Secure Boot ist eine Sicherheitsfunktion moderner UEFI-Firmware, die verhindert, dass beim Start des Computers nicht autorisierte oder manipulierte Software geladen wird. Nur digital signierte Bootloader werden zugelassen – so wird der Bootvorgang vor Schadsoftware geschützt.
Wie funktioniert Secure Boot?
- Teil des UEFI-Standards (Nachfolger des BIOS)
- Prüft, ob die Bootloader und Betriebssystemdateien eine gültige Signatur besitzen
- Startet nur, wenn die Signaturen von vertrauenswürdigen Herausgebern stammen
- Verhindert das Starten von Rootkits und Bootkits
Einsatz und Unterstützung
- Standardmäßig aktiviert auf neuen Windows-Rechnern seit Windows 8
- Pflichtvoraussetzung für Windows 11
- Linux-Distributionen wie Ubuntu, Fedora und Debian bieten Unterstützung für Secure Boot
Probleme und Einschränkungen
- Bei nicht signierten Betriebssystemen (z. B. ältere Linux-Images) muss Secure Boot deaktiviert werden
- Dual-Boot-Systeme können bei aktiviertem Secure Boot zusätzliche Konfiguration erfordern
- Manipulierte UEFI-Firmware kann Sicherheitsmechanismen umgehen – daher auch UEFI-Updates wichtig
Sicherheitsvorteile
- Schützt vor Malware, die sich vor dem Betriebssystem einnistet
- Verhindert ungewollte Änderungen am Bootloader (z. B. durch Ransomware)