Unbemerkt gehen sie bei Fremden ein und aus. Sie stehlen sich durch die Hintertür, schmuggeln Wertvolles hinaus, um es auf dem Schwarzmarkt zu verkaufen, erbeuten Geld, Kreditkartendaten und geheime Unterlagen – ohne dass die Opfer etwas davon ahnen. – Was nach einem Sonntagabendkrimi klingt, ist längst auch ein digitales Problem: Mit komplexer Software verschaffen sich Hacker Zutritt zu fremden Systemen und machen sich eigenmächtig zu Herrschern über die Computer ihrer Opfer. Das Rootkit ist bei solchen Aktionen der Komplize, der Schmiere steht und das Unwesen der eigentlichen Übeltäter bestmöglich verschleiert.
Die eigentliche Gefahr geht nicht vom Rootkit aus – sondern von den Schadcodes, deren Spuren es verwischt. Ein Rootkit ist keine Schadsoftware (Malware) im eigentlichen Sinne. Seine besondere Fähigkeit liegt darin, Schadprogramme vor Virenscannern und Sicherheitslösungen zu verstecken. Wie gefährlich eine Infektion mit einem Rootkit ist, hängt also davon ab, was die Einbrecher im Schilde führen und welchen Schadcode Sie durch die aufgebrochene Hintertür ins System bugsieren.
Dieser Komplize in Code-Form dringt tief ins Betriebssystem vor und wird dort aktiv. Das Wort „root“ bezieht sich deshalb auf die sogenannten Root-Rechte, die auch den Namen Superuser-Konto tragen. Dieses Konto wird bei der Installation eines Betriebssystems angelegt und gewährt dem User allgemeine Zugriffsrechte. Es ist damit nicht für die alltägliche Nutzung, sondern für alle administrativen Aufgaben vorgesehen, die tief im System ausgeführt werden müssen – eben an der Wurzel (engl. "root“). Das „kit“ deutet seinerseits an, dass es eine Sammlung von Softwarewerkzeugen ist. Wörtlich übersetzt ist ein Rootkit also so etwas wie ein Werkzeugkasten für Administratoren.
Mit diesem Werkzeugkasten können sich Cyberkriminelle unbemerkt auf dem Computer anmelden und Administrationsfunktionen ausführen. Das Rootkit verhindert, dass der User etwas von den illegalen Zugriffen auf seinem Computer bemerkt. So werden Anmeldungen der Kriminellen auf dem Computer verschleiert, ebenso wie die mit diesem Vorgang verbundenen Dateien und Prozesse. Durch das Rootkit können auch gefährliche Programme versteckt werden, die beispielsweise Passwörter, Betriebsgeheimnisse, Tastatur- und Mauseingaben oder Kreditkarteninformationen ausspionieren.
Da es so viele verschiedene Dateien und Prozesse verstecken kann, ist Rootkit längst nicht gleich Rootkit: Jede Variante geht auf andere Weise vor und setzt an verschiedenen Stellen des Systems an. Die beiden verbreitetsten Rootkit-Arten sind das User-Mode-Rootkit und das Kernel-Mode-Rootkit. Der Kernel-Mode ist der innerste Kern eines Betriebssystems. Dort werden die grundlegendsten Einstellungen festgehalten und nur der Administrator hat Zugriff auf diesen Systemteil. Wenn sich ein Rootkit hier einnistet, kann der Angreifer den Computer aus der Ferne nach Belieben manipulieren. Der User-Mode umfasst dagegen deutlich weniger Rechte und hat entsprechend auch weniger Einfluss auf das Betriebssystem. Je nachdem, wo das Rootkit ansetzt, kann es entsprechend tief ins System vordringen. Die komplexen Kernel-Rootkits sind zwar seltener, aber zugleich auch schwerer zu entdecken und zu entfernen als die User-Mode-Rootkits.
Wenn Kriminelle ein solches Rootkit auf den Computer geschmuggelt bekommen, haben sie bereits einen Fuß in der Tür. Gelingt es ihnen zudem, das Passwort zu Ihrem Computer auszuspionieren, halten sie mit der richtigen Schadsoftware den Schlüssel zu Ihrem System in der Hand – und können sich so jeder Zeit selbst rein lassen. Wenn dieses Hinein- und Hinausspazieren im Schutz eines Rootkits geschieht, sprechen Experten auch davon, dass sich eine Backdoor, also eine Hintertür, ins System aufgetan hat. Hintertüren ermöglichen es Hackern, weitere Software zu installieren oder zu starten, auf Daten zuzugreifen oder Einstellungen zu ändern.
Was die Einbrecher mit Hilfe des Rootkits anstellen können, ist somit sehr unterschiedlich. Ein bekanntes Beispiel für einen solch ungebetenen Gast auf fremden Computern ist der Sony-Skandal: 2005 kam ans Licht, dass Sony auf diversen Musik-CDs einen Kopierschutz einsetzte, der mit einem Rootkit verborgen bleiben sollte. Dieses Rootkit manipulierte das Betriebssystem der User, um das Kopieren von CDs zu unterbinden. Antivirenprogramme und Antispyware-Software waren blind für dieses Programm. Außerdem sandte das Programm heimlich die privaten Hörgewohnheiten der User an Sony – alles im Schutz des Rootkits. Damit erreichte Sony nicht nur ein enormes Wissen über die User, sondern sorgte auch für einen handfesten Skandal. Statt das Urheberrecht zu schützen, verletzte Sony damit erheblich den Datenschutz – und erleichterte potentiell auch Hackern das Eindringen durch die so geöffnete Sicherheitslücke.
Um ein Rootkit zu entdecken, helfen spezielle Boot-CDs. G DATA Sicherheitslösungen bieten die Möglichkeit zur Erstellung einer Linux-basierten Boot-CD, mit der der Rechner abseits des installierten Betriebssystems hochgefahren werden kann. Mit dem auf der CD enthaltenen Virenscanner kann das System in einem Zustand gescannt werden, in dem das möglicherweise auf der Festplatte vorhandene Rootkit nicht aktiv ist und somit leichter entdeckt werden kann. In diesem Zustand wird die Tarnfunktion unwirksam – und das Rootkit fliegt zusammen mit seinen kriminellen Mittätern auf.