Secure Boot
Secure Boot ist eine UEFI-Sicherheitsfunktion, die nur signierte Betriebssysteme und Treiber startet – schützt vor Rootkits und Bootviren.
Was ist Secure Boot?
Secure Boot ist eine Sicherheitsfunktion im UEFI (BIOS-Nachfolger), die beim Systemstart prüft, ob Bootloader und Treiber digital signiert sind. Nicht signierte oder manipulierte Software wird blockiert.
Wie funktioniert Secure Boot?
PC startet
↓
UEFI prüft Bootloader-Signatur
↓
Signatur gültig? → Windows startet
↓
Signatur ungültig/fehlt → Boot verweigertSchutz vor Bedrohungen
| Bedrohung | Mit Secure Boot |
|---|---|
| Bootkits | ✅ Blockiert |
| Rootkits | ✅ Erschwert |
| Manipulierte Treiber | ✅ Blockiert |
| USB-Boot-Angriffe | ✅ Blockiert |
Secure Boot und Windows 11
Windows 11 erfordert Secure Boot:
| Anforderung | Windows 10 | Windows 11 |
|---|---|---|
| Secure Boot | Optional | Pflicht |
| TPM | Optional | TPM 2.0 Pflicht |
| UEFI | Empfohlen | Pflicht |
Secure Boot aktivieren/prüfen
Status prüfen (Windows)
- Win+R →
msinfo32eingeben - Systemübersicht → “Sicherer Startzustand”
- Sollte “Ein” anzeigen
Im BIOS aktivieren
- PC neustarten, Del/F2 drücken
- Security oder Boot Menü finden
- Secure Boot → Enabled
- Speichern und Neustarten
Secure Boot und Linux
| Distribution | Secure Boot |
|---|---|
| Ubuntu | ✅ Unterstützt |
| Fedora | ✅ Unterstützt |
| Linux Mint | ✅ Unterstützt |
| Arch Linux | ⚠️ Manuell möglich |
| Andere | Variiert |
Die meisten modernen Linux-Distributionen funktionieren mit Secure Boot!
Secure Boot und Dual-Boot
Windows + Linux mit Secure Boot:
| Szenario | Funktioniert? |
|---|---|
| Windows + Ubuntu | ✅ Ja |
| Windows + Fedora | ✅ Ja |
| Windows + Arch | ⚠️ Aufwendiger |
Empfehlung: Linux nach Windows installieren, GRUB nutzen.
Wann Secure Boot deaktivieren?
| Grund | Empfehlung |
|---|---|
| Älteres Linux | Erst mit aktivem Secure Boot testen |
| Unsignierte Treiber | Treiber-Quelle prüfen |
| Custom Bootloader | Fortgeschrittene Nutzer |
| Hardware-Hacking | Bewusste Entscheidung |
Secure Boot aktiv lassen wenn möglich!
Secure Boot Keys
| Key | Funktion |
|---|---|
| PK (Platform Key) | Hauptschlüssel |
| KEK (Key Exchange Key) | Kann DB ändern |
| DB (Signature Database) | Erlaubte Signaturen |
| DBX (Forbidden Signatures) | Blockierte Signaturen |
Häufige Probleme
”Secure Boot Violation”
| Ursache | Lösung |
|---|---|
| Unsignierter USB-Boot | Secure Boot temporär deaktivieren |
| Altes Linux | Moderne Distribution nutzen |
| Defekter Bootloader | Windows-Wiederherstellung |
”Secure Boot kann nicht aktiviert werden”
| Ursache | Lösung |
|---|---|
| CSM aktiv | CSM deaktivieren |
| MBR-Partition | Zu GPT konvertieren |
| BIOS-Modus | UEFI-Modus nutzen |
Tipps
- Aktiv lassen – Sicherheitsvorteil wichtig
- Windows 11 – Erfordert Secure Boot
- Linux kompatibel – Moderne Distros funktionieren
- Bei Problemen – Erst andere Lösungen suchen
- Nach BIOS-Update – Status prüfen
Verwandte Begriffe
BIOS / UEFI
Das BIOS/UEFI ist die Firmware deines Mainboards, die beim Start grundlegende Systemeinstellungen lädt und die Hardware initialisiert.
TPM
Trusted Platform Module – Sicherheitschip für Verschlüsselung und sichere Boot-Prozesse, Pflicht für Windows 11.
Betriebssystem
Das Betriebssystem (OS) ist die Software, die Hardware und Anwendungen verbindet – Windows, macOS und Linux sind die bekanntesten Beispiele.