Was ist Secure Boot?
Dieser Beitrag erklärt Dir Secure Boot und wie Du effektiv Deinen Daten schützen kannst.
Starten wir!
Was passiert beim Hochfahren mit Secure Boot?
Das Hochfahren (Booting) unter Windows ist nicht so trivial der Nutzer klickt auf einen Button und sieht das Logo des Herstellers / von Windows. Innerhalb der wenigen Sekunden Hochfahr-Zeit durchläuft der Computer eine 7 schrittigen Prozess, der kein Selbstverständnis ist:
1. Die Macht des Knopfes
Du klickst auf dem Start-Knopf auf Dein Laptop oder PC, welcher den Boot-Prozess auslöst und das Netzteil befeuert die CPU mit Strom.
2. Aufwärmen – Aber was zuerst?
Zuerst lädt nicht das Windows, sondern eine Basic Input und Output System (BIOS), welches als Software (Firmware) in die Hauptplatine (Mainboard) eingebrannt ist. Diese Firmware löst das Problem, dass die zentrale Recheneinheit (CPU) Software braucht, um den Speicher auszulesen, auf dem die Software steht?!?
3. Der Rund-um-Checkup
Das BIOS System überprüft, ob alle Komponenten im Computer richtig funktionieren, bevor das System gestartet wird (Power on Self Test). Falls ein Idiot das System falsch zusammengebaut hat, soll das BIOS davor warnen.
Außerdem kann an ein Computer an vielen Stellen an Altersschwäche oder Übernutzung leiden. Das BIOS verhindert weiteren Schaden und warnt den Nutzer.
BIOS oder UEFI – Das BIOS hat in der Regel keine Möglichkeit die Vertrauenswürdigkeit des Bootprozesses zu überwachen. Ein UEFI, die neuere Alternative, kann das. Außerdem ermöglicht die UEFI Firmware einfachere Aktualisierungen.
4. Booten ja, aber von was?
Das Betriebssystem liegt auf einer Festplatte.
Diese kann mehrere Betriebssysteme oder Datei-Partitionen mit verschiedenen Dateisystemen beinhalten. Am Beginn jeder Festplatte steht deshalb ein Inhaltsverzeichnis, den Master Boot Record).
Der Windows Boot Manager erlaubt es Dir, zwischen verschiedenen Betriebssystemen zu wählen. Beim Speichern booten führt der Computer nur signierten Code aus. Die Hersteller signieren Code mit einer Certificate Authority. Lese dazu diesen Beitrag. Wenn das System eine Änderung feststellt (Hash-Summenbildung), dann bootet das System nicht weiter.
5. Das erste Laden
Der Bootloader lädt das Betriebssystem in den Hauptspeicher (RAM) von der Festplatte.
Bei diesem Schritt lädt der Computer nur den Kernel Ntoskrnl.exe, die Kernkomponente, in den Hauptspeicher, und „Hardware Abstraction Layer“ (HAL), Hal.dll. Der Kernel selbst fängt dann an den Rest des Betriebssystems zu laden. Die Software „Hardware Abstraction Layer“ ist die Kommunikationsschnittstelle zwischen Hardware und Software. Der Sicherheitschip im Computer (TPM) überwacht, was der Computer startet (Hash-Summenbildung).
6. Treiber und 7. Anmeldung
Das Betriebssystem lädt die Treiber für die Geräte, welche in dem System verbaut sind. Die Services kommen hinzu. Ein Treiber ist eine spezielle Software, welche eine Art Bedienungsanleitung für das Betriebssystem ist. Im Gegensatz zu Apple unterstützt Windows sehr viel Hardware. Damit diese Hardware läuft, braucht das System eine Erklärung, wie das System die Hardware ansprechen kann.
Der Anmeldebildschirm erscheint.
Quelle: https://automateinfra.com/2021/11/09/windows-boot-process-step-by-step/
Wo kann ich Secure Boot aktivieren?
Direkt nach dem Drücken auf den Startknopf musst Du auf das BIOS betreten. Das geht mit dem wiederholten Drücken F12, F2 oder anderen Tasten je nach Mainboard / Laptophersteller. Du navigierst zum Abschnitt Boot mit den Pfeiltasten (oder der Maus) und wählst Secure Boot aus. Starte den PC neu und es ist aktivert.
Secure Boot bei Linux
Secure Boot ist mit Linux möglich. Die Frage ist nur wie aufwendig der Installationsprozess ist. Der Github User Jaib77 hat für ElementaryOS, eine Ubuntu / Debian Ableger eine Zusammenstellung erstellt, wie eine Installation aussehen könnte.
Im Gegensatz zu Windows ist Linux kein Plug-and-Play. Microsoft hat mit den Mainboard-Entwicklern zusammen das UEFI entwickelt. Microsoft hat gleich ihre Schlüssel auf jedem UEFI Mainboard einbrennen lassen.
Secure Boot bei macOS
Apple setzt auf ein sehr ähnliches System:
1. Der Apple T2 Sicherheitschip ist vergleichbar mit dem TPM Chip bei Windows / Linux Computern. Diese startet die erforderlichen Komponenten
2. T2 überwacht das Laden des Betriebssystems (Bootloader). Dieser verifiziert die Datei mit den gleichen Methoden. Apple kann bei diesem Vorgang noch genauer sein, weil sie nur Komponenten erlaubt, welche von Werk aus eingebaut sind. Fremdkomponenten können zu Probleme führen. Da Apple Hardware und Software zur Verfügung stellt, haben diese mehr Kontrolle.
3. Das System zeigt den Anmeldebildschirm an.
Warum reicht nicht ein Windows-Passwort aus?
Wenn Du eine normale Installation durchführst, dann kannst Du einfach die Festplatte ausbauen und die Daten mit einem anderen Betriebssystem auslesen. Ist das nicht fahrlässig von Microsoft? Nein. Die meisten Privat-Nutzer haben ihre PCs zu Hause stehen, welche dort „physisch“geschützt sind. Die Gefahr lauert aus dem Internet. Gegen die Bedrohung hat Microsoft mehrere Sicherheitsmechanismen gebaut.
Warum ist die Festplatte nicht gegen Zugriff gesichert? Bei einem Systemfehler (kaputtes Windows Update oder sonstige Fehler, kann der Nutzer noch die Daten auf der Festplatte wie einem USB-Stick auslesen. Wer Angst hat, dass jemand den physischen Zugriff auf den Computer missbrauchen kann, sollte immer die Secure Boot im Verbindung mit einer Vollverschlüsselung verwenden. Bei Laptops ist das Pflicht und viele Hersteller aktivieren diese Funktion von Beginn an.
4 Bonus Tipps für mehr Schutz
1. Keine Chance -Back Cover Temper Detection
Die Computer Hersteller haben sich noch weitere Methoden einfallen lassen, um Datendiebstahl zu verhindern. Bei Thinkpads gibt es eine Rückseitenöffnungserkennung (back cover temper detection). Das bedeutet, dass die Festplatte gelöscht wird, sobald ein Angreifer versucht die Rückseite des Laptops zu öffnen. Der Sensor gibt ein Signal an die Firmware, welche den Selbstzerstörungsmodus ausführt.
2. Weiteres Hindernis – BIOS Passwort
Damit ein Angreifer nicht einfach ein alternatives Betriebssystem starten kann, kannst Du das BIOS bei manchen Geräten Passwort schützen lassen. Der Nutzer gelangt nicht in das Bootmenu, sondern startet immer im gleichen Betriebssystem. Bei einigen Herstellern gibt es Methoden diese zurückzusetzen, in dem man die Batterie kurz entfernt und wieder montiert.
3. Festplatten Passwort
Das BIOS erlaubt das Setzen eines Boot-Passworts. Vor dem Hochfahren fragt Dich das BIOS nach dem Code für die Festplatte. Genauso wie beim BIOS-Passwort gibt es Umgehungen, welche diese Passwörter zurücksetzen lassen können.
4. Ruhig schafen mit Vollverschlüsselung
Wer eine Vollverschlüsselung der Festplatte vornimmt verwendet Bitlocker für Windows, LUKS für Linux oder FileVault für macOS. Diese Systeme gelten als sicher, solange der Computer aus ist. Wenn Du Dein Gerät ohne Login-Speere in einem Straßenkaffee stehen lässt, dann sind alle Vorsichtsmaßnahmen umsonst.