Secure-Boot: Massenhaft Startverbote für Bootloader spätestens ab Oktober 2024

Secure Boot hat Konstruktionsfehler. Microsofts Versuche, die Folgen auszugleichen, funktionieren nicht korrekt und führt zu Schwierigkeiten.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 76 Kommentare lesen
Eine Beschreibung des Aufmachers würde helfen, die Titelzeilen einzuschätzen. Das Bild zeigt ein leckgeschlagenes "Secure-Boot", richtig?, Michael Vogt

(Bild: Michael Vogt)

Lesezeit: 24 Min.
Von
  • Axel Vahldiek
Inhaltsverzeichnis

Schon in wenigen Wochen oder Monaten bootet Ihr Windows-PC möglicherweise nicht mehr wie gewohnt vom USB-Stick. Auch ein parallel installiertes Windows oder ein wiederhergestelltes Image starten vielleicht nicht mehr. Denn Microsoft baut Schutzfunktionen gegen manipulierte Bootloader massiv um.

Der Hintergrund: Um Viren, Trojaner, Würmer und andere Schädlinge auszubremsen, hat Windows zwar diverse Werkzeuge an Bord. Die haben jedoch alle gemeinsam, dass das Betriebssystem erst mal laufen muss, damit sie greifen können. Es existieren jedoch ausgefeilte Schädlinge, die sich im Bootloader einnisten. Dadurch werden sie direkt nach dem Einschalten des PCs bereits aktiv, während das Betriebssystem noch hochfährt. Solche Bootkits können Hard- und Software gleichermaßen kontrollieren und sich so gut vor Erkennung schützen, dass alle danach gestarteten Werkzeuge faktisch chancenlos sind. Nur mit einem von einem externen Laufwerk gebooteten Rettungsmedium wie Desinfec’t oder dem c’t-Notfall-Windows haben Sie dann noch eine Chance, so einem Schädling auf die Spur zu kommen.

Mehr zu IT-Security

Als Ausweg wurde vor vielen Jahren "UEFI Secure Boot" erdacht: Das ist grob zusammengefasst eine BIOS-Funktion, die sicherstellen soll, dass nur Bootloader starten dürfen, die als vertrauenswürdig gelten. Ob Secure Boot auf einem Windows-PC aktiv ist, erfahren Sie am schnellsten, wenn Sie die Windows-Taste drücken und "msinfo32" eintippen, bis der Suchtreffer "Systeminformation" erscheint. Die Zeile "Sicherer Startzustand" verrät, ob Secure Boot an oder aus ist.

Das war die Leseprobe unseres heise-Plus-Artikels "Secure-Boot: Massenhaft Startverbote für Bootloader spätestens ab Oktober 2024". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.