UEFI und Secure Boot für Einsteiger: Alles, was du wissen musst

Zuletzt aktualisiert am 27. Mai 2024 von Lars

UEFI und Secure Boot: UEFI (Unified Extensible Firmware Interface) ist der Nachfolger des traditionellen BIOS und bietet zahlreiche Vorteile, die das Systemmanagement und die Hardwaresteuerung verbessern. Mehr dazu und zu der Funktion Secure Boot erfährst du in diesem Artikel.

Was ist UEFI?

UEFI ist eine Schnittstelle zwischen dem Betriebssystem und der Firmware deines Computers. Es ersetzt das ältere BIOS (Basic Input/Output System) und bietet eine modernere, flexiblere und sicherere Umgebung für die Interaktion mit der Hardware.

Vorteile von UEFI gegenüber BIOS

• Grössere Festplattenunterstützung: UEFI unterstützt Festplatten grösser als 2 TB.
• Schnelleres Booten: Durch effizientere Abläufe und bessere Hardware-Initialisierung verkürzt UEFI die Bootzeit erheblich.
• Grafische Benutzeroberfläche: Im Gegensatz zu BIOS, das meist nur Textmodus unterstützt, bietet UEFI in der Regel eine grafische Benutzeroberfläche, die einfacher zu bedienen ist. Eine Maussteuerung ist in der Regel möglich.
• Sicherer Start (Secure Boot): UEFI unterstützt Secure Boot, eine Sicherheitsfunktion, die verhindert, dass nicht autorisierte Betriebssysteme und Software geladen werden.

Grundlegende Funktionen von UEFI

• Boot Manager: UEFI verfügt über einen eingebauten Boot Manager, der mehrere Betriebssysteme und Boot-Optionen verwalten kann.
• Treiberunterstützung: Im Gegensatz zu BIOS kann UEFI Treiber direkt laden, was die Unterstützung neuerer Hardware verbessert.
• Netzwerkfunktionen: UEFI kann Netzwerkverbindungen initialisieren und darüber sogar Betriebssysteme laden.

Was ist Secure Boot?

Secure Boot oder manchmal auch "Sicherer Start" ist eine Sicherheitsfunktion von UEFI, die sicherstellt, dass nur vertrauenswürdige Software beim Start des Computers geladen wird. Es prüft die sogenannte digitale Signatur von Bootloadern und Betriebssystemen, bevor sie ausgeführt werden, um sicherzustellen, dass sie nicht manipuliert oder durch Schadsoftware ersetzt wurden.

Funktionsweise von Secure Boot

Beim Start des Computers überprüft UEFI die Signatur jedes Bootloaders und jeder Firmware-Komponente.
Nur signierte und von vertrauenswürdigen Zertifizierungsstellen autorisierte Software wird ausgeführt.
Dadurch wird verhindert, dass schädliche Software oder Rootkits den Bootprozess übernehmen.

Offizielle Boot-Medien von vertrauenswürdigen Herstellern sind in der Regel mit einer passenden Signatur ausgestattet, sodass es hier zu keinen Problemen kommen sollte.

Für einige Betriebssysteme, wie zum Beispiel Windows 11, muss Secure Boot sogar zwingend eingeschaltet sein.

Secure Boot bietet jedoch keine absolute Sicherheit. Schwachstellen wurden zum Beispiel vom sogenannten BlackLotus-Bootkit ausgenutzt. Um die Lücke zu schliessen, erklärt Microsoft auch bald (Stand Mai 2024) rückwirkend ältere Schlüssel einst als sicher geltender Boot-Medien für unwirksam. Dies ist nicht unproblematisch, da mit dem Update auch Schlüsselwerte in die UEFI-Firmware geschrieben werden und nicht alle Hersteller das problemlos unterstützen. Mehr dazu in den folgenden 2 Artikeln:

• Nächster Akt im Secure-Boot-Drama: Startverbot für alle (!) Windows-Bootloader
• KB5025885: Verwalten der Windows-Start-Manager-Sperrungen für Secure Boot-Änderungen im Zusammenhang mit CVE-2023-24932

Was ist das Blacklotus Bootkit?

BlackLotus ist eine gefährliche Sicherheitslücke, die es ermöglicht, den Secure Boot-Schutz von Computern zu umgehen und bösartige Software noch vor dem Start des Betriebssystems zu laden. Dadurch können Angreifer tief im System versteckte Malware installieren, die schwer zu erkennen und zu entfernen ist.

Wie sehen die Fehlermeldungen von Secure Boot aus?

Je nach verwendetem UEFI können die Meldungen unterschiedlich sein. Hier einige Beispiele:

Secure Boot Violation
Invalid signature detected. Check Secure Boot Policy in Setup

Secure boot
Selected boot image did not authenticate.
Please press enter to attempt boot to next device.

Was passiert beim Austauschen von Festplatten oder Booten von USB-Sticks?

Austausch von Festplatten

Wenn du eine Festplatte austauschst, die ein Betriebssystem mit einer gültigen digitalen Signatur enthält, wird Secure Boot dies erkennen und das System ohne Probleme starten.
Falls die neue Festplatte ein Betriebssystem ohne gültige Signatur hat, blockiert Secure Boot den Startvorgang.

Booten von USB-Sticks

Um von einem USB-Stick zu booten, muss dieser ebenfalls ein signiertes Betriebssystem enthalten.
Falls der USB-Stick nicht signiert ist, wird Secure Boot den Start verhindern. Du kannst jedoch Secure Boot vorübergehend deaktivieren, um das Booten von nicht signierten Medien zu ermöglichen.

Secure Boot deaktivieren

Gehe in das UEFI-Menü (meist durch Drücken von F2, F10, ESC oder DEL beim Start). Navigiere zu den Sicherheitseinstellungen und finde die Option „Secure Boot“.
Deaktiviere Secure Boot, um von nicht signierten Medien oder alternativen Betriebssystemen zu booten.

Wie du UEFI auf deinem PC verwendest

Zugriff auf das UEFI-Menü

Starte deinen PC neu und drücke während des Startvorgangs die entsprechende Taste (meist F2, F10, ESC oder DEL), um das UEFI-Menü zu öffnen.

Ist das schnelle Booten aktiviert, kann es problematisch werden, das UEFI-Menü aufzurufen. Eine Alternative zum Aufruf findest du daher in den folgenden Punkten.

UEFI unter Windows 10 aufrufen

Drücke je nach Hersteller beim Booten F2, F10, ESC oder DEL mehrmals. Falls das nicht klappt, kannst du die folgende Methode verwenden:

• Start
• Einstellungen
• Update & Sicherheit
• Rubrik "Wiederherstellung"
• Unter "Erweiterter Start" Schaltfläche "Jetzt neu starten" klicken

• Danach kommt man in die Wartungsoberfläche von Windows

• Dort wählt man "Erweiterte Optionen"

• Dort "UEFI-Firmwareinstellungen"

• Danach noch einmal neu starten
• PC bootet in das UEFI

UEFI unter Windows 11 aufrufen

Drücke je nach Hersteller beim Booten F2, F10, ESC oder DEL mehrmals. Falls das nicht klappt, kannst du die folgende Methode verwenden:

• Start
• Einstellungen
• System
• Wiederherstellung

• Erweiterter Start > Schaltfläche "Jetzt neu starten"

• Im nächsten Dialog "Problembehandlung" anklicken

• "Erweiterte Optionen" wählen

• "UEFI-Firmwareeinstellungen" wählen

• "Neu starten" wählen

UEFI aufrufen, wenn Windows nicht startet und die Tastenkürzel nicht funktionieren?

Sollte Windows nicht mehr starten und die Boot-Tasten (meist F2, F10, ESC oder DEL) nicht funktionieren, kannst du folgende Methode versuchen:

• Starte den Computer.
• Schalte den Computer aus, während Windows startet: Sobald das Windows-Logo angezeigt wird, halte den Netzschalter gedrückt, bis der Computer sich ausschaltet.
• Wiederhole den Vorgang 2-3 Mal.
• Spätestens beim dritten Mal wird Windows automatisch in den sogenannten WinRE-Modus booten.

Der WinRE-Modus ist der blaue Dialog, den du oben bei den Anleitungen von Windows 10 und Windows 11 siehst. Von dort kannst du dann wie dort beschrieben weiter ins UEFI gelangen.

Navigieren im UEFI-Menü

Verwende die Pfeiltasten deiner Tastatur oder die Maus, um durch die Menüs zu navigieren.

Ändern der Boot-Reihenfolge

Wenn du ein Betriebssystem von einem USB-Stick oder einer anderen Festplatte starten möchtest, kannst du im UEFI die Boot-Reihenfolge ändern. Der zugehörige Menüpunkt heisst meist "Boot".

Aktivieren/Deaktivieren von Secure Boot

Unter den Sicherheitseinstellungen kannst du Secure Boot aktivieren oder deaktivieren. Dies ist nützlich, wenn du ein alternatives Betriebssystem wie Linux installieren möchtest. Der zugehörige Menüpunkt heisst meist "Security".

Manche UEFI-Einstellungen können durchaus auch den typischen BIOS-Einstellungen ähneln:

Wichtige Tipps für den Umgang mit UEFI

Firmware-Updates

Halte die UEFI-Firmware deines Mainboards auf dem neuesten Stand. Updates beheben oft Fehler und fügen neue Funktionen hinzu.

Backup der Einstellungen

Einige UEFI-Versionen erlauben es, Einstellungen zu exportieren und zu importieren. Nutze diese Funktion, um deine Konfiguration zu sichern.

Dokumentation lesen

Lies die Dokumentation deines Mainboards, um die spezifischen UEFI-Funktionen und -Optionen besser zu verstehen.

Fazit

UEFI bietet viele Vorteile und Funktionen, die das Verwalten und Starten deines Systems verbessern können. Mit einer modernen, benutzerfreundlichen Oberfläche und erweiterten Sicherheitsfunktionen stellt UEFI einen bedeutenden Fortschritt gegenüber dem alten BIOS dar. Wenn du dich mit den Grundlagen vertraut gemacht hast, wirst du feststellen, dass UEFI ein mächtiges Werkzeug ist, das deine PC-Erfahrung verbessern kann.

Zeit gespart? Dann unterstütze doch it-zeugs.de

Wenn dieser Tipp dir geholfen hat, Zeit zu sparen, überlege bitte, eine kleine Spende zu hinterlassen. Dein Beitrag hilft mir, weiterhin wertvolle Inhalte zu erstellen. Du kannst unter diesem Linke spenden: Spende it-zeugs.de

Falld du nicht spenden willst oder kannst, dann wäre es toll, wenn du deinen nächsten Amazon Einkauf mit diesem Link beginnen würdest: Amazon Link. Für dich wird es nicht teurer, ich bekomme aber einen kleinen Beitrag.

Vielen herzlichen Dank ❤️

Lars

Hallo, hier schreibt Lars. Dipl-Ing. Ingenieurinformatik (FH). Seit Jahrzehnten in der IT tätig. Geprüfter (und begeisterter) Webmaster. Ebenso begeisterter Windows-, Apple-, und Office-User. Ich schreibe über alle möglichen Themen rund um IT. Mehr über mich erfährst du hier: Über mich. Danke für deinen Besuch!