Was ist ein Bootkit?

Jeder Computer muss beim Einschalten „booten“ bzw. „hochfahren“. Dabei werden die Hardware aktiviert, das Betriebssystem geladen und weitere Prozesse ausgeführt, damit alles für die Nutzung bereitsteht. Schaffen es Cyberkriminelle, sich mit einer Schadsoftware in diesen Ablauf einzuklinken, dann nennt man die verwendeten Werkzeuge „Bootkit“. Wie das funktioniert, wie man sich diese Malware zuziehen kann und was dagegen hilft, das lest ihr in diesem Ratgeber.

Ein Bootkit manipuliert den Startvorgang des Computers und erschleicht sich damit tiefgreifende Nutzungsrechte. Das kann zur Installation weiterer Malware, zur Überwachung, zur Fernsteuerung des Computers und zu weiteren Schäden führen.
Ein Bootkit manipuliert den Startvorgang des Computers und erschleicht sich damit tiefgreifende Nutzungsrechte. Das kann zur Installation weiterer Malware, zur Überwachung, zur Fernsteuerung des Computers und zu weiteren Schäden führen.

Wie wird ein Bootkit definiert?

Ein Bootkit ist eine spezielle Art von Malware, die darauf abzielt, den Bootvorgang eines Computers zu manipulieren. Der Begriff „Boot“ bezieht sich auf den Prozess, bei dem der Computer hochgefahren und das Betriebssystem geladen wird. Als „Kit“ wird die Malware bezeichnet, weil sie sich aus mehreren Werkzeugen zusammensetzt, die verschiedene Orte und Prozesse befallen. 

Ein Bootkit ist in der Lage, den normalen Bootvorgang zu modifizieren, indem es sich in den Kernkomponenten des Betriebssystems oder des BIOS (Basic Input Output System) bzw. UEFI (Unified Extensible Firmware Interface) verankert. Dadurch erhält es privilegierten Zugriff und kann tief in das System eindringen, ohne von den erst nach ihm geladenen Schutzmechanismen oder Anti-Malware-Apps erkannt zu werden.

Ähnlichkeiten zum Rootkit

Bootkits werden je nach herangezogener Quelle als Mischung aus sogenannten Bootsektorviren und Rootkits beschrieben. Ein Rootkit ist dabei ein Malware-Werkzeugkasten, der für die Erlangung von Admin-Rechten eingesetzt wird. Mit einem Rootkit wird es Hacker/innen also ermöglicht, einen administrativen Zugriff auf einen Computer, ein Netzwerk oder einen Server zu erlangen. Das Bootkit kann also als gravierendere und umfangreichere Unterkategorie des Rootkits angesehen werden. Mehr dazu hier: Was ist ein Rootkit?

Wie wird ein Bootkit von Kriminellen genutzt?

Kriminelle können Bootkits verwenden, um unbefugten Zugriff auf Computer zu erlangen und verschiedene versteckte Aktivitäten durchzuführen. Einige gängige Anwendungen bzw. Ziele von Bootkits umfassen dabei die folgenden:

  • Stealth-Operationen: Bootkits haben die Fähigkeit, sich tief im System zu verstecken und Anti-Malware-Tools zu umgehen. Dadurch können Angreifer/innen über einen längeren Zeitraum hinweg unentdeckt bleiben und ihre Maßnahmen fortsetzen (Überwachung, weitere Malware einschleusen, Cryptojacking, etc.).
  • Datendiebstahl: Durch das Einschleichen über den Bootvorgang und das Umgehen von Schutzmechanismen können Kriminelle einen Vollzugriff auf den Computer erlangen und dadurch sensible Informationen wie Dateien, Dokumente, Passwörter, Bankdaten, Kontaktdaten und weitere Informationen von infizierten Computern stehlen.
  • Fernsteuerung: Ein Bootkit kann es Cyberkriminellen ermöglichen, den infizierten Computer aus der Ferne zu steuern. Dadurch können sie unbemerkt weitere Malware installieren, Festplatteninhalte abführen sowie den Computer in ein Botnetz einbinden. Als Teil eines Bot-Netzwerks kann der Rechner dann für eine DDoS-Attacke genutzt werden.

Wie kommt das Bootkit auf den Computer?

Wie bei so ziemlich jeder Schadsoftware gibt es unterschiedliche Wege, wie auch ein Bootkit auf den Computer, auf den Server oder in ein Netzwerk gelangen kann. Hier ein paar Möglichkeiten, auf die man – falls möglich – Acht geben sollte:

  • Vermittels Sicherheitslücken im Betriebssystem oder in Einzelnen Apps (Exploit)
  • Über Downloads aus dubiosen Quellen (fragwürdige Dateien, „gecrackte“ Apps)
  • Anhänge in fragwürdigen E-Mails, Downloads von in E-Mails verlinkten Webseiten
  • Drive-by-Downloads beim Besuch von kompromittierten Webseiten
  • Infizierte Datenträger wie USB-Sticks, Festplatten oder auch Netzwerk-Geräte

Wie kann man sich vor einem Bootkit schützen?

Wie bei den Infektionswegen, so gibt es auch bei den Schutzmaßnahmen wieder Antworten, die bei anderer Malware ebenfalls schon genannt wurden. Um sich also vor Bootkits zu schützen, könnt ihr folgende Punkte beachten:

  • Das Betriebssystem und einzelne Apps mit aktuellen Updates versehen, um mögliche Sicherheitslücken (und damit Einfallstore für Cyberkriminelle) zu schließen.
  • Keine Links und Anhänge aus fragwürdigen E-Mails öffnen; bei komischen E-Mails bekannter Kontakte lieber auf anderen Kommunikationswegen nachfragen, ob die Mail wirklich von ihnen stammt.
  • Software nur aus vertrauenswürdigen Quellen (Developer-Webseiten, App Store, etc.) herunterladen und nicht von dubiosen Portalen mit komischen „Installierhilfen“.
  • Nach Möglichkeit die Sicherheitsmaßnahmen des Rechners wie Firewalls, den macOS Gatekeeper und ähnliche aktiviert lassen.
  • Scam-Mails und -Anrufe nicht beachten und keine Software herunterladen, mit der man angebliche Banking- oder Cloud-Probleme lösen können soll. Nicht durch künstlich erzeugte Eile zu unsinnigen Handlungen verleiten lassen (Beispiel: gefälschte iCloud-Mail).

Mit Bootkit infiziert: Wie kann ich den Computer bereinigen?

Habt ihr festgestellt, dass euer Rechner infiziert ist, oder zumindest, dass er sich auffällig verhält, und wollt ihr nun das Bootkit entfernen (bzw. andere Malware löschen), dann gibt es dafür verschiedene Lösungsansätze. Ein Anzeichen für die Infizierung kann zum Beispiel sein, dass das Hochfahren des Computers ungewöhnlich lange dauert. Weitere Anzeichen sind wechselnde oder flackernde Displayanzeigen beim Booten, eine hohe Systemlast direkt nach dem Anmelden und ähnliche. Mit Little Snitch könnt ihr schauen, ob es auffällige Netzwerkaktivitäten gibt.

Als erstes könnt ihr die im System implementierten oder zusätzlich installierten Anti-Malware-Mechanismen nutzen. Am Mac lassen sich dabei CleanMyMac X oder Malwarebytes verwenden, um Malware auf Systembasis ausfindig zu machen und zu löschen. Wie aber oben schon erwähnt, erkennt ihr damit wahrscheinlich nicht das Bootkit selbst, sondern nur davon nachgeladene Schadsoftware, die nach dem Entfernen ggf. wieder ersetzt wird. Um tiefer sitzende Malware zu entfernen, braucht es gravierendere Maßnahmen.

Einerseits könnt ihr das Betriebssystem komplett neu installieren. Davor bietet es sich an, die Festplatte komplett zu löschen, was ihr über ein Betriebssystem realisieren könnt, das ihr von einem USB-Stick oder von einer DVD startet. Über dieses greift ihr auf den Computer zu, löscht dessen Festplatte(n) und installiert dann das Betriebssystem neu – am Mac z. B. über die Internet-Wiederherstellung, um ein neues, sauberes und direkt von den Apple-Servern geladenes macOS zu verwenden.

Andererseits könnt ihr, falls das an eurem Computer möglich ist, die Festplatte bzw. den SSD-Speicherriegel gegen ein neues Modell austauschen. Gerade an Windows-PCs und vielen Windows-Laptops ist das möglich. Am Apple Mac und vor allem am MacBook sieht es schon schwieriger aus. Hier könnt ihr für die nötige Hilfe bei der Sadaghian-Werkstatt anfragen. Auf jeden Fall solltet ihr schauen, welcher Nutzungsfehler zur Infektion geführt hat, damit ihr ihn mit der frischen Festplatte nicht wiederholt.

In jedem Fall ist es natürlich von Vorteil, wenn ihr ein Backup eurer Daten zur Hand habt, das noch vor der Malware-Infektion entstanden ist. Denn einige Root- und Bootkits sowie verschiedene andere Schadsoftware kann sich an verschiedenen Orten festsetzen und die entfernten Komponenten von dort neu herunterladen. Deshalb ist ein Backup der Daten nach der Infektion nicht die sicherste Option, wenn ihr die gelöschte / ersetzte und neu mit einem Betriebssystem bestückte Festplatte wieder mit euren individuellen Inhalten füllen wollt. 

Fazit zum Thema Bootkit

Das Bootkit gehört zu den besonders gefährlichen sowie hartnäckigen Arten von Malware. Es greift in den Bootvorgang eines Computers ein und ermöglicht es den Angreifer/innen somit, ihre Malware tief im System zu verankern. Es ist wichtig, sich der Bedrohung bewusst zu sein und ein sicheres Nutzungsverhalten am Computer walten zu lassen, um sich davor sowie vor anderen Malware-Arten zu schützen. Indem man Betriebssystem und Apps aktuell hält, Sicherheitsmechanismen aktiviert lässt sowie vorsichtig im Umgang mit E-Mails und dem Web vorgeht, kann man den Rechner im Allgemeinen schon sehr gut gegen Malware-Attacken absichern. Bootkit-Infektionen brauchen zur Behebung gravierendere Maßnahmen als andere Schadsoftware.

Meine Tipps & Tricks rund um Technik & Apple

Hat dir der Artikel gefallen und helfen dir die Anleitungen im Blog? Dann würde ich mich freuen, wenn du das Blog über eine Steady-Mitgliedschaft unterstützen würdest.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Im Sir Apfelot Blog findest du Ratgeber, Anleitungen und Testberichte zu Apple Produkten wie iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini und Mac Studio.

Specials
Shopping
  •  
  •