, der einen umfassenden Zugang ins System ermöglicht. Mit einem Root-Zugriff kann man nämlich direkt die grundlegenden Einstellungen und Dateien eines Systems verändern.
Rootkits werden zwar dem Bereich Malware (Schadsoftware) zugerechnet, allerdings sind sie keine Schadsoftware im eigentlichen Sinne – Rootkits selbst richten im befallenen IT-System nämlich keinen Schaden an. Vielmehr sind sie so konzipiert, dass sie sich selbst und weitere Schadprogramme vor Virenscannern und Sicherheitslösungen verstecken können. Außerdem dienen sie als Hintertür, durch die sich Cyberkriminelle unbemerkt auf dem Computer anmelden und Administrationsfunktionen ausführen können. Wie gefährlich eine Infektion mit einem Rootkit ist, hängt also davon ab, was die Einbrecher im Schilde führen bzw. welche weiteren Schadprogramme im Schutze des Rootkits versteckt werden.
Generell gibt es heutzutage zahlreiche Rootkit-Varianten, wobei jede Variante an einer anderen Stelle des IT-Systems ansetzt. Die beiden verbreitetsten Rootkit-Arten sind das „User-Mode-Rootkit“ und das „Kernel-Mode-Rootkit“. Als Kernel wird der innerste Kern eines Betriebssystems bezeichnet. Nistet sich ein Rootkit dort ein, kann der Hacker das System nach Belieben aus der Ferne manipulieren. Dahingegen umfasst der User-Mode deutlich weniger Rechte und hat auch weniger Einfluss auf das Betriebssystem. Komplexe Kernel-Rootkits sind zwar seltener, aber zugleich auch schwerer zu entdecken und zu entfernen als die User-Mode-Rootkits.
Die Einschleusung eines Rootkits kann auf verschiedene Arten erfolgen. Eine sehr beliebte und gängige Methode ist die Nutzung von Phishing-Angriffen, bei denen bspw. ein Mitarbeiter dazu verleitet wird, eine infizierte Datei zu öffnen oder einen schädlichen Link anzuklicken. Dadurch wird das Rootkit im Hintergrund installiert. Ein weiterer vielversprechender Ansatz ist das Ausnutzen von bekannten Sicherheitslücken in veralteter Software oder Betriebssystemen (regelmäßig Updates durchführen!). Ebenso können Rootkits auch in Free- oder Shareware aus zweifelhalten Quellen enthalten sein. Und auch das Einschleusen über kompromittierte Hardware, wie manipulierte USB-Geräte oder Netzwerkkomponenten, ist möglich.
Da ein Rootkit in den innersten Schichten eines Systems arbeitet, ist es extrem schwierig, dieses zu entdecken oder zu entfernen. Antiviren-Software, Firewalls und verschiedene Detection-Tools können zwar weitere Schadprogramme entdecken, Rootkits bleiben im Regelfall aber verborgen, zumal diese Sicherheitsmechanismen umgehen oder deren Ergebnisse manipulieren können. Eine denkbare Möglichkeit ist, das kompromittierte System mittels Boot-CD hochzufahren. Dadurch wird das Rootkit samt seiner Tarnfunktion nicht aktiviert und kann möglicherweise leichter entdeckt werden. Mehrere Security-Hersteller bieten dazu speziell für das Aufspüren von Rootkits konzipierte Software an.
Fakt ist, dass Rootkits für Unternehmen eine enorme Gefahr darstellen, da es die Sicherheit von IT-Systemen nachhaltig untergräbt und die Vertraulichkeit sensibler Daten bedroht. Der Schutz erfordert in jedem Fall eine mehrschichtige Sicherheitsstrategie. Dazu gehören regelmäßige Software-Updates und -Patches ebenso, wie der Einsatz spezialisierter Sicherheitslösungen die tiefgreifende Systemanalysen durchführen können. Zusätzlich sollten Mitarbeitende geschult werden, um Phishing-Versuche zu erkennen, und technische Maßnahmen wie Netzwerksegmentierung oder die Einschränkung von Administratorrechten eingeführt werden. Ein proaktiver Ansatz ist hier übrigens sehr entscheidend, da die endgültige und sichere Entfernung eines Rootkits oft nur durch eine komplette (sehr zeit- und arbeitsaufwändige) Neuinstallation des Systems möglich ist.