Was ist ein Rootkit? Wie es sich versteckt und wie man es entfernt (2026)

Die meiste Schadsoftware will etwas Lautes tun — Dateien verschlüsseln, Werbung zeigen, ein Passwort stehlen. Ein Rootkit will das Gegenteil: verborgen bleiben. Es gräbt sich tief in Ihr System ein, um die Kontrolle zu behalten, während Sie nie merken, dass es da ist. Dieser Leitfaden erklärt, was ein Rootkit ist, wie es sich versteckt, auf welche Zeichen Sie achten sollten und wie Sie es loswerden.

Die kurze Antwort

• Ein Rootkit ist Schadsoftware, die sich selbst versteckt und einem Angreifer dauerhafte, privilegierte Kontrolle über ein Gerät verschafft.
• Der Name kommt von “root” — der höchsten Zugriffsebene auf einem System — plus einem “Kit” an Werkzeugen, um diese zu behalten.
• Das prägende Merkmal ist Tarnung. Ein Rootkit versteckt aktiv seine eigenen Dateien, Prozesse und Netzwerkaktivitäten, sodass normale Programme es nicht sehen.

Wie sich ein Rootkit versteckt

Ein normales Programm taucht im Task-Manager und in Ihren Dateien auf. Ein Rootkit nicht. Es klinkt sich auf einer tiefen Ebene in das System ein und fängt genau die Anfragen ab, die es verraten würden. Wenn Ihr Virenscanner fragt “Welche Dateien gibt es hier?”, verändert das Rootkit die Antwort leise und lässt sich selbst weg. Genau das macht es gefährlich: Es infiziert nicht nur das System, es kontrolliert auch, was das System über sich selbst meldet.

Die wichtigsten Arten

Rootkits werden danach eingeteilt, wie tief sie sitzen. Je tiefer sie sind, desto schwerer sind sie zu finden und zu entfernen:

• User-Mode-Rootkits laufen auf der Anwendungsebene. Sie sind am häufigsten und am leichtesten zu erkennen.
• Kernel-Mode-Rootkits laufen im Kern des Betriebssystems, mit voller Kontrolle. Viel schwerer aufzuspüren.
• Bootkits infizieren den Startvorgang und laden noch vor dem Betriebssystem selbst.
• Firmware-Rootkits verstecken sich in der Hardware-Firmware und können sogar ein vollständiges Löschen der Festplatte überleben.

Warnzeichen

Weil Rootkits sich verstecken, sind die Hinweise indirekt. Werden Sie misstrauisch, wenn Ihr Rechner ohne klaren Grund langsamer wird, sich Einstellungen von selbst ändern, die Sicherheitssoftware deaktiviert ist oder sich nicht aktualisieren lässt, oder Ihr Netzwerk Datenverkehr zeigt, den Sie nicht erklären können. Keines dieser Zeichen beweist für sich allein ein Rootkit — aber zusammen, auf einem Rechner, der sich seltsam verhält, lohnt sich die Untersuchung. Genau hier hilft ein klares Bedrohungsmodell, das echte Risiko einzuschätzen.

Wie man es erkennt und entfernt

Das Erkennen erfordert mehr als einen routinemäßigen Scan. Weil ein laufendes Rootkit sich vor Programmen auf demselben System verstecken kann, ist die zuverlässige Methode, von außen zu scannen — also von einem sauberen Rettungs-USB-Stick zu starten, damit das Rootkit nicht läuft und sich nicht tarnen kann. Dafür gibt es spezielle Anti-Rootkit- und Offline-Scanner.

Das Entfernen ist der schwierige Teil. Ein User-Mode-Rootkit lässt sich manchmal bereinigen, doch bei einer Infektion auf Kernel- oder Boot-Ebene lautet der ehrliche Rat: eine saubere Neuinstallation. Sichern Sie Ihre Daten, löschen Sie das Laufwerk und installieren Sie das Betriebssystem von vertrauenswürdigen Medien neu. Bei einem vermuteten Firmware-Rootkit brauchen Sie womöglich sogar ein Firmware-Update oder Hilfe an der Hardware. Im Zweifel gehen Sie davon aus, dass dem System nicht mehr zu trauen ist, und bauen Sie es neu auf. Ein Rootkit ist eine Form von Schadsoftware, und dieselben Vorsichtsgewohnheiten — Updates, vorsichtige Downloads, minimale Rechte — halten es von vornherein fern.

Das Fazit

Ein Rootkit ist Schadsoftware, deren einziger Zweck es ist, verborgen zu bleiben und einem Angreifer die Kontrolle zu geben. Es versteckt sich, indem es manipuliert, was das System über sich selbst meldet — deshalb übersehen es gewöhnliche Scans und deshalb müssen Sie oft von außerhalb des laufenden Systems scannen. Bei tiefen Infektionen ist eine saubere Neuinstallation die einzig sichere Lösung. Die beste Verteidigung ist Vorbeugung: Halten Sie Ihre Software aktuell, installieren Sie nur aus Quellen, denen Sie vertrauen, und arbeiten Sie als Standardbenutzer statt als Administrator.

Häufige Fragen

Was ist ein Rootkit einfach erklärt?

Ein Rootkit ist Schadsoftware, die sich selbst versteckt und einem Angreifer dauerhafte Kontrolle auf hoher Ebene über Ihr Gerät verschafft. Anders als die meiste Schadsoftware ist ihr Hauptziel, unsichtbar zu bleiben — sie verbirgt ihre eigenen Dateien und Aktivitäten, sodass Sie und Ihre Sicherheitsprogramme nicht bemerken, dass sie läuft.

Woran erkenne ich, ob ich ein Rootkit habe?

Die Zeichen sind indirekt, weil Rootkits sich verstecken. Achten Sie auf eine unerklärliche Verlangsamung, Einstellungen, die sich von selbst ändern, Sicherheitssoftware, die deaktiviert wird oder sich nicht aktualisieren lässt, oder seltsamen Netzwerkverkehr. Keines davon beweist allein ein Rootkit, aber zusammen auf einem auffälligen Rechner rechtfertigen sie einen Scan von einem sauberen Rettungs-USB-Stick.

Kann ein Virenscanner ein Rootkit entfernen?

Manchmal, bei oberflächlichen User-Mode-Rootkits. Doch ein laufendes Rootkit kann sich vor Programmen auf demselben System verstecken, daher ist der zuverlässige Weg, von außen zu scannen — also von einem sauberen Rettungsmedium zu starten. Bei Rootkits auf Kernel-, Boot- oder Firmware-Ebene ist eine saubere Neuinstallation des Betriebssystems meist die einzig sichere Entfernung.

Was ist der Unterschied zwischen einem Rootkit und einem Virus?

Ein Virus verbreitet sich, indem er sich selbst in andere Dateien und Programme kopiert. Ein Rootkit konzentriert sich nicht auf die Verbreitung — es konzentriert sich darauf, sich zu verstecken und die Kontrolle über ein bereits kompromittiertes System zu behalten. Beide lassen sich kombinieren: Schadsoftware könnte einen Virus zur Verbreitung nutzen und ein Rootkit, um nach der Landung verborgen zu bleiben.