Empfehlungen: Die NSA rät zu UEFI und Secure Boot

Wenn Angreifer Computer schon vor dem Windows-Start drangsalieren, hat das fatale Folgen und AV-Software ist oft machtlos. Die NSA gibt Tipps zur Absicherung.

In Pocket speichern vorlesen Druckansicht 119 Kommentare lesen
NSA

(Bild: dpa, Jens Büttner/Symbolbild)

Lesezeit: 2 Min.

Dem Auslandsgeheimdienst der USA National Security Agency (NSA) liegt viel an der Sicherheit von Computern der eigenen Regierung: In einem aktuellen Bericht sprechen sie sich unter anderem für die Nutzung der Schutzfunktion Secure Boot aus und geben Tipps zur Einrichtung und Betrieb. Davon profitieren auch Privat-Nutzer.

Secure Boot ist Bestandteil des Unified Extensible Firmware Interface (UEFI). Das bildet die direkte Schnittstelle zwischen der Hardware und dem Betriebssystem. Secure Boot setzt schon vor dem Start von Windows an und prüft etwa, ob der Bootloader korrekt signiert ist. Hat ein Angreifer daran herumgespielt, erkennt Secure Boot das. Im Anschluss kann der Mechanismus den Start des Systems verweigern und so schlimmeres verhindern.

Nimmt ein Angreifer auf UEFI-Ebene Modifizierungen vor, kann das verhängnisvolle Auswirkungen haben. So könnte der Computer beispielsweise eine mit Schadcode (Rootkit) präparierte Version von Windows starten ohne, dass das Opfer davon etwas mitbekommt. In vielen Fällen sind Viren-Scanner machtlos, da der Code (Bootkit) bereits vor dem Start von Windows und somit auch des Scanners Unheil angerichtet hat. Ein derartig attackierter Computer gilt nach allen Regeln der Kunst als kompromittiert.

Um solche Attacken einzudämmen, hat die NSA nun einen 39-seitigen Bericht mit Tipps zur Secure-Boot-Nutzung veröffentlicht. Darin erklären die Autoren neben der Funktionsweise auch, wie man Secure Boot optimal konfiguriert und welche Tipps es für Admins gibt, die Funktion trotz möglicher Inkompatibilitäten mit Hard- oder Software dennoch zu aktivieren. Dabei gehen die Autoren auch in die Tiefe und erläutern unter anderem die Erzeugung von Schlüsseln und Zertifikaten mit OpenSSL, um diese im Secure-Boot-Kontext einzusetzen.

Als Grundvoraussetzung müssen BIOS-Systeme auf UEFI migriert werden. Ansonsten steht Secure Boot erst gar nicht zur Verfügung. Ist das gegeben, sollte sichergestellt sein, dass die Funktion auf allen Computern eines Unternehmens aktiv ist. Ansonsten gibt es Schlupflöcher. Außerdem sollten Admins den UEFI-Zugriff mit sicheren Passwörtern schützen und die Firmware regelmäßig auf den aktuellen Stand bringen. Weitere Tipps kann man im Bericht nachlesen.

Anfang Juli 2020 gab die NSA bereits Tipps, wie man sicherer im Homeoffice arbeitet.

(des)