S
sicherheit.ai
KI-Sicherheit & Cybersecurity
_
Malware

Rootkit

Schadsoftware, die sich tief im Betriebssystem versteckt und sich sowie andere Malware vor Erkennung durch Sicherheitstools schützt.

🧒
Einfach erklärt
Für jeden verständlich — ohne Vorkenntnisse

Ein Rootkit ist wie ein unsichtbarer Einbrecher der die Überwachungskameras manipuliert hat — er zeigt auf allen Kameras ein leeres Zimmer, obwohl er selbst und seine Helfershelfer drin sind. Normale Sicherheitstools "sehen" das Rootkit nicht, weil es sich aktiv versteckt.

Ausführliche Erklärung

Rootkits operieren auf verschiedenen Ebenen: User-Mode Rootkits (Anwendungsschicht), Kernel-Mode Rootkits (Betriebssystemkern — sehr schwer zu erkennen), Bootkits (infizieren Bootloader vor dem OS), Firmware Rootkits (in BIOS/UEFI — überleben OS-Neuinstallation) und Hypervisor Rootkits. Hauptmerkmal: Selbst-Verbergung durch Manipulation von OS-Funktionen die zur Dateianzeige, Prozessliste und Netzwerkverbindungen abgefragt werden. Erkennung erfordert Out-of-Band-Methoden.

>Wie funktioniert das?

1

Angreifer erlangt Administrator/Root-Zugang (oft durch anderen Exploit)

2

Rootkit wird installiert und verankert sich im Betriebssystemkern

3

OS-Funktionen werden gepatcht: Dateilisten, Prozesslisten, Netzwerkverbindungen werden gefälscht

4

Andere Malware wird durch das Rootkit verborgen

5

Sicherheitstools fragen das kompromittierte OS ab und sehen "saubere" Ergebnisse — das Rootkit bleibt unsichtbar.

?Häufig gestellte Fragen
Antwort

Hauptsächlich staatlich geförderte APT-Gruppen für Langzeit-Spionage — Rootkits erfordern erheblichen Entwicklungsaufwand. Cyberkriminelle nutzen sie für persistente Banking-Trojaner.

Antwort

Ein Firmware-Rootkit versteckt sich im BIOS/UEFI-Chip des Mainboards — es überlebt OS-Neuinstallation, Festplattenformatierung und sogar Festplattenwechsel. Entfernung erfordert BIOS-Neuflashing.

Antwort

Für dauerhafte, unerkannte Präsenz auf kompromittierten Systemen — oft um Backdoors zu verbergen, weitere Malware zu schützen und langfristige Spionage ohne Entdeckungsrisiko zu betreiben.

Antwort

Weil Antivirus OS-Funktionen zur Dateisystemabfrage nutzt — die das Rootkit gefälscht hat. Rootkits lügen das Betriebssystem an, und Antivirus glaubt dem OS.

Antwort

Durch Booten von externen Medien (USB Live-System, unabhängig vom infizierten OS), Hardware-basierte Attestierung (TPM, Secure Boot), Netzwerktraffic-Analyse und spezialisierte Rootkit-Scanner.

Quick Facts
KategorieMalware
Verwandte Begriffe5
← Zurück zum Glossar
Alle Begriffe im Glossar
APTBrute-Force-AngriffBotnetCVECredential StuffingDDoSEDRFirewallHoneypotIDSKI-Angriff (Adversarial AI)Lateral MovementLLM-SicherheitMalwareMFANetzwerksegmentierungOSINTPasskeysPatch ManagementPhishingPrompt InjectionRansomwareSIEMSocial EngineeringSQL-InjectionThreat IntelligenceTTPWAFXDRZero-DayZero TrustXSSCSRFMitMSupply-Chain-AngriffSpear-PhishingVishingSmishingWatering-Hole-AngriffDrive-by-DownloadInsider-BedrohungTyposquattingClickjackingDNS-SpoofingSession-HijackingBECCryptojackingSIM-SwappingSOCPentestThreat HuntingRed TeamBlue TeamDevSecOpsSecurity Awareness TrainingVulnerability ManagementSASTDAST3-2-1 Backup-StrategieCyber-VersicherungNIS2DSGVOISO/IEC 27001BSI IT-GrundschutzNIST CSFKRITIS — Kritische InfrastrukturenPCI-DSSCRATISAX — Automotive InformationssicherheitBCMMeldepflicht bei DatenpannenAdversarial Machine LearningModel PoisoningDeepfakeKI-HalluzinationLLM-JailbreakFederated LearningShadow AITrojanerComputerwurmSpywareRootkitKeyloggerFileless MalwareBackdoorInfostealerWiperwareAdwareOAuth 2.0SAMLSSOPAMIAMRBACPasswort-ManagerBiometrische AuthentifizierungHardware-SicherheitsschlüsselVPNDMZVLANPort-ScanningBGP-HijackingIPSNACTLSSSHHTTPS — HyperText Transfer Protocol SecureSPF, DKIM & DMARC — E-Mail-AuthentifizierungIPsec — Internet Protocol SecurityAPI-SicherheitDNSSEC