Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

Secure Boot

Was ist Secure Boot?

Secure Boot ist eine Sicherheitsfunktion moderner UEFI-Firmware, die den Startvorgang eines Computers schützt, indem sie nur vertrauenswürdig signierte Boot-Komponenten erlaubt. Ziel ist es, sicherzustellen, dass keine manipulierten oder schädlichen Komponenten – wie z. B. Bootkits oder Rootkits – vor dem Start des Betriebssystems geladen werden können.

Dazu verifiziert die Firmware die digitale Signatur jedes UEFI-Treibers und des Betriebssystem-Loaders gegen eine Root-Zertifizierungsstelle, die im Secure-Boot-Key-Store hinterlegt ist. Nur wenn diese Prüfung erfolgreich ist, wird der Bootvorgang fortgesetzt.

Wichtige Secure-Boot-Ressourcen

  • UEFI-Firmware
    → Moderne BIOS-Nachfolgerin, die Secure Boot und andere Sicherheitsfunktionen integriert.

  • Bootloader-Signaturen
    → Digitale Zertifikate, die Bootkomponenten wie grubx64.efi oder bootmgfw.efi authentifizieren.

  • Root Certificate Authority (CA)
    → Vertrauensanker im Secure-Boot-Key-Store, über den Signaturen geprüft werden.

  • Key-Store-Management
    → Verwaltung von Microsoft- oder benutzerdefinierten Zertifikaten durch IT-Administratoren.

  • Boot-Policy-Konfiguration
    → Festlegung, ob Drittanbieter-Zertifikate zugelassen oder eigene Signaturen akzeptiert werden.

Anwendung in der Praxis

  • Rootkit-Prävention: Schutz vor schädlichen Komponenten, die sich vor dem OS einnisten.

  • Trusted Boot Chain: Sicherstellung, dass jeder Schritt im Bootprozess verifiziert ist.

  • Zertifikatsverwaltung: Unternehmen hinterlegen eigene Signaturen, z. B. für angepasste Linux-Kernel.

  • Audit-Compliance: Secure Boot unterstützt Anforderungen aus Richtlinien wie ISO 27001 oder BSI-Grundschutz.

  • Hardware-Bindung: In Kombination mit TPM und BitLocker bildet Secure Boot eine sichere Startbasis.

Verwandte Begriffe

Beispiel aus der Praxis

Ein Unternehmen stellt neue Notebooks bereit, auf denen eine angepasste Linux-Distribution läuft. Um Angriffe über manipulierte Bootloader zu verhindern, wird Secure Boot aktiviert. Die IT-Abteilung signiert den eigenen Kernel mit einem firmeneigenen Zertifikat, das zusätzlich zum Microsoft CA-Zertifikat im Secure-Boot-Key-Store eingebunden wird. So lässt sich sicherstellen, dass ausschließlich vertrauenswürdige Images gestartet werden – ohne Sicherheitslücken durch generische Drittanbieterkomponenten.

zum Glossar