secure-os.org
Alle AnleitungenQubes OSTailsWhonixGehärtetes LinuxFestplattenverschlüsselungBedrohungsmodell
security

Was ist Secure Boot? Wie es Malware auf Boot-Ebene blockiert (2026)

secure-os· Aktualisiert 16. Juli 2026· 5 Min. Lesezeit #security#uefi#boot#hardening
Nahaufnahme eines Mikrochips auf einer Leiterplatte

Die Kurzfassung: Secure Boot ist eine UEFI-Firmware-Funktion, die die digitale Signatur von allem prüft, was beim Start deines Computers ausgeführt werden soll, und sich weigert, etwas zu laden, das nicht mit einem vertrauenswürdigen Schlüssel signiert ist. Seine ganze Aufgabe besteht darin, Malware zu stoppen, die vor deinem Betriebssystem lädt - die Art, die sonst nahezu unmöglich zu erkennen ist. Es ist für sich allein kein Rundumschutz, aber es schließt eine Tür, die früher weit offen stand.

Was Secure Boot tatsächlich ist

Wenn du einen modernen PC einschaltest, läuft zuerst die UEFI-Firmware, die dann an einen bootloader übergibt, der den kernel des Betriebssystems lädt. Secure Boot fügt in diese Kette eine Prüfung ein: Bevor die Firmware den bootloader ausführt und bevor der bootloader den kernel ausführt, überprüft es eine kryptografische Signatur gegen eine in der Firmware gespeicherte Datenbank vertrauenswürdiger Schlüssel. Ist der Code ordnungsgemäß signiert, läuft er. Ist er unsigniert oder manipuliert worden, blockiert Secure Boot ihn.

Mit anderen Worten: Secure Boot erzwingt eine einfache Regel: Nur Software, für die jemand Vertrauenswürdiges gebürgt hat, darf deine Maschine starten.

Warum es wichtig ist: Bootkits stoppen

Der Grund, warum sich das lohnt, liegt am Timing. Malware, die beim Start lädt - ein bootkit oder ein rootkit auf Boot-Ebene - läuft vor dem Betriebssystem und vor deinem Antivirenprogramm. Sobald sie so früh die Kontrolle hat, kann sie sich vor allem verstecken, was danach lädt, und genau deshalb sind Infektionen auf Boot-Ebene so schwer zu erkennen und zu entfernen. In unserer Erklärung dazu, was ein Rootkit ist, zeigen wir, wie übel das wird.

Secure Boot greift das Problem an der Wurzel an: Wenn der manipulierte oder unsignierte Boot-Code die Signaturprüfung nicht besteht, kommt er von vornherein gar nicht erst zur Ausführung. Das ist eine deutlich stärkere Position, als zu versuchen, ihn zu finden und zu entfernen, nachdem er bereits geladen wurde.

Eine Nahaufnahme einer Computer-Hauptplatine. Secure Boot lebt in der UEFI-Firmware und prüft Signaturen, bevor irgendein Code des Betriebssystems läuft.

Wie es unter der Haube funktioniert

Secure Boot stützt sich auf einen kleinen Satz von Schlüsseln und Listen, die in der Firmware gehalten werden:

  • Platform Key (PK) und Key Exchange Keys (KEK) legen fest, wer die Vertrauenseinstellungen verwalten darf.
  • Die db (erlaubt)-Datenbank enthält die Signaturen und Schlüssel der Software, die ausgeführt werden darf.
  • Die dbx (verboten)-Datenbank listet Signaturen auf, die widerrufen wurden - zum Beispiel bootloader, die sich später als angreifbar erwiesen haben.

Bei jedem Schritt des Starts wird die Signatur der Komponente gegen db und dbx geprüft. Auf den meisten Consumer-PCs kommen die vertrauenswürdigen Schlüssel von Microsoft und dem Hardwarehersteller, weshalb Secure Boot standardmäßig aktiv und für Windows 11 erforderlich ist.

Secure Boot und Linux

Ein weit verbreiteter Mythos ist, dass Secure Boot Linux blockiert. Das tut es nicht. Große Distributionen wie Ubuntu und Fedora unterstützen Secure Boot mithilfe eines kleinen signierten Programms namens shim, dem die Standardschlüssel vertrauen und das dann den eigenen signierten bootloader und kernel der Distribution lädt. Wenn du eigene kernel baust oder bestimmte Out-of-Tree-Treiber verwendest, kannst du deine eigenen Schlüssel über MOK (Machine Owner Key) eintragen, anstatt den Schutz abzuschalten. Secure Boot zu deaktivieren ist möglich und manchmal für Nischen-Setups notwendig, aber das bedeutet, den Schutz auf Boot-Ebene aufzugeben - also trage lieber Schlüssel ein, statt es abzuschalten.

Die ehrlichen Grenzen

Secure Boot ist wertvoll, aber es ist eine Schicht, kein Kraftfeld:

  • Es schützt die Boot-Kette, nicht alles danach. Malware, die über einen Phishing-Link oder einen bösartigen Download hereinkommt und läuft, sobald das Betriebssystem hochgefahren ist, ist ein anderes Problem.
  • Es hatte über die Jahre echte Schwaechen - signierte, aber angreifbare bootloader (die “BootHole”-Klasse von Problemen) haben gezeigt, dass eine vertrauenswürdige Signatur nur so gut ist wie der Code dahinter, weshalb es die dbx-Widerrufsliste gibt.
  • Es hängt davon ab, die Firmware aktuell zu halten, damit widerrufene, angreifbare Komponenten tatsächlich abgewiesen werden.

Betrachte es als starkes Fundament, auf dem andere Verteidigungen aufbauen, nicht als das Einzige, was zwischen dir und einem Angreifer steht.

FAQ

Sollte ich Secure Boot aktiviert lassen? Für fast alle: ja. Es ist eine kostengünstige, hochwirksame Verteidigung gegen Malware auf Boot-Ebene, es ist standardmäßig aktiv, und moderne Linux-Distributionen funktionieren damit. Deaktiviere es nur, wenn du einen konkreten technischen Grund hast, und trage lieber deine eigenen Schlüssel ein.

Verlangsamt Secure Boot meinen PC? Nein. Die Signaturprüfungen finden nur während des Starts statt und fügen keine nennenswerte Zeit hinzu, und sie haben keinerlei Auswirkung auf die Leistung, sobald das System läuft.

Ist Secure Boot dasselbe wie TPM? Nein, auch wenn beide oft zusammen genannt werden. Secure Boot überprüft die Signaturen von Boot-Software; ein TPM ist ein separater Chip, der Schlüssel und Messwerte speichert. Windows 11 und einige Anti-Cheat-Systeme verlangen beides, aber sie erledigen unterschiedliche Aufgaben.

Fazit: Secure Boot stellt sicher, dass nur vertrauenswürdige, signierte Software deinen Computer starten kann, und sperrt die Malware auf Boot-Ebene aus, die sich vor allem anderen versteckt. Lass es aktiviert, halte deine Firmware aktuell und behandle es als solide Basis einer geschichteten Verteidigung - einschließlich der modernen, gehärteten Systeme, die wir in unveränderlichen Linux-Distributionen behandeln.