Was Sie über Rootkits wissen müssen

Ein un­an­ge­neh­mer Gedanke: Just in diesem Moment könnte Ihr Computer voller Viren und Malware sein – oder sogar Teil eines Bot-Netzes, das im großen Stil Klick­be­trug oder Cy­ber­at­ta­cken durch­führt. Wenn dies tat­säch­lich der Fall ist, kriegen Sie davon wahr­schein­lich gar nichts mit. Denn in den meisten Fällen gaukelt ein so­ge­nann­tes Rootkit dem Nutzer vor, alles wäre in bester Ordnung: Es wirkt praktisch wie eine Tarnkappe, unter deren Schutz im Geheimen kri­mi­nel­le Hacker-Ak­ti­vi­tä­ten statt­fin­den. Aber wenn Sie das Risiko und die Wirk­me­cha­nis­men von Rootkits kennen, können Sie sich besser dagegen schützen. Erfahren Sie daher im Folgenden das Wich­tigs­te, was es über Rootkits zu wissen gibt.

Bei einem Rootkit handelt es sich nicht um eine einzelne Malware – statt­des­sen ist es eine ganze Sammlung ver­schie­de­ner Schad­pro­gram­me, die sich über eine Si­cher­heits­lü­cke in einen Computer einnistet und An­grei­fern den dau­er­haf­ten fern­ge­steu­er­ten Zugriff (Remote-Access) auf diesen erlaubt. We­sent­li­ches Merkmal von Rootkits ist, dass sie sich selbst und auch andere Schäd­lin­ge vor Vi­ren­scan­nern und Si­cher­heits­lö­sun­gen ver­ste­cken können, sodass der Benutzer nichts von ihrer Existenz mit­be­kommt.

Je nachdem, auf welcher Be­rech­ti­gungs­ebe­ne sich das Rootkit aus­ge­brei­tet hat, kann es dem Hacker sogar um­fas­sen­de Ad­mi­nis­tra­ti­ons­rech­te ver­schaf­fen (in diesem Fall spricht man von einem Kernel-Mode-Rootkit), wodurch er die un­ein­ge­schränk­te Kontrolle über den Rechner erhält.

Die ersten Rootkits tauchten in den frühen 90er-Jahren auf und zielten noch aus­schließ­lich auf Unix-ähnliche Be­triebs­sys­te­me wie Linux ab. Sie bestanden zumeist aus mo­di­fi­zier­ten Versionen stan­dard­mä­ßi­ger Programme wie „ps“ (ein Unix-Kommando, das eine Liste aller laufenden Prozesse aufruft) und „passwd“ (zum Ändern des Be­nut­zer­pass­worts). Aus dieser Zeit stammt auch ihre Be­zeich­nung: Mit „Root“ wird bei Unix nämlich der Ad­mi­nis­tra­tor be­zeich­net, der Wortteil „kit“ bedeutet wiederum so viel wie „Aus­rüs­tung“ oder „Werk­zeug­kas­ten“. Der zu­sam­men­ge­setz­te Begriff Rootkit um­schreibt somit ein Set von Software-Werk­zeu­gen, das einen Hacker dazu er­mäch­tigt, Root-Rechte über einen Computer zu erlangen (explizit gemeint sind Kernel-Mode-Rootkits).

In­zwi­schen exis­tie­ren al­ler­dings für eine Vielzahl von Be­triebs­sys­te­men Rootkits. Aber auch für Windows- und andere Be­triebs­sys­te­me ergibt die Be­zeich­nung „Rootkit“ durchaus Sinn: Denn einige Rootkits dringen bis in den Kernel – also den innersten Kern und damit die „Wurzel“ (Englisch: „root“) – des Systems vor und werden von dort aus aktiv.

Obgleich die ver­schie­dens­ten Arten von Rootkits exis­tie­ren, ist ihre generelle Funk­ti­ons­wei­se doch immer dieselbe. Auch das Vorgehen zur In­fil­tra­ti­on eines Systems folgt immer demselben Muster.

Einer Rootkit-Infektion geht in den meisten Fällen eine gewisse Form von Social En­gi­nee­ring voraus: Cy­ber­kri­mi­nel­le nutzen dabei die in der Regel schwächs­te Stelle eines jeden Si­cher­heits­sys­tems aus – die mensch­li­che Kom­po­nen­te. Durch Be­ein­flus­sung oder bewusste Täuschung von Personen gelangen Hacker oft an Zu­gangs­da­ten und Pass­wör­ter. Mit diesen loggen sie sich dann auf einem Rechner ein und in­stal­lie­ren das Rootkit.

Es ist aber auch möglich, sich auf andere Weise mit einem Rootkit zu in­fi­zie­ren – bei­spiels­wei­se durch Drive-by-Downloads auf einer in­fi­zier­ten Website, beim Her­un­ter­la­den einer Software aus einer un­si­che­ren Quelle oder per Klick auf einen Link oder Anhang in einer Phishing-E-Mail.

Eine weitere Methode besteht darin, dass ein Cy­ber­kri­mi­nel­ler einen USB-Stick mit einem Rootkit in der Öf­fent­lich­keit lie­gen­lässt. Ein un­be­dach­ter Finder nimmt den Da­ten­trä­ger womöglich mit zu sich nach Hause, verbindet ihn aus Neugier mit seinem Rechner – und die In­fil­tra­ti­on ist gelungen. Ähnlich funk­tio­nie­ren die so­ge­nann­ten „Evil Maid Attacks“ (Deutsch: „Böses-Dienst­mäd­chen-Angriff“), bei denen der Hacker das Rootkit ei­gen­hän­dig auf einem un­be­wach­ten Computer in­stal­liert. Den Namen verdankt diese Methode dem möglichen Szenario, dass ein Zim­mer­mäd­chen auf diese Weise die Laptops zahl­rei­cher Ho­tel­gäs­te in­fi­zie­ren könnte.

Einmal im System, ver­schlei­ert das Rootkit seine Existenz. Dafür beginnt es, jene Prozesse zu ma­ni­pu­lie­ren, über die Programme und Sys­tem­funk­tio­nen Daten un­ter­ein­an­der aus­tau­schen. Auf diese Weise erhält ein Vi­ren­pro­gramm bei einem Scan lediglich ge­fälsch­te In­for­ma­tio­nen, aus denen sämtliche Hinweise auf das Rootkit her­aus­ge­fil­tert wurden. Aus diesem Grund ist es selbst pro­fes­sio­nel­ler Antivirus-Software oft unmöglich, die Schäd­lin­ge anhand ihrer Si­gna­tu­ren oder einer Ver­hal­tens­ana­ly­se (Heuristik) ausfindig zu machen.

Im Folgenden richtet das Rootkit eine so­ge­nann­te „Backdoor“ ein – eine Hintertür im System, die der Hacker mittels eines aus­ge­späh­ten Passworts oder einer Shell nutzen kann, um in Zukunft via Remote-Access auf den Rechner zu­zu­grei­fen. Dem Rootkit kommt dabei die Aufgabe zu, jeden An­mel­de­vor­gang und jede ver­däch­ti­ge Aktivität zu verbergen.

Dies erlaubt es dem Angreifer, weitere Software wie etwa Keylogger zu in­stal­lie­ren, mittels Spyware Tas­ta­tur­ein­ga­ben aus­zu­spio­nie­ren, Daten zu stehlen oder (je nach Be­rech­ti­gungs­grad) Sys­tem­ein­stel­lun­gen zu ändern. Häufig werden mit einem Rootkit in­fi­zier­te Rechner auch zu Bot-Netzen zu­sam­men­ge­schlos­sen und für Phishing oder DDoS-Attacken mo­bi­li­siert.

Rootkits werden aus of­fen­sicht­li­chen Gründen auch „Tarnviren“ genannt, obgleich sie per De­fi­ni­ti­on nicht als Viren klas­si­fi­zier­bar sind. Aber was genau un­ter­schei­det Rootkits von anderen Schäd­lings­ty­pen?

• Virus: Ein Virus hängt sich an eine aus­führ­ba­re Datei oder ein Programm (ent­schei­dend ist das .exe-Format). Zwar re­pli­ziert er sich selbst­stän­dig, kann sich aber nicht ei­gen­stän­dig wei­ter­ver­brei­ten, sondern nor­ma­ler­wei­se nur durch ent­spre­chen­de Hilfe durch Menschen oder andere Programme.
• Wurm: Dieser Begriff be­zeich­net eine spezielle Un­ter­klas­se des Com­pu­ter­vi­rus, die sich ei­gen­stän­dig über die Da­ten­über­tra­gungs­funk­tio­nen eines Systems wei­ter­ver­brei­ten kann.
• Trojaner: Er ist kein Virus, sondern eine Malware, also ein Schad­pro­gramm, das sich als nützliche Anwendung tarnt. Hacker nutzen solche tro­ja­ni­schen Pferde, um eine Hintertür im System zu öffnen.
• Rootkit: Das Rootkit wird auch als Unterart des Trojaners be­schrie­ben. Viele Trojaner weisen Rootkit-Ei­gen­schaf­ten auf. Der haupt­säch­li­che Un­ter­schied besteht darin, dass sich Rootkits aktiv im System ver­ste­cken und dem Angreifer meist auch zu Ad­mi­nis­tra­tor­rech­ten verhelfen.

Rootkits un­ter­schei­den sich vor allem in ihrer Methodik, mit der sie Malware-Prozesse und Hacker-Ak­ti­vi­tä­ten tarnen. Am häu­figs­ten kommen Kernel- und User-Mode-Rootkits zum Einsatz. Die ge­fähr­li­chen Software-Werk­zeug­käs­ten werden von Cy­ber­kri­mi­nel­len beständig wei­ter­ent­wi­ckelt, sodass es immer schwie­ri­ger wird, gegen sie vor­zu­ge­hen.

Wird von Rootkits ge­spro­chen, ist damit meist diese Art gemeint. Kernel-Mode-Rootkits nisten sich im Kernel eines Be­triebs­sys­tems ein. Dieser auch als „Ring-0“ be­zeich­ne­te Bereich verfügt über die höchste Be­rech­ti­gungs­stu­fe des Computers und er­mög­licht somit den Tie­fen­zu­griff auf sämtliche Hardware-Kom­po­nen­ten und erlaubt beliebige Ver­än­de­run­gen von Sys­tem­ein­stel­lun­gen. Das bedeutet: Konnte ein Angreifer dort ein Rootkit plat­zie­ren, erhält er die volle Kontrolle über das gesamte System.

Solche Rootkits ersetzen Teile des Kernels durch einen eigenen Code. Bei Unix-ähnlichen Be­triebs­sys­te­men passiert das meist mithilfe nach­lad­ba­rer Kernel-Module, weshalb man hier auch von „LKM-Rootkits“ (kurz für: loadable kernel modules) spricht. Bei Windows-Systemen wird der Kernel hingegen meist direkt ma­ni­pu­liert, indem einfach neue Sys­tem­trei­ber ein­ge­bun­den werden. Un­ab­hän­gig vom Vorgehen: Das Kernel-Mode-Rootkit kann diese über­le­ge­ne Aus­gangs­po­si­ti­on nutzen, um dem Vi­ren­schutz des Rechners von Grund auf ge­fälsch­te In­for­ma­tio­nen zukommen zu lassen. Rootkits dieser Art sind deshalb besonders schwer zu entdecken und zu entfernen. Aufgrund ihrer Kom­ple­xi­tät sind sie aber auch ver­gleichs­wei­se selten.

Im Gegensatz zu Kernel-Mode-Rootkits agiert diese Art lediglich auf der Be­nut­zer­ebe­ne eines Computers, auf der sich auch sämtliche aus­führ­ba­ren Programme befinden. Da dieser Bereich die nied­rigs­te Be­rech­ti­gungs­stu­fe der CPU (Ring-3) aufweist, können User-Mode-Rootkits dem Angreifer nur einen be­grenz­ten Zugriff auf den Computer er­mög­li­chen. Dadurch sind sie aber auch weniger komplex und kommen häufiger als Kernel-Mode-Rootkits zum Einsatz, ins­be­son­de­re auf Windows-Systemen.

User-Mode-Rootkits tarnen sich, indem sie den Da­ten­ver­kehr zwischen dem Be­triebs­sys­tem und den in­stal­lier­ten Viren- und Si­cher­heits­pro­gram­men abfangen und ma­ni­pu­lie­ren. Dafür nutzen sie die Methoden DLL-Injection und API-Hooking: Eine eigens be­reit­ge­stell­te Code-Bi­blio­thek (Dynamic Link Library, kurz: DLL) klinkt sich in den Da­ten­aus­tausch ein und leitet die Funk­tio­nen be­stimm­ter Pro­gramm­schnitt­stel­len (Ap­pli­ca­ti­on Pro­gramming In­ter­faces, kurz: API) auf das Rootkit um. Auf diese Weise kann es seine Spuren aus Pro­zess­lis­ten wie dem Windows Task-Manager löschen.

Neben diesen beiden un­ter­schei­det man noch zwei weitere Arten von Rootkits, die aber als ver­hält­nis­mä­ßig un­ge­fähr­lich gelten:

• Ap­pli­ca­ti­on-Rootkit: Die ur­sprüng­li­che und zugleich pri­mi­tivs­te Variante des Rootkits. Sie ersetzt Sys­tem­pro­gram­me durch eigene, mo­di­fi­zier­te Varianten und ist daher recht einfach zu erkennen. Aus diesem Grund wird sie von Hackern al­ler­dings auch kaum noch ein­ge­setzt.
• Speicher-Rootkit: Solche Rootkits können nur im Ar­beits­spei­cher exis­tie­ren und ver­schwin­den demnach vom System, sobald es neu gestartet wird.

Wie auch viele andere Arten von Schad­soft­ware werden Rootkits ständig wei­ter­ent­wi­ckelt. Auf diese Weise ent­stan­den bei­spiels­wei­se die so­ge­nann­ten „Bootkits“– eine Form von Kernel-Mode-Rootkit, die darauf spe­zia­li­siert ist, den Boot­loa­der eines Computers zu ersetzen, um Si­cher­heits­me­cha­nis­men des Be­triebs­sys­tems zu de­ak­ti­vie­ren. Immer häufiger werden auch Smart­phones (ins­be­son­de­re mit Android-Be­triebs­sys­te­men) infiziert – meist durch den Download einer un­si­che­ren App. In diesem Fall spricht man von einem „Mobile Rootkit“.

Im Jahr 2006 machte außerdem eine For­scher­grup­pe von der Uni­ver­si­ty of Michigan von sich reden, als sie ihr Projekt SubVirt vor­stell­te: ein Rootkit, das auf einer vir­tu­el­len Maschine basierte und deshalb VMBR (Virtual Machine Based Rootkit) getauft wurde. Sol­cher­lei Maschinen werden nor­ma­ler­wei­se genutzt, um mehrere ver­schie­de­ne Be­triebs­sys­te­me (zum Beispiel Linux und Windows) auf ein und demselben Rechner ausführen zu können. Das VMBR sollte mithilfe dieser Tech­no­lo­gie in der Lage sein, ein Be­triebs­sys­tem in eine virtuelle Umgebung zu ver­schie­ben und somit versteckt zu agieren. Nur ein Jahr später be­haup­te­ten Forscher der Stanford Uni­ver­si­ty aber bereits, solche VMBRs pro­blem­los aufspüren zu können.

Seitdem scheint es bislang zu keinen weiteren bahn­bre­chen­den Rootkit-In­no­va­tio­nen gekommen zu sein – was aber kei­nes­wegs bedeutet, dass die Risiken in ir­gend­ei­ner Weise ab­ge­nom­men hätten. So hat bei­spiels­wei­se das Exploit-Kit RIG im Jahr 2018 Zuwachs in Form eines zu­sätz­li­chen Rootkits namens CEID­Pa­ge­Lock erhalten. Dieses schleicht sich über Sys­tem­trei­ber auf Windows-Be­triebs­sys­te­men ein und übernimmt die Kontrolle über den In­ter­net­brow­ser. Selbiger leitet den Nutzer daraufhin auf ge­fälsch­te Websites um, auf denen Da­ten­dieb­stahl für viel­fäl­ti­ge kri­mi­nel­le Zwecke statt­fin­det. Zwar sind aktuell über­wie­gend Rechner in China betroffen (Stand: August 2018). Experten gehen aber davon aus, dass sich die Schad­soft­ware künftig über die Lan­des­gren­zen hinaus ver­brei­ten wird.

In­zwi­schen gibt es Rootkits für die ver­schie­dens­ten Be­triebs­sys­te­me. Im Folgenden zwei Beispiele für Rootkits, die Windows-Systeme gefährden:

• TDSS aka Alureon (entdeckt: 2007): wird auch als Trojaner klas­si­fi­ziert, was ver­deut­licht, wie fließend die Übergänge zwischen diesen beiden Schäd­lings­ty­pen sind. Das Rootkit ma­ni­pu­liert die Windows-Registry, um bei­spiels­wei­se den Task-Manager, die Update-Funktion sowie eventuell vor­han­de­ne Vi­ren­pro­gram­me zu de­ak­ti­vie­ren und nach­fol­gend ein Bot-Netz auf­zu­bau­en.
   
• Ze­roAc­cess (entdeckt: 2011): ein weiterer Trojaner mit Rootkit-At­tri­bu­ten. Dieser infiziert den Master Boot Record (MBR) sowie einen zu­fäl­li­gen Sys­tem­trei­ber und schaltet daraufhin das Windows Security Center, den Windows Defender und die Firewall ab. Ist dies geschehen, wird der Rechner für ein Bot-Netz genutzt, das für Bitcoin-Mining und Klick­be­trug ein­ge­setzt wird.

Aber nicht immer stecken hinter Rootkits solch hoch­kri­mi­nel­len Absichten. So nutzen zum Beispiel auch CD-Emu­la­to­ren die Technik, um Ko­pier­schutz­maß­nah­men zu über­lis­ten. Ob dies noch legal ist oder straf­recht­lich relevant, hängt dabei oft von Zweck und Umfang der Ver­wen­dung ab.

Was den Ko­pier­schutz betrifft, über­schrei­ten aber nicht nur die Kon­su­men­ten mit Rotkits die Grenze der Legalität: Der ja­pa­ni­sche Elek­tronik­kon­zern Sony sorgte im Oktober 2005 für einen aus­ge­wach­se­nen Skandal, als sich her­aus­stell­te, dass der Ko­pier­schutz XCP (Extended Copy Pro­tec­tion) auf diversen Musik-CDs des Her­stel­lers mit einem Rootkit getarnt worden ist. So hatte der Konzern ver­hin­dern wollen, dass illegale Kopien der Discs an­ge­fer­tigt würden. Gleich­zei­tig über­mit­tel­te die Malware aber auch In­for­ma­tio­nen über die privaten Hör­ge­wohn­hei­ten seiner Kunden und verletzte somit gängige Da­ten­schutz­ge­set­ze. Besonders heftige Kritik erntete Sony aber ins­be­son­de­re deswegen, weil sich dies Rootkit auch vor An­ti­vi­ren­pro­gram­men ver­steck­te und somit Hackern Tür und Tor öffnete, es für eigene Zwecke zu miss­brau­chen.

Ähnliche Fälle – zum Beispiel der der Firma Kinowelt im Jahr 2006 oder beim EA-Com­pu­ter­spiel „Spore“ von 2008 – wecken bei IT-Experten die Be­fürch­tung, dass künftig nicht nur Hacker, sondern auch zunehmend große Konzerne Rootkits verwenden werden.

Da Tarnung das Spe­zi­al­ge­biet eines Rootkits ist, ist es in der Regel schwierig bis nahezu unmöglich, es ausfindig zu machen und zu entfernen. Dennoch gibt es einige Maßnahmen, die Sie zu Ihrem Schutz ergreifen können:

Die Si­cher­heits­maß­nah­men gegenüber Rootkits sind grund­sätz­lich dieselben, die auch für andere häufig vor­kom­men­de Schäd­lings­ty­pen gelten:

• Verwenden Sie Si­cher­heits­pro­gram­me auf Ihrem Rechner.
• Pflegen Sie Ihr System mit re­gel­mä­ßi­gen Updates.
• Ent­wi­ckeln Sie ein Be­wusst­sein für populäre Be­trugs­ma­schen im Internet, zum Beispiel Phishing.
• Nutzen Sie eine hohen Pass­wort­schutz.

Darüber hinaus gibt es noch einige spe­zi­fi­sche­re Rat­schlä­ge, wie man Rootkit-In­fek­tio­nen vorbeugen kann:

• Ratschlag für IT-Laien: Nutzen Sie Ihren Ad­mi­nis­tra­tor-Account möglichst selten – vor allem dann nicht, wenn Sie im Internet unterwegs sind. Dieser hat nämlich deutlich weniger Schutz­me­cha­nis­men als der her­kömm­li­che Benutzer-Account. Da der Benutzer-Account außerdem nur über be­schränk­te Rechte verfügt, ist der Schaden im Falle einer Rootkit-Infektion weniger groß.
• Ratschlag für Profis: Um zu ver­hin­dern, dass ein Rootkit Ihr BIOS infiziert und damit quasi un­lösch­bar wird, können Sie einen phy­si­schen Schreib­schutz wie etwa eine Steck­brü­cke (Jumper) auf der Haupt­pla­ti­ne einsetzen.

Die meisten Vi­ren­pro­gram­me suchen anhand von Si­gna­tu­ren nach bereits bekannten Rootkits oder werten un­ge­wöhn­li­che Vor­komm­nis­se wie die Löschung von Dateien aus, um noch un­be­kann­te Schäd­lin­ge zu iden­ti­fi­zie­ren. Das Problem: Wenn nicht gerade ein schlecht pro­gram­mier­tes Kernel-Mode-Rootkit mit ständigen Blue­screens auf sich auf­merk­sam macht, liefern Rootkits meist nicht den ge­rings­ten An­halts­punkt für eine In­fil­tra­ti­on des Systems.

Da außerdem immer fort­schritt­li­che­re Rootkits pro­gram­miert werden, wird es auch immer schwie­ri­ger, sie zu entdecken. In­zwi­schen gibt es jedoch speziell auf Rootkits aus­ge­rich­te­te tech­ni­sche Hilfs­mit­tel, bei­spiels­wei­se den so­ge­nann­ten Rootkit-Scan: Eine Funktion, die in manchen Security-Softwares bereits enthalten ist, für die es aber auch de­di­zier­te Programme gibt. Dazu gehören unter anderem Sophos Anti Rootkit sowie der Rootkit Remover von Bit­de­fen­der, die beide kostenlos er­hält­lich sind.

Ein solcher Rootkit-Scan lässt sich auch mithilfe einer Boot-CD ausführen. Diese startet den Rechner abseits des in­stal­lier­ten Be­triebs­sys­tems, sodass das Rootkit in einem inaktiven Zustand verbleibt und mit etwas Glück von einem Vi­ren­scan­ner auf der CD auf­ge­spürt werden kann.

Leider existiert bislang keine hun­dert­pro­zen­tig sichere Mög­lich­keit, ein Rootkit von einem Rechner zu entfernen. Selbst die Tref­fer­quo­te pro­fes­sio­nel­ler Scan-Softwares wie von AntiVir, Kaspersky und Microsoft lässt zahl­rei­chen Test­be­rich­ten zufolge zu wünschen übrig. Aus diesem Grund empfiehlt bei­spiels­wei­se das Magazin Com­pu­ter­bild, min­des­tens drei solcher Programme in Kom­bi­na­ti­on zu verwenden.

Da sich einige Rootkits jedoch tief im BIOS ver­ste­cken können, bietet selbst diese Methode keine absolute Si­cher­heit. Somit bleiben oftmals nur die Be­rei­ni­gung des Da­ten­trä­gers und die voll­stän­di­ge Neu­in­stal­la­ti­on des Be­triebs­sys­tems, um den hart­nä­cki­gen Schädling endgültig los­zu­wer­den.

Rootkits sind eine ganz besonders hart­nä­cki­ge Bedrohung und können Kri­mi­nel­len das volle Kommando über Ihren Computer ver­schaf­fen. Die Gefahr zu kennen ist aber ein erster Schritt in die richtige Richtung. Die wich­tigs­te Schutz­maß­nah­me ist wie so oft, einer In­fil­tra­ti­on des Systems vor­zu­beu­gen, denn die Rotkits lassen sich nur schwer aufspüren und noch schwerer wieder entfernen. Da hilft dann oft nur noch, das System neu auf­zu­set­zen.

Auf der Konferenz „Black Hat“ im Januar 2006 wurde al­ler­dings auf Rootkits hin­ge­wie­sen, die selbst eine Neu­for­ma­tie­rung der Fest­plat­te un­be­scha­det über­ste­hen können – etwa indem sie das ACPI (Advanced Con­fi­gu­ra­ti­on and Power Interface), das für die En­er­gie­ver­wal­tung eines Computers ver­ant­wort­lich ist, ma­ni­pu­lie­ren oder sich im BIOS fest­set­zen. Solange also keine ver­läss­li­che Lösung des Problems gefunden wird, werden Rootkits wahr­schein­lich als hoch­kom­ple­xe Werkzeuge von Cy­ber­kri­mi­nel­len weiterhin eine Gefahr bleiben.