Ein mechanisches Kernel-Monster fesselt ein Steam Deck und den Linux-Tux mit Ketten, während Hacker im Hintergrund ungestört cheaten.

Anti-Cheat-Software gräbt sich immer tiefer in unsere Rechner. Sie sitzt heute nicht mehr im Spiel, sondern im Kernel, also im innersten Ring des Betriebssystems. Hersteller wie Riot, Epic oder BattlEye verkaufen das als notwendigen Schritt im Kampf gegen Betrüger. Gleichzeitig sperren genau diese Systeme Linux-Nutzer aus, obwohl die Technik längst funktioniert. Dieser Artikel zeigt, warum beide Argumente nicht halten. Denn die Cheater spielen ungestört weiter, während ehrliche Spieler Kontrolle über ihren eigenen Rechner verlieren.

Was Kernel-Level-Anti-Cheat überhaupt bedeutet

Moderne Prozessoren teilen ihre Rechte in sogenannte Schutzringe ein. Ring 3 ist der äußerste Ring. Dort laufen normale Programme wie der Browser, das Spiel oder ein Office-Dokument. Ring 0 dagegen ist der Kern des Systems. Dort residiert der Kernel selbst, also der Teil des Betriebssystems, der Speicher verwaltet, Hardware ansteuert und Prozesse kontrolliert. Wer Code in Ring 0 ausführt, besitzt die höchste mögliche Autorität über die Maschine.

Genau dorthin drängt sich kernel-basierte Anti-Cheat-Software. Sie installiert einen eigenen Treiber, der mit denselben Rechten wie das Betriebssystem läuft. Dadurch kann sie jeden Prozess beobachten, Speicher auslesen und andere Treiber blockieren. Die Consumer Rights Wiki beschreibt das nüchtern: Solche Software ist in der Lage, jeden Vorgang auf einem Rechner zu verfolgen und bei Bedarf auch einzugreifen.

Zu den bekanntesten Vertretern dieser Software-Gattung zählen:

  • Easy Anti-Cheat (EAC): gehört Epic Games und steckt unter anderem in Fortnite, Apex Legends und Fall Guys.
  • BattlEye: schützt Titel wie Rainbow Six Siege, PUBG und seit 2024 auch GTA Online.
  • Riot Vanguard: Riots hauseigenes System für Valorant und League of Legends, das am weitesten in den Kernel-Mode eingreift.
  • nProtect GameGuard: kommt etwa bei Helldivers 2 zum Einsatz.
  • Anti-Cheat Expert (ACE): läuft in Wuthering Waves und Mecha Break.

Vanguard sticht dabei besonders heraus. Sein Ring-0-Treiber startet bereits mit dem System und läuft dauerhaft, selbst wenn kein Riot-Spiel offen ist. Damit verlässt Anti-Cheat den Bereich einer reinen Spielfunktion. Es wird zu permanent installierter Systemsoftware mit Vollzugriff. Und genau hier beginnt das Problem.

Das Schutzring-Modell und das ewige Wettrüsten

Um die Debatte wirklich zu verstehen, lohnt ein genauerer Blick auf die Architektur. Das Schutzring-Modell stammt aus den 1980er-Jahren und sollte ursprünglich verhindern, dass abstürzende Programme das ganze System mitreißen. Ring 3 darf wenig, Ring 0 darf alles. Dazwischen liegen theoretisch weitere Ringe, die moderne Betriebssysteme aber kaum noch nutzen. In der Praxis kennt Windows im Wesentlichen zwei Welten, nämlich den User-Mode und den Kernel-Mode.

Anti-Cheat begann einst harmlos im User-Mode. Diese frühen Systeme prüften Spieldateien, suchten nach bekannten Cheat-Programmen und beobachteten den Spielprozess. Cheat-Entwickler reagierten, indem sie ihren Code tiefer versteckten, etwa über Treiber im Kernel. Daraufhin zogen die Anti-Cheat-Hersteller nach und wanderten ebenfalls in Ring 0. Die Consumer Rights Wiki beschreibt dieses Wettrüsten präzise: Weil Angreifer den User-Level-Schutz zunehmend umgehen konnten, verlangen immer mehr Entwickler von ihren Spielern Kernel-Zugriff.

Das Problem an diesem Denkmuster ist seine eingebaute Endlosigkeit. Jede Verteidigungsebene lässt sich von einer tieferen Ebene aus unterlaufen. Ring 3 fällt gegen Ring 0. Ring 0 fällt gegen Ring minus 1, also den Hypervisor. Der Hypervisor wiederum fällt gegen die Firmware oder gegen reine Hardware-Angriffe wie DMA. Es gibt schlicht keine unterste Ebene, auf der die Verteidigung endgültig gewinnt. Wer dieses Spiel mitspielt, gräbt sich immer tiefer in fremde Rechner, ohne das Ziel je zu erreichen.

Genau deshalb ist die Frage nach Ring 0 keine rein technische, sondern eine grundsätzliche. Sie lautet nicht, wie tief Anti-Cheat gehen darf, sondern ob diese Spirale überhaupt zum Ziel führt. Die Antwort der Praxis ist eindeutig negativ, wie die folgenden Abschnitte belegen.

Das Versprechen der Hersteller

Fairerweise muss man das Argument der Anbieter erst sauber darstellen, bevor man es zerlegt. Die Logik klingt zunächst plausibel und sie hat einen wahren Kern.

Cheat-Entwickler arbeiten selbst im Kernel. Sie laden ihre Werkzeuge über verwundbare Treiber direkt in Ring 0, um dort Speicher zu manipulieren oder Erkennung zu verstecken. Riot formuliert es so, dass man Cheats, die auf Kernel-Ebene laufen, nur dann zuverlässig sehen kann, wenn man sich selbst auf dieselbe Ebene begibt. PC Gamer fasst diese Position prägnant zusammen: Wenn die Anti-Cheat-Software den Betrügern nicht dieselbe Privilegienstufe entgegensetzt, gerät sie ins Hintertreffen.

Aus dieser Sicht ist der Kernel-Mode keine Machtdemonstration, sondern eine Notwendigkeit. Vanguard blockiert beispielsweise Treiber mit bekannten Sicherheitslücken, damit Cheat-Entwickler diese nicht für eigene Zwecke ausnutzen. Die Hersteller verweisen außerdem auf externe Audits, auf Bug-Bounty-Programme und auf die Tatsache, dass kernelbasierter Schutz inzwischen Branchenstandard ist. Riot betont, man könne aus Sicherheitsgründen nicht jedes technische Detail offenlegen, habe das System aber intern und extern prüfen lassen.

Das ist ein ernstzunehmendes Argument. Es beschreibt ein echtes Wettrüsten. Trotzdem führt es in eine logische Sackgasse, sobald man genauer hinschaut. Denn die entscheidende Frage lautet nicht, ob der Kernel tiefer liegt als der User-Bereich. Sie lautet, ob es eine Ebene gibt, die noch tiefer liegt als der Kernel. Und die gibt es.

Die Realität: Cheater gewinnen trotzdem Turniere

Bevor wir zur Technik kommen, lohnt ein Blick auf die Praxis. Denn wenn kernelbasierter Schutz wirklich funktionieren würde, müssten Cheats in ernsthaften Wettbewerben verschwinden. Das Gegenteil ist der Fall.

Der YouTuber Justa Beast hat sich darauf spezialisiert, genau dieses Problem zu dokumentieren. Seine Kanalbeschreibung bringt es auf den Punkt: Er zeigt, wie schlimm das Cheating in Fortnite auf allen Ebenen ist, vom untersten bis zum höchsten Niveau. Dabei bleibt es nicht bei vagen Vorwürfen. Justa Beast analysiert systematisch die Wiederholungen offizieller Turniere.

In einem Video aus dem Januar 2026 untersucht er, wie Cheater 16.300 Dollar aus der Solo-Series-Finalrunde von Fortnite herausgeholt haben sollen, also aus einem offiziellen Wettbewerb mit echtem Preisgeld. In einem weiteren Beitrag vom Dezember 2025 geht er der Frage nach, ob Betrüger nach wie vor Turniere gewinnen, indem sie Aimbots und Wallhacks im Victory Cash Cup einsetzen. Die Beispiele reißen nicht ab.

Diese Fälle sind besonders aussagekräftig, weil Fortnite Easy Anti-Cheat und BattlEye einsetzt, also gleich zwei kernelbasierte Systeme. Trotzdem laufen die Cheats sichtbar gut und überstehen sogar die kompetitive Szene, in der Geld auf dem Spiel steht und wo Epic ein massives Interesse an sauberen Ergebnissen hat. Wenn der tiefgreifendste Eingriff in das Betriebssystem nicht einmal das Preisgeld-Geschäft schützt, dann taugt er kaum als Argument für den Zugriff auf private Rechner. Die folgenden Abschnitte erklären, warum das technisch zwangsläufig so ist.

DMA-Cheats: Hardware liest den Speicher, ohne den Kernel zu fragen

Der erste große Angriffsvektor heißt Direct Memory Access, kurz DMA. Diese Technik nutzt eine ganz normale Hardware-Fähigkeit moderner Rechner aus. Bestimmte Komponenten dürfen direkt auf den Arbeitsspeicher zugreifen, ohne den Prozessor zu bemühen. Genau das machen sich Cheater zunutze.

Bei einem DMA-Setup steckt eine PCIe- oder Thunderbolt-Karte im Spiel-Rechner. Diese Karte liest den Speicher des laufenden Spiels aus, also Gegnerpositionen, Lebenspunkte oder Loot. Die Daten gehen anschließend an einen zweiten, völlig separaten Computer. Dort berechnet die Cheat-Software ein Wallhack-Overlay oder steuert einen Aimbot. Der eigentliche Spiel-Rechner führt zu keinem Zeitpunkt verdächtigen Code aus. Er sieht nur eine ganz gewöhnliche PCIe-Karte.

Und hier liegt der entscheidende Punkt: Eine Anti-Cheat-Software im Kernel kann Code nur dort sehen, wo Code läuft. Ein DMA-Cheat führt auf der Zielmaschine aber gar keinen Cheat-Code aus. Er liest nur Speicher über die Hardware aus. Anbieter solcher Karten werben deshalb ganz offen damit, dass ihre Lösung für Easy Anti-Cheat, BattlEye und VAC unsichtbar sei, weil sie den Speicher von einem getrennten physischen Gerät aus auslese.

Anti-Cheat-Systeme versuchen inzwischen, die Anwesenheit solcher Karten anhand ungewöhnlichen Hardware-Verhaltens zu erkennen. Die Cheat-Industrie reagiert darauf mit Firmware, die eine DMA-Karte als legitimes PCIe-Gerät tarnt. Es bleibt also ein Katz-und-Maus-Spiel auf der Hardware-Ebene, das der Kernel-Treiber prinzipiell nicht gewinnen kann. Denn er sitzt im Software-Stack, während der Angriff darunter, in der Hardware, stattfindet.

Hypervisor-Cheats: Eine Ebene unter dem Kernel

Noch eleganter umgehen Cheater den Schutz mit einem Hypervisor. Ein Hypervisor ist die Software, die virtuelle Maschinen verwaltet. Er liegt unterhalb des Betriebssystems, auf einer Ebene, die man oft als Ring minus 1 bezeichnet. Wer dort sitzt, kann das gesamte Betriebssystem inklusive seines Kernels in eine virtuelle Umgebung packen und von außen beobachten.

Genau das demonstriert eine wissenschaftliche Arbeit von Forschern der Royal Holloway University of London und der Universidad Politécnica de Madrid aus dem Jahr 2025. Sie stellen eine neue Cheat-Kategorie vor, die sie Virtual Machine Introspection Cheats nennen. Ein Hypervisor mit aktivierter Introspektion liest dabei direkt Speicher und Interrupts des Gast-Systems aus. Damit lassen sich laut den Autoren sowohl User-Level- als auch Kernel-Level-Anti-Cheats umgehen.

Das Bemerkenswerte daran ist die Auswahl der Testkandidaten. Die Forscher demonstrieren ihren Ansatz an drei populären Spielen mit Millionen Spielern, nämlich Team Fortress 2, BlackSquad und Fortnite, die zusammen fünf verschiedene Anti-Cheat-Systeme nutzen. Sie bauen damit einen Radar-Cheat, einen Wallhack und einen Triggerbot. Es handelt sich also nicht um Theorie, sondern um funktionierenden Code gegen echte, kommerzielle Schutzsysteme.

Hier zerbricht das Hersteller-Argument endgültig. Die Logik lautete: Wir müssen so tief wie die Cheats. Doch ein Kernel-Treiber kann grundsätzlich nicht zuverlässig erkennen, was unterhalb von ihm geschieht. Wie ein Bericht treffend formuliert, lässt sich ein Angriff aus Ring minus 1 von Ring 3 aus kaum erkennen, und aus demselben Grund scheitert auch User-Mode-Schutz an Kernel-Cheats. Man kann nichts zuverlässig beobachten, das tiefer sitzt als man selbst. Der nächste Schritt im Wettrüsten gehört also immer dem Angreifer.

Wenn der Hersteller selbst zugibt, dass es nicht reicht

Man muss diese Schwäche nicht einmal aus Berichten herleiten, denn die Anbieter bestätigen sie selbst. Im Dezember 2025 begann Riot, ausgewählte Valorant-Spieler zu einem Firmware-Update ihres Mainboards zu zwingen. Der Grund war eine Lücke in älteren BIOS-Versionen, durch die sich Code bereits vor dem Start des Betriebssystems und damit vor Vanguard in den Speicher einklinken konnte.

In der offiziellen Begründung wird Riot deutlich. Hätte man dieses Problem nicht entdeckt, so das Anti-Cheat-Team, dann hätte es sämtliche derzeit am Markt existierende DMA-Erkennung und -Abwehr vollständig ausgehebelt.

Hätte dieses Problem unbemerkt fortbestanden, hätte es die gesamte heute auf dem Markt existierende DMA-Erkennung und -Abwehr vollständig zunichtegemacht.

Riot Anti-Cheat Team, Dezember 2025 (sinngemäße Übersetzung)

Das ist ein bemerkenswertes Eingeständnis. Der Hersteller des invasivsten Kernel-Anti-Cheats der Branche räumt damit ein, dass eine einzige Hardware-Lücke ausreicht, um die gesamte Schutztechnik gegen DMA-Cheats wertlos zu machen.

Genau das ist der Kern der ganzen Debatte. Kernelbasierter Schutz verschiebt das Problem nur eine Ebene nach unten. Sobald die Verteidigung im Kernel-Mode angekommen ist, wandert der Angriff in die Firmware oder in den Hypervisor. Riots Reaktion bestätigt diesen Mechanismus, statt ihn zu widerlegen. Denn das Update verlangt nun TPM 2.0, Secure Boot und im Zweifel sogar einen Firmware-Flash, also einen noch tieferen Eingriff in fremde Hardware.

Der Preis für diese Eskalation trägt der ehrliche Spieler. Er muss seine Firmware aktualisieren, riskiert dabei laut Consumer Rights Wiki im Extremfall ein unbrauchbares Mainboard und gewinnt im Gegenzug keine Sicherheit. Denn die nächste DMA-Firmware tarnt sich ohnehin wieder. Das Wettrüsten geht weiter, nur die Kollateralschäden wachsen.

Das Argument vom Branchenstandard greift zu kurz

Ein beliebtes Gegenargument lautet, kernelbasierter Schutz sei eben Branchenstandard und damit gerechtfertigt. Tatsächlich setzen viele große Studios darauf. EA wechselte laut Consumer Rights Wiki von EAC zu einem eigenen, hauseigenen Kernel-Anti-Cheat. Rockstar rüstete Grand Theft Auto V nachträglich auf kernelbasierten Schutz um. Helldivers 2 nutzt nProtect GameGuard, Wuthering Waves und Mecha Break setzen auf Anti-Cheat Expert. Die Liste wächst.

Doch dass etwas verbreitet ist, macht es nicht wirksam und schon gar nicht harmlos. Die Verbreitung beweist nur, dass sich eine bestimmte Antwort durchgesetzt hat, nicht dass diese Antwort funktioniert. Genau hier liegt der Denkfehler. Der Branchenstandard wird zur sich selbst bestätigenden Prophezeiung. Ein Studio führt Kernel-Anti-Cheat ein, das nächste zieht nach, um nicht als unsicher zu gelten, und schon gilt der Eingriff als alternativlos. Über die tatsächliche Schutzwirkung sagt das nichts aus.

Die Consumer Rights Wiki widerspricht der Standard-Erzählung ausdrücklich. Sie hält fest, dass Riot Kernel-Anti-Cheat zwar als Branchenstandard darstellt, betont aber zugleich, dass kein anderer Anti-Cheat so invasiv sei wie Vanguard. Vor allem widerlegt sie die Behauptung, man könne Bots, Boosting und dauerhafte Sperren nur über kernelbasierte Erkennung in den Griff bekommen. Andere Firmen schaffen genau das auch ohne einen Treiber, der permanent im Hintergrund läuft.

Der Verweis auf den Standard verschleiert also die eigentliche Frage. Diese lautet nicht, ob alle es tun, sondern ob es funktioniert und welchen Preis es kostet. Beide Antworten fallen, wie gezeigt, negativ aus. Ein verbreiteter Fehler bleibt ein Fehler.

Performance, Fehlalarme und der Alltag der Nutzer

Neben Sicherheit und Souveränität gibt es eine ganz praktische Ebene, die im Alltag oft untergeht. Kernelbasierter Schutz kostet Ressourcen und verursacht Probleme, die nichts mit Cheating zu tun haben.

Die Consumer Rights Wiki weist darauf hin, dass ein dauerhaft laufender Treiber die Leistung mindern kann, und zwar auch dann, wenn man gerade etwas völlig anderes am Rechner tut. Das ergibt Sinn, denn der Treiber überwacht permanent Prozesse, selbst wenn kein Spiel läuft. Bei Vanguard kommt die erzwungene Aktivierung von Secure Boot und TPM 2.0 hinzu. Wer diese Funktionen aktiviert, kann je nach Mainboard auf Probleme stoßen, etwa auf den bekannten TPM-Stutter-Bug bei bestimmten AMD-Plattformen.

Noch ärgerlicher sind Fehlalarme. Da der Treiber mit höchsten Rechten entscheidet, welche anderen Programme laufen dürfen, können legitime Anwendungen ins Visier geraten. Die Consumer Rights Wiki dokumentiert einen Vorfall, bei dem Vanguard ein legitimes Spiel eines anderen Herstellers fälschlich als Cheat einstufte, es blockierte und unspielbar machte. Der Nutzer hatte nichts falsch gemacht, verlor aber den Zugriff auf bezahlte Software.

Hier zeigt sich eine grundsätzliche Schieflage. Anti-Cheat soll Spieler schützen, doch in der Praxis schadet es regelmäßig genau jenen, die ehrlich spielen. Der Cheater mit DMA-Karte bemerkt von all dem nichts, denn sein System bleibt unangetastet. Die Last tragen die anderen. Das ist kein Detailproblem, sondern ein Strukturfehler des gesamten Ansatzes.

Warum die EAC-Linux-Ausrede nicht trägt

Bleibt das wichtigste Argument für den Lock-in, nämlich Sweeneys Behauptung, der Linux-EAC laufe mit weniger Verlässlichkeit und Fähigkeit als die Windows-Variante. Dieses Argument verdient eine ehrliche Prüfung, denn es enthält einen wahren Kern.

Es stimmt, dass EAC unter Proton anders arbeitet als unter Windows. Ohne kernelbasierten Treiber im Linux-Kernel fällt ein Teil der Erkennung weg. Sweeney hat insofern recht, dass eine schlichte Eins-zu-eins-Portierung nicht alle Fähigkeiten der Windows-Version mitbringt. Auch GamingOnLinux räumt ein, dass die Anpassung von EAC für ein Spiel von Fortnites Größe technisch aufwendig wäre.

Doch dieses Argument verwechselt zwei Dinge. Es vermischt die Wirksamkeit gegen Cheater mit der Wahlfreiheit der Plattform. Die Turnier-Analysen und Riots eigenes Firmware-Eingeständnis zeigen, dass selbst der volle Windows-Schutz die ernsthaften Cheats nicht stoppt. Die angeblich überlegene Windows-Variante scheitert nachweislich an DMA und Hypervisor. Ein etwas schwächerer Linux-Schutz würde also keine neue Lücke aufreißen, sondern lediglich dieselbe ohnehin durchlässige Verteidigung auf eine weitere Plattform bringen.

Hinzu kommt die Frage der Verhältnismäßigkeit. Auf der einen Seite stehen Cheats, die der Hersteller selbst nicht in den Griff bekommt. Auf der anderen Seite stehen Millionen ehrlicher Linux-Nutzer, die schlicht spielen wollen. Sie für ein Cheat-Problem auszusperren, das auf Windows ungelöst bleibt, ist keine Sicherheitsmaßnahme. Es ist eine Bequemlichkeitsentscheidung zulasten einer ganzen Plattform. Die saubere Lösung wäre serverseitige Erkennung für alle, statt Linux pauschal die Tür zu weisen.

Das eigentliche Risiko sitzt im Kernel selbst

Kommen wir zur unangenehmen Kehrseite. Ein Ring-0-Treiber schützt nicht nur schlecht, er schafft auch ein massives neues Risiko. Denn jede Sicherheitslücke in dieser Software ist eine Lücke direkt im Herz des Systems.

Die Consumer Rights Wiki bringt es auf den Punkt: Wenn ein Angreifer eine ausreichend schwere Lücke in einem Kernel-Anti-Cheat findet und die Software übernimmt, dann kann er Code mit höchsten Rechten ausführen. Damit umgeht er Schutzmechanismen des Betriebssystems und der Antiviren-Software gleich mit. Das ist kein theoretisches Schreckensszenario, sondern bereits passiert.

Das bekannteste Beispiel liefert Genshin Impact. Dessen Anti-Cheat-Treiber mhyprot2.sys wurde von Kriminellen missbraucht, um auf fremden Rechnern die Antiviren-Software abzuschalten und anschließend Ransomware zu verteilen. Der Treiber war signiert und galt als vertrauenswürdig, also nutzten ihn die Angreifer als legitimes Werkzeug für ihren Angriff. Ein zweites Beispiel ist Tower of Fantasy, dessen Treiber ksophon_x64.sys bei Nutzern Bluescreens mit der Fehlermeldung DPC_WATCHDOG_VIOLATION auslöste, und zwar selbst dann, wenn das Spiel gar nicht lief.

Wer das Ausmaß eines fehlerhaften Kernel-Treibers verstehen will, muss nur an den 19. Juli 2024 denken. An jenem Tag legte ein fehlerhaftes Update der Sicherheitsfirma CrowdStrike weltweit Windows-Systeme lahm. Ein einziger fehlerhafter Treiber in Ring 0 riss schätzungsweise 8,5 Millionen Maschinen in einen Bluescreen-Kreislauf. Flughäfen, Banken und Krankenhäuser standen still. Genau dieselbe Klasse von Software installieren Spiele heute freiwillig auf privaten Rechnern.

Vanguard, Tencent und die Dauerüberwachung

Bei Riot Vanguard kommt eine weitere Dimension hinzu, die über reine Sicherheit hinausgeht. Die Consumer Rights Wiki listet das System mit gleich drei Kernproblemen: Datenschutz, Kontrolle und Zugriff.

Zum Datenschutz hält die Wiki fest, dass Vanguard als Ring-0-Anti-Cheat Zugriff auf praktisch alles auf dem Rechner hat. Brisant wird das durch die Eigentümerstruktur. Riot Games gehört zum chinesischen Konzern Tencent. Die Wiki verweist in diesem Zusammenhang auf das chinesische Nationale Geheimdienstgesetz von 2017. Dessen Artikel 7 verpflichtet alle Organisationen und Bürger, die nationale Geheimdienstarbeit gemäß dem Gesetz zu unterstützen, zu fördern und mit ihr zu kooperieren. Die Wiki zieht daraus die Schlussfolgerung, dass ein chinesisches Unternehmen rechtlich gezwungen werden könnte, Daten oder Zugriff über Vanguard bereitzustellen.

Zum Punkt Kontrolle stellt die Wiki klar, dass Nutzer Vanguard ab dem Systemstart laufen lassen müssen, um überhaupt ein Riot-Spiel spielen zu können, und zwar auch dann, wenn sie gerade nicht spielen. Die Wiki betont außerdem, Vanguard sei der einzige Anti-Cheat, der durchgehend laufen müsse, und bezeichnet ihn als das invasivste derzeit eingesetzte System. Zwar lässt sich der Treiber vgk.sys manuell über das System-Tray beenden, doch danach ist zwingend ein kompletter Neustart des Rechners nötig, bevor man wieder spielen kann. Genau diese Gängelung zeigt, wie wenig Kontrolle dem Nutzer am Ende bleibt.

Besonders kritisch sieht die Wiki die technischen Folgen. Der dauerhaft laufende Treiber kann die Leistung selbst bei anderen Tätigkeiten mindern. Das erzwungene Firmware-Update kann die Hardware verlangsamen oder im Extremfall unbrauchbar machen. Dazu kommt ein dokumentierter Vorfall, bei dem Vanguard ein legitimes Spiel eines anderen Herstellers fälschlich als Cheat einstufte und blockierte. Hier zeigt sich die Machtfrage in aller Deutlichkeit. Eine Software mit Vollzugriff entscheidet darüber, welche anderen Programme überhaupt laufen dürfen.

Der Windows-Lock-in: Fortnite läuft nicht, obwohl es könnte

Damit kommen wir zum stärksten Souveränitäts-Argument. Denn dieselbe Technik, die Cheater nicht aufhält, sperrt ehrliche Linux-Nutzer konsequent aus. Das Paradebeispiel heißt Fortnite.

Seit September 2021 unterstützt Easy Anti-Cheat offiziell Linux über die Kompatibilitätsschichten Wine und Proton. Epic, also der Eigentümer von EAC, kündigte das selbst auf dem Blog der Epic Online Services an. Entwickler können diese Unterstützung mit wenigen Klicks im Entwicklerportal aktivieren. Die Technik ist vorhanden, getestet und einsatzbereit. Fortnite nutzt EAC. Es müsste also nur ein Schalter umgelegt werden.

Trotzdem läuft Fortnite bis heute nicht offiziell unter Linux. Epic-Chef Tim Sweeney bestätigte die Verweigerung mehrfach öffentlich. Seine Begründung:

Wir haben kein Vertrauen, dass wir Cheating im großen Maßstab unter einer breiten Palette von Kernel-Konfigurationen, einschließlich eigener, bekämpfen könnten.

Tim Sweeney, CEO Epic Games, Februar 2022 (sinngemäße Übersetzung)

Diese Aussage ist der Kern des Lock-ins. Ein Unternehmen, das die Lösung selbst entwickelt hat, weigert sich, sie für sein eigenes Spiel zu nutzen.

Die Argumentation klingt zunächst nach Sorgfalt. Bei näherer Betrachtung kollabiert sie jedoch. Erstens läuft auf Windows trotz EAC bereits massenhaft Cheating, wie die Turnier-Analysen oben zeigen. Linux-Unterstützung würde also kein neues Cheat-Problem erschaffen, sondern Millionen ehrliche Spieler endlich legitim ins Spiel lassen. Zweitens widerspricht sich Sweeney selbst, wenn er den Linux-Markt einerseits als zu klein abtut und andererseits als zu große Bedrohung darstellt. Beides zugleich kann nicht stimmen.

Linux ist kein Sicherheitsproblem, sondern ein politisches

Die Verweigerung trifft nicht nur Fortnite, sondern ist Teil eines Musters. Die Consumer Rights Wiki dokumentiert, dass kernelbasierter Schutz auf GNU/Linux-Systemen häufig schlicht nicht funktioniert. Manche Hersteller arbeiten an Kompatibilität über Proton oder Wine. Andere blockieren Linux aber aktiv, selbst wenn der Nutzer das Spiel bezahlt hat.

Die Beispiele sind eindeutig. Das stärkste Lehrstück liefert Rockstars Grand Theft Auto V. Im September 2024, ganze elf Jahre nach dem Release von 2013, rüstete Rockstar GTA Online nachträglich auf den Kernel-Anti-Cheat BattlEye um. Über Nacht wurde das Spiel auf dem Steam Deck und unter Linux unspielbar, obwohl es zuvor über Proton funktioniert hatte. Das Bittere daran: BattlEye unterstützt Linux und Proton offiziell, und die Aktivierung erfordert laut Consumer Rights Wiki lediglich eine E-Mail an die BattlEye-Entwickler. Rockstar entschied sich bewusst dagegen, diesen minimalen Schritt zu gehen, und schob die Schuld in seiner Support-FAQ stattdessen auf Valves Steam Deck. Valve erstattete daraufhin einigen betroffenen Linux- und Steam-Deck-Nutzern den Kaufpreis. Hier wird der Lock-in besonders greifbar, denn bezahlte Spieler verloren rückwirkend den Zugriff auf einen Modus, der für sie zuvor lief.

Das Muster wiederholt sich bei anderen Titeln. Ubisofts Rainbow Six Siege sperrt Linux-Spieler ebenfalls aus, obwohl sie bezahlt haben. Beim Spiel Diabotical sperrten die Entwickler Linux-Nutzer sogar offen vom reinen Online-Titel aus, mit der Begründung, ihr Linux-Anti-Cheat sei zu schwach. Die Empfehlung lautete sinngemäß, einfach Windows zu nutzen wie der Rest der Bevölkerung.

Genau das ist der springende Punkt. Hier geht es nicht um eine technische Grenze, sondern um eine politische Entscheidung. Anti-Cheat lässt sich auf Linux betreiben, das beweist Valve mit dem Steam Deck und unzähligen EAC-Spielen, die unter Proton laufen. Wenn ein Hersteller diese Möglichkeit verweigert, dann zementiert er damit den Windows-Lock-in. Der Spieler verliert die Wahlfreiheit über sein Betriebssystem, und das ausgerechnet wegen einer Software, die nachweislich keine Cheater aufhält.

Aus Sicht der digitalen Souveränität ist das fatal. Wer Linux nutzt, entscheidet sich bewusst für ein offenes, prüfbares System und gegen die Abhängigkeit von einem einzelnen Konzern. Kernelbasierter Anti-Cheat bestraft diese Entscheidung. Er macht ein quelloffenes Betriebssystem zum Spieler zweiter Klasse, obwohl der Ausschluss keinerlei Sicherheitsgewinn bringt.

Das Steam Deck beweist, dass es funktioniert

Wer noch zweifelt, ob Linux-Gaming mit Anti-Cheat überhaupt machbar ist, muss nur auf Valves Steam Deck schauen. Dieses Handheld ist im Kern ein Linux-PC und nutzt dieselbe Proton-Kompatibilitätsschicht, die auch auf dem Desktop läuft. Valve hat gemeinsam mit den Anti-Cheat-Anbietern erhebliche Arbeit investiert, damit EAC und BattlEye unter Proton funktionieren. Genau diese Arbeit war es, die Epic 2021 mit den wenigen Klicks im Entwicklerportal nutzbar machte.

Das Ergebnis kann sich sehen lassen. Zahlreiche populäre Titel mit EAC laufen heute problemlos auf dem Steam Deck und auf gewöhnlichen Linux-Distributionen. Apex Legends, Fall Guys und viele weitere Spiele zeigen, dass kompetitives Online-Gaming mit Anti-Cheat auf einem offenen Betriebssystem keine Utopie ist, sondern gelebte Realität. Der Linux-Marktanteil bei Steam erreichte zuletzt neue Höchstwerte, getragen vom Erfolg des Steam Deck, das sich millionenfach verkauft hat.

Vor diesem Hintergrund wirkt die Fortnite-Verweigerung noch absurder. Während Valve und viele Studios beweisen, dass es geht, blockiert ausgerechnet der Eigentümer von EAC sein eigenes Vorzeigespiel. Die technische Grundlage liegt fertig vor, der Schalter wäre umgelegt in Minuten, und trotzdem bleibt die Tür zu. Das ist kein technisches, sondern ein gewolltes Hindernis.

Für die digitale Souveränität ist das Steam Deck deshalb mehr als ein Gerät. Es ist ein Beweisstück. Es widerlegt das Narrativ, Linux und kompetitives Gaming passten nicht zusammen. Wo der Wille vorhanden ist, funktioniert die Technik. Wo Spiele Linux trotzdem aussperren, steckt eine Entscheidung dahinter, kein Naturgesetz. Und Entscheidungen lassen sich ändern, etwa durch Druck der Community, durch bewusste Kaufentscheidungen und durch Petitionen, von denen es zu Fortnite längst mehrere gibt.

Warum geschlossener Kernel-Code das Vertrauen untergräbt

Ein weiterer Aspekt verdient Aufmerksamkeit. Vanguard und vergleichbare Systeme sind closed source. Riot veröffentlichte den Code bewusst nicht, um Cheat-Entwicklern keinen direkten Einblick zu geben. Das ist nachvollziehbar, hat aber eine Kehrseite. Denn dadurch kann niemand außerhalb des Unternehmens prüfen, was die Software auf dem eigenen Rechner tatsächlich tut.

Nutzer müssen also blind darauf vertrauen, dass ein dauerhaft laufender Treiber mit Vollzugriff sich genau so verhält, wie der Hersteller behauptet. Sie können weder den Datenverkehr noch das Verhalten der Software auf Kernel-Ebene wirklich kontrollieren. Die Consumer Rights Wiki hält fest, dass Nutzer keine Möglichkeit haben zu überprüfen, ob und wann dieser Zugriff genutzt wird. Bei einer normalen Anwendung in Ring 3 wäre das ärgerlich. Bei Software in Ring 0 ist es ein grundsätzliches Risiko.

Riot kontert mit dem Hinweis auf externe Sicherheitsaudits und darauf, dass der Treiber sich nicht ohne Auslösen von Schutzmechanismen aus der Ferne aktivieren oder verändern lasse. Diese Zusicherungen mögen aufrichtig sein. Trotzdem bleiben sie bloße Behauptungen, solange der Code geschlossen ist. Vertrauen ohne Prüfmöglichkeit ist keine Sicherheit, sondern Hoffnung.

Genau deshalb ist die Frage nach offener, prüfbarer Software mehr als ideologische Spielerei. Wer einem geschlossenen Kernel-Treiber die Schlüssel zum System überlässt, verlagert die Kontrolle über die eigene Maschine an einen Dritten. Bei einem Unternehmen mit der beschriebenen Eigentümerstruktur wiegt dieser Kontrollverlust besonders schwer.

Was tatsächlich gegen Cheater hilft

An dieser Stelle ist Kritik allein zu wenig. Deshalb folgt der Blick auf die Alternativen, denn die existieren durchaus. Das Cheat-Problem ist real, nur die gewählte Antwort ist falsch.

Der wichtigste Ansatz ist serverseitige Erkennung. Sie läuft nicht auf dem Rechner des Spielers, sondern auf den Servern des Anbieters, und lässt die Maschine des Nutzers unangetastet. Dort analysiert sie das Verhalten, also Zielbewegungen, Reaktionszeiten oder unmögliche Informationsvorteile. Das Entscheidende: Ein DMA- oder Hypervisor-Cheat liest zwar unsichtbar Speicher aus, aber er erzeugt am Ende trotzdem auffälliges Verhalten im Spiel. Genau das kann der Server erkennen, ganz ohne Zugriff auf den Kernel des Spielers.

Hinzu kommen statistische Erkennung, maschinelles Lernen auf Telemetriedaten und konsequente Meldesysteme. Die Consumer Rights Wiki weist außerdem darauf hin, dass andere Anbieter in der Branche durchaus in der Lage sind, Bots und Cheater zu sperren und sogar Hardware-Banns zu verhängen, und das ohne kernelbasierten Schutz, der auch dann läuft, wenn ihre Spiele gar nicht gestartet sind. Die Behauptung, nur der Kernel-Mode könne das leisten, ist damit widerlegt.

Keine dieser Methoden ist perfekt. Aber das ist kernelbasierter Schutz eben auch nicht, wie die Turnier-Cheats und Riots eigenes Eingeständnis beweisen. Der Unterschied liegt im Preis. Serverseitige Erkennung kostet keinen ehrlichen Spieler die Kontrolle über seinen Rechner, keine Linux-Wahlfreiheit und keinen Schlaf wegen eines dauerhaft laufenden Treibers mit Vollzugriff.

Fazit: Ein hoher Preis für null Schutz

Fassen wir zusammen. Kernel-Level-Anti-Cheat verspricht Sicherheit, liefert sie aber nicht. Cheater gewinnen weiterhin Turniere mit echtem Preisgeld, wie Justa Beast Video für Video dokumentiert. DMA-Karten lesen den Speicher an der Software vorbei aus, Hypervisor-Cheats setzen sich unter den Kernel, und Riot räumt selbst ein, dass eine einzige Firmware-Lücke die gesamte DMA-Abwehr aushebelt. Der tiefste Eingriff in das System bringt also keinen verlässlichen Vorteil gegen die Angreifer, gegen die er angeblich gerichtet ist.

Gleichzeitig ist der Preis enorm. Ein Ring-0-Treiber ist ein Einfallstor, wie die Fälle Genshin Impact und Tower of Fantasy zeigen und wie der weltweite CrowdStrike-Ausfall in beängstigender Größe vorgeführt hat. Bei Vanguard kommen die dauerhafte Laufzeit, geschlossener Code und die Tencent-Eigentümerschaft hinzu. Der ehrliche Spieler bezahlt mit Kontrolle, Privatsphäre und im Zweifel mit seiner Hardware, während der Betrüger ungestört weitermacht.

Am deutlichsten wird der Widersinn bei Fortnite. Die Linux-Unterstützung von EAC existiert seit 2021 und ließe sich mit wenigen Klicks aktivieren. Epic verweigert das aus Gründen, die der eigenen Praxis widersprechen, denn auf Windows läuft das Cheating trotz EAC munter weiter. Übrig bleibt ein reiner Lock-in, der ehrliche Nutzer eines offenen Betriebssystems ausschließt, ohne irgendjemanden sicherer zu machen.

Die ehrliche Schlussfolgerung lautet daher: Kernel-Level-Anti-Cheat und der damit verbundene Windows-Zwang sind kein Sicherheitswerkzeug, sondern ein Machtinstrument. Wer digitale Souveränität ernst nimmt, sollte Spiele meiden, die diesen Eingriff verlangen, und Anbieter belohnen, die auf serverseitige Erkennung und echte Plattformfreiheit setzen. Cheater bekämpft man nicht, indem man ehrliche Spieler entmündigt.


Quellen

Avatar-Foto

Von CrazyModding

Seit 2003 bin ich, in der IT-Branche tätig. Als leidenschaftlicher Verfechter von Open Source und dem Recht auf Reparatur bringe ich meine Expertise und mein Engagement in die Online-Community ein. Als Nerd im Herzen und zu Hause im Internet, bin ich ständig dabei, neue Projekte zu entwickeln und zu erkunden. Als Maker und Bastler habe ich eine breite Palette von Interessen. Von der Heimautomatisierung bis zur Programmierung von Arduino, meine Neugier und mein Einfallsreichtum kennen keine Grenzen.