Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Sicherheit contra Offenheit – ein Kommentar zu Secure Boot

Secure Boot ist kompliziert, frickelig und wird von Microsoft dominiert. Stattdessen brauchen wir offene sichere Systeme, meint Christof Windeck.

In Pocket speichern vorlesen Druckansicht 45 Kommentare lesen
Bild mit Schriftzug "Kommentar". Dahinter ist ein Chip zu sehen mit roter Overlay-Grafik, die vor einem "Security Alert" warnt.

(Bild: Shutterstock / Skorzewiak)

Lesezeit: 2 Min.
c't Magazin
Von

Ach, wie schön wars früher: Da konnte man auf jedem beliebigen PC jedes beliebige Betriebssystem installieren. An Sicherheit von BIOS und Bootloader verschwendeten wir dabei kaum Gedanken.
Ein Kommentar von Christof Windeck

Christof Windeck ist leitender Redakteur im Hardware-Ressort von c’t. Der Elektrotechniker schreibt seit 1999 über Prozessoren, PC-Komponenten, Server, Rechenzentren, Embedded Systems, Firmware und Security. Christof Windeck (Kürzel ciw) betreut auch die c’t-Kolume Bit-Rauschen und den zugehörigen Podcast.

Doch der Anfang 2023 enttarnte Angriff BlackLotus zeigt: Unsichere Bootloader sind ein Problem. Denn die Angreifer wurden nicht nur mehr, sondern auch professioneller. Und hinter manchen stecken mächtige Organisationen: Erpresserbanden verteilen Ransomware, autoritäre Staaten attackieren verhasste Demokratien. Vor allem aber führt die Digitalisierung dazu, dass ohne Computer fast nichts mehr funktioniert. Unsere Rechner wurden immer wichtiger und dadurch als Angriffsziele attraktiver.

Das perfekte Chaos

Das Bootkit BlackLotus löst nun tiefgreifende Veränderungen aus: Sowohl Microsoft als auch die Linux-Community führen jeweils eigene Schutzmaßnahmen ein, zusätzlich zu UEFI Secure Boot. Sie blockieren ungepatchte Bootloader, was sich unter anderem auf ältere Image-Backups, Installationsmedien, Recovery-Partitionen und Tools auswirkt. Das Chaos ist perfekt.

UEFI Secure Boot zeigt, wie man es nicht machen sollte: Sicherheit wurde nicht von Anfang an mitgedacht, sondern später drangefrickelt. Das Verfahren ist kompliziert, die Dokumentation hanebüchen, die Schlüsselgewalt liegt de facto in den Händen eines einzigen Unternehmens: Microsoft.

Das ungelöste Kernproblem ist die Hoheit über den Hauptschlüssel für Secure Boot. Denn es gibt keine internationale, offene und demokratisch verwaltete Institution, die allseits Vertrauen verdient. In diese Bresche springt Microsoft und schafft Fakten. Wer soll es sonst machen – die CPU-Hersteller AMD und Intel? Ein Industriegremium? Eine staatliche Institution?

Nachteil für offene Betriebssysteme

Apple und Google lachen sich ins Fäustchen: Sie verdongeln ihre jeweiligen Plattformen mit proprietären Sicherheitschips. Alternative Betriebssysteme laufen gar nicht oder mit ungeschütztem Bootloader. Kein Wunder, dass Microsoft mit dem Sicherheitscontroller Pluton denselben Pfad einschlägt.

Auf lange Sicht drohen offene Betriebssysteme ins Hintertreffen zu geraten: Wer nicht sicher booten kann, wird zweite Wahl. Es ist höchste Zeit, über offene und gleichzeitig sichere Systeme nachzudenken, deren Hauptschlüssel nicht eine einzige Firma bunkert.

(ciw)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten