Rootkits können gefährlich für Unternehmen sein, denn sie sind in der Lage, die vollständige Kontrolle über Systeme zu übernehmen und sich selbst umfassende Administrator-Privilegien einzuräumen. Dabei verstecken und tarnen sie sich so gut, dass sie nur schwer auszumachen sind. Doch mit frühzeitigen Sicherheitsvorkehrungen können Sie dafür sorgen, dass die Schadprogramme rechtzeitig behoben werden und Ihr Unternehmen so vor Angriffen geschützt ist.
Rootkit: Was steckt dahinter und wie gefährlich ist die Schadsoftware?
Rootkits sind auf den ersten Blick oft nicht erkennbar und deshalb so gefährlich – denn bis sie entdeckt werden, bleibt den Angreifern ausreichend Zeit, wertvolle Daten zu stehlen. Ein Rootkit vereint mehrere Schadprogramme und greift die Systeme im Kern an. Von dort ausgehend verbreiten sich Viren und Malware unbemerkt über die infizierten Rechner und machen sich dabei umfassende administrative Berechtigungen zu eigen. Über den dadurch entstehenden Fernzugriff können Cyberkriminelle die Computer der Mitarbeitenden ohne deren Wissen manipulieren und für ihre eigenen Zwecke nutzen – in erster Linie zum Datenklau und Abgreifen persönlicher Daten. Hierzu werden zum Beispiel E-Mails heimlich mitgelesen und Passwörter über Tastaturanschläge gespeichert, um die Daten unerlaubt zu nutzen.
Wie funktioniert ein Rootkit?
Bei dem Begriff Rootkit handelt es sich genaugenommen um eine Schöpfung aus zwei eigenständigen Wörtern, “root” und “kit”. “Root” bezieht sich dabei auf die sogenannten Root-Rechte und setzt an der tiefsten Kontrollebene an. Vom Administrator-Konto ausgehend können nach und nach alle weiteren verknüpften Accounts übernommen werden, zusammen mit allen hinterlegten Privilegien. Der Begriff “kit” steht für eine Sammlung aus vielen kleinen Schadprogrammen, die zusammen ein Softwarepaket – das Rootkit – abbilden. Dieses setzt an den tiefsten Strukturen und somit an den Wurzeln eines Systems an und führt dazu, dass Angreifer über die ihnen selbst erteilten Root-Privilegien die komplette administrative Kontrolle über das Zielsystem erhalten.
Wie gelangen Rootkits auf fremde Computer?
Neben der eigentlichen Schadsoftware werden bei der Installation von Rootkits weitere sogenannte Partnerprogramme benötigt. Der sogenannte „Dropper” ist dafür zuständig, das Rootkit auf den Ziel-Computer zu importieren, während der „Loader” dafür sorgt, dass im zweiten Schritt die Programme installiert werden. Nachdem der „Dropper“ durch den Nutzer des Computers unwissentlich aktiviert wird, führt der „Loader“ den Installationsprozess weiter durch. Um den zuvor beschriebenen Code ins System einzuführen, werden besonders oft Schwachstellen wie Pufferüberläufe genutzt.
So nutzen Hacker die Backdoor-Funktion
Durch die Installation des Rootkits zielen Hacker auf die Kontrollübernahme fremder Systeme ab. Die Backdoor-Funktion bezieht sich dabei auf das Systempasswort. Verfügen Angreifer über das Passwort, können sie auf diese Weise und quasi “durch die Hintertür” jederzeit ins System eindringen und wirken: ob bei der Installation weiterer (Schad-)Software, in den Einstellungen der Sicherheitssysteme oder beim Zugriff auf geschützte Daten.
Welche Rootkit-Arten gibt es?
Malware gibt es in unterschiedlicher Ausführung, dazu zählen unter bestimmten Bedingungen auch Rootkits. Diese können unterschiedlich angreifen, ob tief in der Systemstruktur oder auf den oberen Ebenen. Zu den beiden bekanntesten und verbreitetsten Varianten zählen das User-Mode-Rootkit sowie das Kernel-Mode-Rootkit.
User-Mode-Rootkit
Das User-Mode-Rootkit setzt auf der Benutzerebene eines Computers an, von der aus die auszuführenden Programme zugänglich sind. Angreifer erhalten bei dieser Variante zwar nur einen eingeschränkten Zugriff auf das Administrator-Konto, sind jedoch in der Lage, die Einstellungen im Sicherheitsprotokoll zu verändern und sich so erweiterten Zugang zu verschaffen. Der Datenverkehr zwischen den verschiedenen Betriebssystemen und den eingeschleusten Schadprogrammen verläuft unbemerkt: Über eine eigene Code-Bibliothek wird eine zusätzliche Schnittstelle und somit ein Zugang in den Datentransfer integriert, um Funktionen, statt an den vorgesehenen Zielort an das Rootkit zu leiten. Aufgrund der einfacheren Komplexität und Ausführung wird das User-Mode-Rootkit wesentlich häufiger eingesetzt als das Kernel-Mode-Rootkit. Wenngleich es oberflächlicher ansetzt, können die Auswirkungen, die eine Manipulation der veränderten Einstellungen durch ein User-Mode-Rootkit mit sich bringt, zu erheblichen Konsequenzen für die betroffenen Unternehmen führen.
Kernel-Mode-Rootkit
Beim Kernel-Mode-Rootkit dringen die Schadprogramme dagegen tief in die Computerebene eines Betriebssystems ein und erhalten, je näher sie an der Basis ansetzen, umfassende Berechtigungen. Sämtliche Hardware- und Systemeinstellungen können nach Belieben verändert werden, und ebenso wie beim User-Mode-Rootkit liegt die vollständige Kontrolle nicht mehr beim Unternehmen, sondern in den Händen der Angreifer. Durch die Einbindung eigener Codes gelingt es beispielsweise, Virenschutzsoftware so zu programmieren, dass die Sicherheitsvorkehrungen aufgrund bewusst zugespielter Fehlinformationen nicht mehr reagieren und die entsprechenden Schadprogramme ungehindert ins System gelangen. Die Folge: das gesamte System, beginnend an der untersten Basis bis hin zur Benutzerebene, wird fremdgesteuert und -kontrolliert.
Sind Rootkits Malware?
Rootkits an sich sind eher als Methode und Mittel zum Zweck zu sehen, denn sie gewähren Administrator-Zugriff auf ein System und ermöglichen es Viren und Malware, sich ungehindert auszubreiten. Die Frage danach, ob Rootkits generell als Malware zu betrachten sind, lässt sich nicht eindeutig beantworten. Werden sie jedoch bewusst gesetzeswidrig eingesetzt, um auf unerlaubte Weise Zugang zu eigentlich geschützten Systemen zu erhalten und sich an dort gespeicherten Daten und Informationen zu bereichern, erfolgt ihr Einsatz unter kriminellen Gesichtspunkten und fällt somit unter die Kategorie Malware. Es existieren aber auch Szenarien, in denen ihr Einsatz ausdrücklich gewünscht ist: etwa beim Jailbreaking, das von Usern angewendet wird, um die von den Herstellern festgelegten und vorinstallierten Beschränkungen zu umgehen.
Die richtigen Vorbeugungen treffen: So geht’s!
Da Rootkits meist erst erkannt werden, wenn sie bereits zu Kontrollverlusten im Unternehmen geführt haben, sollten sich Unternehmen frühzeitig mit Gegenmaßnahmen vertraut machen. Durch die Erhöhung der eigenen IT-Sicherheit wird ungewünschten Eindringlingen der Zugriff auf Strukturen erschwert. Doch auch, wenn es bereits zu einem Cyberangriff gekommen ist, kann der Schaden mit den richtigen Maßnahmen eingedämmt werden.
Rootkit-Prüfung einführen
Bei einer Rootkit-Prüfung wird die Festplatte gezielt auf einen Rootkit-Befall untersucht und durch den proaktiven Ansatz lassen sich etwaige Schadprogramme schneller ausfindig machen. Unternehmen wie die Deutsche Gesellschaft für Cybersicherheit prüfen dazu mit speziellen IT-Security-Tools wie cyberscan.io® sämtliche Systemlandschaften eines Unternehmens auf Schwachstellen und Sicherheitslücken, um diese reaktionsschnell zu schließen und so Infektionen vorzubeugen.
Sicherheitssoftware aufspielen
In Sicherheitsfragen ist vorinstallierte Software wie der Windows Defender oft eine solide Ausgangsbasis. Jedoch steigen mit der zunehmenden Komplexität heutiger Systeme auch die Anforderungen an notwendige Sicherheitsmaßnahmen. Bei den meisten Angriffen, die über Rootkits erfolgen, werden grundlegende Schutzmechanismen umgangen – schließlich ist das die Voraussetzung, damit Cyberkriminelle sich Zugriff auf jegliche Systeme verschaffen können. Um Schadprogramme wie Rootkits aufzuspüren und zu entfernen, können spezielle Malware-Tools wie der TDSS-Killer nützlich sein, der alle potenziell betroffenen Bereiche eines Systems scannt und Alarm schlägt, sollten sich Rootkits in den Tiefen der Strukturen befinden. Um die Systeme noch intensiver auf Schwachstellen zu überprüfen und die Sicherheitsvorkehrungen in ihrer Aktualität und Wirksamkeit zu intensivieren, zahlen sich zudem regelmäßige Penetrationstests aus. In simulierten und mit dem auftraggebenden Unternehmen abgestimmten Cyberangriffen wird die IT-Infrastruktur von Sicherheitsexperten analysiert und geschaut, an welchen Stellen es zu kritischen Situationen kommen könnte.
Sicherheitstrainings anbieten
Gefahren aus dem Netz sind mittlerweile so gut getarnt, dass es für Außenstehende schwer sein kann, sie als solche auszumachen. So sehen auch Phishing-E-Mails oftmals täuschend echt aus und verleiten Empfänger dazu, vermeintlich seriöse Anhänge auf Firmenrechner herunterzuladen und auszuführen. Um Risiken durch menschliches Fehlverhalten zu minimieren, bieten sich Security Awareness Trainings an, in denen Mitarbeitende für das Thema IT-Sicherheit sensibilisiert und zur Abwehr befähigt werden.
Rootkit: Frühzeitig erkennen und entfernen
Präventive Sicherheitsmaßnahmen sind für Unternehmen essenziell, um Cyberkriminellen die Installation von Rootkits zu erschweren und die eigene Systemlandschaft wirksam zu schützen. Denn die Entfernung der Schadsoftware erweist sich in der Praxis oft als aufwändig. Die kurzfristigste Lösung zur Entfernung von fremdinstallierten Rootkits sind spezielle Behebungsprogramme, die jedoch keine hundertprozentige Erfolgsgarantie bieten können – oft verbleiben Reste der Software in den IT-Strukturen und auf den Festplatten. Als effektive Lösung hat sich die Kombination mehrerer Sicherheitsprogramme etabliert, damit verschiedene Ansätze zur Behebung und Entfernung der Malware greifen können. Im schlimmsten Fall und wenn alle getroffenen Maßnahmen nicht wirken, müssen Festplatten gelöscht und Betriebssysteme neu aufgespielt werden. Befindet sich ein Rootkit jedoch in einer sehr tiefen Ebene, kann es passieren, dass nicht alle Gefahrenstellen ausgemacht werden können. Um sich rundum gegen Cyberrisiken abzusichern und einen erfahrenen Dienstleister an der Seite zu haben, bietet die Deutsche Gesellschaft für Cybersicherheit gezielte Cyber Security Partnerschaften an und unterstützt bei der Vorsorge und im Ernstfall.
Fazit
Rootkits ermöglichen Angreifern den unbemerkten Fernzugriff auf eigentlich geschützte IT-Landschaften und können ihnen durch gezielte Schadprogramme die Kontrolle über sämtliche Systeme geben. Damit stellen Rootkits ein enormes Sicherheitsrisiko für Unternehmen dar und können schwerwiegende Konsequenzen nach sich ziehen, wenn vertrauliche Daten abgegriffen und interne Dokumente und Vorgänge ausspioniert werden. Deshalb ist es ratsam, die eigene IT-Sicherheit frühzeitig zu optimieren. Hierbei zahlt sich die Zusammenarbeit mit einem erfahrenen Dienstleister aus, der das erforderliche Know-how sowie leistungsfähige IT Security Tools mitbringt.
Sie möchten mehr dazu erfahren, wie Sie Rootkits ausfindig machen und beheben können? Nehmen Sie jetzt Kontakt auf.
