Was ist Secure Boot?
Secure Boot ist eine Sicherheitsfunktion, die in die UEFI-Firmware eingebaut ist und sicherstellt, dass beim Startvorgang des Computers ausschließlich digital signierte, vertrauenswürdige Software ausgeführt werden darf. Indem Secure Boot die kryptografischen Signaturen des Bootloaders und des Betriebssystem-Kernels vor dem Laden überprüft, verhindert es Bootkits und Rootkits – besonders raffinierte Malware-Formen, die sich in den Startablauf einbetten, bevor das Betriebssystem und die Antivirensoftware sie erkennen können. Secure Boot ist eine Pflichtvoraussetzung für Windows 11 und eine empfohlene Sicherheitsbasis für jeden modernen PC; es bietet eine grundlegende Schutzebene, die aktiv ist, bevor das Betriebssystem überhaupt gestartet ist.
Im Detail
Wie Secure Boot funktioniert
Beim Drücken des Einschaltknopfs initialisiert die UEFI-Firmware und beginnt mit dem Laden des Bootloaders – des Programms, das für den Start des Betriebssystems zuständig ist. Mit aktiviertem Secure Boot überprüft die Firmware die digitale Signatur des Bootloaders anhand einer Datenbank vertrauenswürdiger Zertifikate (typischerweise von Microsoft und dem PC-Hersteller). Stimmt die Signatur mit einem vertrauenswürdigen Zertifikat überein, läuft der Startvorgang normal weiter. Fehlt die Signatur, ist sie ungültig oder stimmt mit einem widerrufenen Zertifikat überein, blockiert die Firmware das Laden des Bootloaders und zeigt eine Fehlermeldung an. Diese Vertrauenskette erstreckt sich von der Firmware über den Bootloader bis zum OS-Kernel und schafft so eine verifizierte Startsequenz.
Zusammenspiel mit dem TPM
Secure Boot arbeitet Hand in Hand mit dem Trusted Platform Module (TPM) für umfassende Sicherheit beim Startvorgang. Während Secure Boot sicherstellt, dass nur vertrauenswürdige Software geladen wird, erfasst das TPM kryptografische Messwerte (Hash-Werte) jeder Startphase und speichert sie in seinen Platform Configuration Registers. Diese Messwerte lassen sich mit bekannten Sollwerten vergleichen, um Manipulationen zu erkennen. Windows BitLocker-Laufwerk-Verschlüsselung nutzt sowohl Secure Boot als auch TPM: Das TPM gibt die Datenträgerverschlüsselungsschlüssel nur frei, wenn die Startprozess-Messwerte den erwarteten Werten entsprechen – und verhindert so Datenzugriff auf einem manipulierten System.
Secure Boot und Windows 11
Microsoft hat Secure Boot und TPM 2.0 zu Pflichtanforderungen für Windows 11 gemacht und damit ein klares Bekenntnis zu hardwareverankerter Sicherheit gesetzt. Die meisten nach 2015 produzierten PCs unterstützen Secure Boot, doch die Funktion ist in den UEFI-Einstellungen möglicherweise standardmäßig deaktiviert. Den Secure-Boot-Status lässt sich unter Windows mit dem Systeminformations-Tool (msinfo32) prüfen – der Eintrag „Secure Boot-Status" zeigt den aktuellen Zustand. Steht dort „Deaktiviert", kann Secure Boot in den UEFI-Firmware-Einstellungen (über eine Taste wie F2 oder Entf beim Start) aktiviert werden.
So wählst du richtig
1. Aktuellen Secure-Boot-Status prüfen
Unter Windows den Ausführen-Dialog öffnen, „msinfo32" eingeben und den Eintrag „Secure Boot-Status" prüfen. Steht dort „Aktiviert", ist das System geschützt. Steht dort „Deaktiviert" oder „Nicht unterstützt", die UEFI-Einstellungen aufrufen, um die Funktion zu aktivieren. Der Vorgang variiert je nach Mainboard-Hersteller, findet sich aber typischerweise unter dem Menüpunkt „Sicherheit" oder „Start".
2. Linux-Kompatibilität prüfen
Wichtige Linux-Distributionen wie Ubuntu, Fedora und SUSE unterstützen Secure Boot von Haus aus mit Microsoft-signierten Bootloadern (shim). Bei weniger verbreiteten Distributionen oder angepassten Kerneln kann es notwendig sein, einen Machine Owner Key (MOK) manuell einzutragen. Wer Linux neben Windows als Dual-Boot betreiben möchte, sollte vorab sicherstellen, dass die gewählte Distribution Secure Boot unterstützt, um Boot-Konflikte zu vermeiden.
3. Unterstützung beim Kauf eines neuen PCs bestätigen
Jeder neue PC eines namhaften Herstellers sollte sowohl Secure Boot als auch TPM 2.0 unterstützen. Wer einen Custom-PC zusammenstellt, sollte trotzdem überprüfen, ob die UEFI-Firmware des Mainboards Secure Boot bietet. Budget-Mainboards lassen diese Funktion gelegentlich weg oder schränken sie ein – die Spezifikationen vor dem Kauf prüfen.
Fazit
Secure Boot ist eine der wichtigsten und zugleich unsichtbarsten Sicherheitsfunktionen moderner PCs. Es bewacht den Startvorgang und stellt sicher, dass ausschließlich verifizierte, vertrauenswürdige Software ausgeführt wird, bevor das Betriebssystem die Kontrolle übernimmt. In Kombination mit dem TPM entsteht eine hardwareverankerte Vertrauenskette, die vor einigen der gefährlichsten und am schwersten zu erkennenden Malware-Formen schützt. Prüfe, ob Secure Boot auf deinem System aktiviert ist, stelle Kompatibilität bei neuer Hardware oder Linux-Installationen sicher – und schätze diesen stillen Wächter, der bei jedem Einschalten im Hintergrund arbeitet.