Manfred Kloiber: Werfen wir doch lieber einen Blick in das Innerste eines ganz normalen PCs. Bevor der überhaupt starten kann, muss er irgendwoher erfahren, was er überhaupt tun soll. Und dafür sorgt das BIOS, das Basic Input Output System. Seit mehr als drei Jahrzehnten sorgt die auf einem kleinen Chip programmierte Software dafür, dass beim Computerstart die richtigen Treiber für die notwendigen Geräte zur Verfügung stehen. Aber das BIOS ist in die Jahre gekommen. Und gegen Jahresende wird wohl sein Nachfolger die Hoheit in vielen Computern übernehmen: das UEFI, das Unified Extensible Firmware Interface. Das soll dafür sorgen, dass PCs schneller starten. Und außerdem bringt es zusätzliche Funktionen mit. Eine der Funktionen allerdings ist ziemlich umstritten. Jan Rähm, welche denn?
Jan Rähm: Hier geht es um die Funktion Secure Boot. Die ist prinzipiell erstmal dafür da, den ganzen Rechner sicherer zu machen. Und zwar wird ein sogenannter kryptografischer Schlüssel im UEFI gespeichert. Und das Betriebssystem wird mit einem solchen Schlüssel unterschrieben, es wird mit einem Zertifikat versehen. Und nur so signierte Betriebssysteme können dann geladen werden. Dadurch soll Manipulation vorgebeugt werden. Und es soll sichergestellt werden, dass immer nur das Betriebssystem geladen wird, das der Hersteller so auch vorgesehen hat.
Kloiber: Doch gerade die Art und Weise, wie dieser Schutz vor Schädlingen und Manipulationen in den BIOS-Nachfolger UEFI integriert werden soll, ruft die Kritiker auf den Plan.
Beginn Beitrag:
UEFI, das Unified Extensible Firmware Interface, startet die einzelnen Hardwarekomponenten des Rechners sowie das Ladeprogramm des Betriebssystems. Danach gibt es die Kontrolle an Windows, Linux oder ein anderes System ab. Um sicher zu gehen, dass dieses nicht durch einen Angreifer manipuliert wurde, haben die Entwickler die Funktion "Secure Boot" integriert. Secure Boot soll neben dem Betriebssystem auch die weiteren Komponenten des UEFI, zum Beispiel Gerätetreiber, schützen.
"Die einzelnen Komponenten, die geladen werden, die können signiert werden. Das heißt, sie werden unterschrieben vom Hersteller mittels eines mathematischen Verfahrens, das nach heute technischer Sicht nicht knackbar ist und während des Bootvorgangs, kann dann nachvollzogen werden, ob jemand Schindluder getrieben hat mit diesen einzelnen Komponenten, das heißt ob ein Virus eventuell seinen Schadcode da injiziert hat und zur Ausführung bringen möchte. Oder ob eventuell einfach nur ein Modul beschädigt wurde wegen einer kaputten Festplatte oder sowas. Und dementsprechend kann dann eingegriffen werden. Dem User eine Warnung dargestellt werden oder vielleicht sogar der Bootvorgang komplett angehalten werden."
Andreas Galauner, Informatik-Student an der FH Aachen. Der Hacker hat sich UEFI und Secure Boot genauer angesehen und durchaus kritische Stellen gefunden, die hackbar, also angreifbar sind:
"Wenn ich ein entsprechendes Paket bauen kann, dass es mir ermöglicht, eine Sicherheitslücke auszunutzen und meinen Schadcode in den Speicher zu bekommen und den zur Ausführung zu bringen, dann habe ich im Prinzip die volle Kontrolle über die Maschine und kann mit der Maschine machen, was ich will. Ich kann weitere Teile des Betriebssystems, die nachgeladen werden von dem EFI, patchen, das heißt, meinen Code einbringen, so dass das Betriebssystem anschließend macht, was ich möchte und nicht, was der User macht und solche Dinge."
Zwar sei der Angriff aufwendig und komplex, aber machbar. Das ist wichtig, weil Kritiker von Secure Boot befürchten, die Funktion könne das Ende des universellen Computers sein. So argumentiert zum Beispiel die Free Software Foundation, dass Hardware-Hersteller ihre Rechner mithilfe von Secure Boot nur noch für ausgewählte Betriebssystem nutzbar machen könnten. Matthias Kirschner, Sprecher der Free Software Foundation Europe:
"Eine Gefahr, die wir halt sehen bei Secure Boot, ist, dass es damit sehr viel schwieriger wird, alternative Betriebssysteme zu installieren. Also wenn ich jetzt irgendein anderes Betriebssystem auf dem Computer installieren will, als das was der Hersteller sich vorgestellt hat oder will, dass ich benutz, dass ist dann nicht mehr oder nur noch sehr schwer möglich. Also es wird nicht mehr so einfach sein, dass ich eine GNU-Linux-CD nehme, die in den Computer reinschiebe und mir ein anderes Betriebssystem installiere."
Ob diese Angst begründet ist, wird sich mit Einführung von Windows 8 zeigen. Denn das neue Betriebssystem von Microsoft setzt UEFI mit Secure Boot zwingend voraus. Damit wird es den neuen Ersatz des alten Bios verstärkt in den Markt drängen. Allerdings:
"Also von Windows 8 aus gesehen, gibt es an UEFI diverse Anforderungen, die jetzt für verschiedene Punkte von Belang sind. Für SafeBoot insbesondere ist die Anforderung, dass eben ein Zertifikat gespeichert werden kann und dass die Funktion des SafeBoots entsprechend ein- und ausgeschalten werden kann",
beschreibt Michael Kranawetter, Chef Informationssicherheit Microsoft Deutschland, die Kriterien, die Hersteller erfüllen müssen um das begehrte "Für-Windows-gemacht"-Siegel zu bekommen. Doch gilt das in dieser Form nur für PCs. Bei Geräten auf Basis von ARM-Prozessoren hingegen, also für Smartphones und Tablet-PCs, schreibt Microsoft Secure Boot zwingend vor.
"Für die ARM-Rechner ist es grundsätzlich so gedacht, dass eine Interaktion mit einem UEFI für einen Benutzer eigentlich nicht angedacht ist. Das Gerät soll ja sehr einfach bedient werden können und soll den Anwender wenig belasten mit technischen Details, sondern ihn eher befähigen, mit den Funktionen des Betriebssystems umzugehen."
Aber es ist nicht nur die Wahl des Betriebssystems, die wegfällt. An Secure Boot könnten weitere Einschränkungen gekoppelt werden, fürchtet die Free Software Foundation:
"Ein Computer startet das Betriebssystem, das ich als Hersteller will. Es kann keine andere Software drauf installiert werden. Das Betriebssystem stellt wieder sicher, dass nur bestimmte Anwendungen ausgeführt werden, die ich als Hersteller will und damit kann ich komplett garantieren, irgendwelchen wie zum Beispiel der Musikindustrie oder der Filmindustrie, dass auf meinen Geräten, auf meinen Tablets zum Beispiel oder auf einem DVD-Player, den ich herausgeb, dass da nur die Dateien ausgeführt werden, die ich will."
Jan Rähm: Hier geht es um die Funktion Secure Boot. Die ist prinzipiell erstmal dafür da, den ganzen Rechner sicherer zu machen. Und zwar wird ein sogenannter kryptografischer Schlüssel im UEFI gespeichert. Und das Betriebssystem wird mit einem solchen Schlüssel unterschrieben, es wird mit einem Zertifikat versehen. Und nur so signierte Betriebssysteme können dann geladen werden. Dadurch soll Manipulation vorgebeugt werden. Und es soll sichergestellt werden, dass immer nur das Betriebssystem geladen wird, das der Hersteller so auch vorgesehen hat.
Kloiber: Doch gerade die Art und Weise, wie dieser Schutz vor Schädlingen und Manipulationen in den BIOS-Nachfolger UEFI integriert werden soll, ruft die Kritiker auf den Plan.
Beginn Beitrag:
UEFI, das Unified Extensible Firmware Interface, startet die einzelnen Hardwarekomponenten des Rechners sowie das Ladeprogramm des Betriebssystems. Danach gibt es die Kontrolle an Windows, Linux oder ein anderes System ab. Um sicher zu gehen, dass dieses nicht durch einen Angreifer manipuliert wurde, haben die Entwickler die Funktion "Secure Boot" integriert. Secure Boot soll neben dem Betriebssystem auch die weiteren Komponenten des UEFI, zum Beispiel Gerätetreiber, schützen.
"Die einzelnen Komponenten, die geladen werden, die können signiert werden. Das heißt, sie werden unterschrieben vom Hersteller mittels eines mathematischen Verfahrens, das nach heute technischer Sicht nicht knackbar ist und während des Bootvorgangs, kann dann nachvollzogen werden, ob jemand Schindluder getrieben hat mit diesen einzelnen Komponenten, das heißt ob ein Virus eventuell seinen Schadcode da injiziert hat und zur Ausführung bringen möchte. Oder ob eventuell einfach nur ein Modul beschädigt wurde wegen einer kaputten Festplatte oder sowas. Und dementsprechend kann dann eingegriffen werden. Dem User eine Warnung dargestellt werden oder vielleicht sogar der Bootvorgang komplett angehalten werden."
Andreas Galauner, Informatik-Student an der FH Aachen. Der Hacker hat sich UEFI und Secure Boot genauer angesehen und durchaus kritische Stellen gefunden, die hackbar, also angreifbar sind:
"Wenn ich ein entsprechendes Paket bauen kann, dass es mir ermöglicht, eine Sicherheitslücke auszunutzen und meinen Schadcode in den Speicher zu bekommen und den zur Ausführung zu bringen, dann habe ich im Prinzip die volle Kontrolle über die Maschine und kann mit der Maschine machen, was ich will. Ich kann weitere Teile des Betriebssystems, die nachgeladen werden von dem EFI, patchen, das heißt, meinen Code einbringen, so dass das Betriebssystem anschließend macht, was ich möchte und nicht, was der User macht und solche Dinge."
Zwar sei der Angriff aufwendig und komplex, aber machbar. Das ist wichtig, weil Kritiker von Secure Boot befürchten, die Funktion könne das Ende des universellen Computers sein. So argumentiert zum Beispiel die Free Software Foundation, dass Hardware-Hersteller ihre Rechner mithilfe von Secure Boot nur noch für ausgewählte Betriebssystem nutzbar machen könnten. Matthias Kirschner, Sprecher der Free Software Foundation Europe:
"Eine Gefahr, die wir halt sehen bei Secure Boot, ist, dass es damit sehr viel schwieriger wird, alternative Betriebssysteme zu installieren. Also wenn ich jetzt irgendein anderes Betriebssystem auf dem Computer installieren will, als das was der Hersteller sich vorgestellt hat oder will, dass ich benutz, dass ist dann nicht mehr oder nur noch sehr schwer möglich. Also es wird nicht mehr so einfach sein, dass ich eine GNU-Linux-CD nehme, die in den Computer reinschiebe und mir ein anderes Betriebssystem installiere."
Ob diese Angst begründet ist, wird sich mit Einführung von Windows 8 zeigen. Denn das neue Betriebssystem von Microsoft setzt UEFI mit Secure Boot zwingend voraus. Damit wird es den neuen Ersatz des alten Bios verstärkt in den Markt drängen. Allerdings:
"Also von Windows 8 aus gesehen, gibt es an UEFI diverse Anforderungen, die jetzt für verschiedene Punkte von Belang sind. Für SafeBoot insbesondere ist die Anforderung, dass eben ein Zertifikat gespeichert werden kann und dass die Funktion des SafeBoots entsprechend ein- und ausgeschalten werden kann",
beschreibt Michael Kranawetter, Chef Informationssicherheit Microsoft Deutschland, die Kriterien, die Hersteller erfüllen müssen um das begehrte "Für-Windows-gemacht"-Siegel zu bekommen. Doch gilt das in dieser Form nur für PCs. Bei Geräten auf Basis von ARM-Prozessoren hingegen, also für Smartphones und Tablet-PCs, schreibt Microsoft Secure Boot zwingend vor.
"Für die ARM-Rechner ist es grundsätzlich so gedacht, dass eine Interaktion mit einem UEFI für einen Benutzer eigentlich nicht angedacht ist. Das Gerät soll ja sehr einfach bedient werden können und soll den Anwender wenig belasten mit technischen Details, sondern ihn eher befähigen, mit den Funktionen des Betriebssystems umzugehen."
Aber es ist nicht nur die Wahl des Betriebssystems, die wegfällt. An Secure Boot könnten weitere Einschränkungen gekoppelt werden, fürchtet die Free Software Foundation:
"Ein Computer startet das Betriebssystem, das ich als Hersteller will. Es kann keine andere Software drauf installiert werden. Das Betriebssystem stellt wieder sicher, dass nur bestimmte Anwendungen ausgeführt werden, die ich als Hersteller will und damit kann ich komplett garantieren, irgendwelchen wie zum Beispiel der Musikindustrie oder der Filmindustrie, dass auf meinen Geräten, auf meinen Tablets zum Beispiel oder auf einem DVD-Player, den ich herausgeb, dass da nur die Dateien ausgeführt werden, die ich will."