Was ist Secure Boot und wie aktiviert man es?

Spätestens seit den Systemanforderungen von Windows 11 ist der Begriff Secure Boot vielen Nutzern begegnet. Doch was verbirgt sich hinter dieser Sicherheitsfunktion, und warum gilt sie als wichtiger Schutz für den Computer? In diesem Ratgeber erklären wir verständlich, was Secure Boot leistet, wie es funktioniert und wie Sie es bei Bedarf aktivieren oder überprüfen können.

Was ist Secure Boot?

Secure Boot (zu Deutsch „sicherer Start") ist eine Sicherheitsfunktion des modernen Firmware-Standards UEFI. UEFI ist gewissermaßen der Nachfolger des klassischen BIOS und steuert den grundlegenden Startvorgang eines Computers, bevor das eigentliche Betriebssystem geladen wird.

Die Aufgabe von Secure Boot besteht darin sicherzustellen, dass beim Start ausschließlich vertrauenswürdige, unveränderte Software geladen wird. Dazu prüft die Firmware die digitale Signatur jeder Komponente, die im Startprozess geladen werden soll. Nur wenn diese Signatur als gültig und vertrauenswürdig erkannt wird, darf die Software ausgeführt werden.

Warum ist Secure Boot sinnvoll?

Der Startvorgang eines Computers ist ein besonders sensibler Moment. Gelingt es Schadsoftware, sich bereits in dieser frühen Phase einzunisten, kann sie sich tief im System verankern, noch bevor das Betriebssystem oder ein Virenschutz überhaupt aktiv sind. Solche besonders hartnäckigen Schädlinge werden als Bootkits oder Rootkits bezeichnet.

Genau hier setzt Secure Boot an. Indem es manipulierte oder nicht signierte Startkomponenten blockiert, erschwert es Angreifern erheblich, Schadcode bereits vor dem Laden des Betriebssystems einzuschleusen. Secure Boot ist damit ein Baustein einer durchgängigen Vertrauenskette, die vom Einschalten bis zum geladenen System reicht.

Wie funktioniert Secure Boot technisch?

Im Kern arbeitet Secure Boot mit kryptografischen Signaturen und hinterlegten Schlüsseln. Vereinfacht dargestellt läuft der Vorgang so ab:

• In der UEFI-Firmware sind vertrauenswürdige Schlüssel und Zertifikate hinterlegt.
• Beim Start prüft die Firmware die digitale Signatur des Bootloaders, also der Software, die das Betriebssystem startet.
• Ist die Signatur gültig und stammt aus einer vertrauenswürdigen Quelle, wird der Startvorgang fortgesetzt.
• Wird eine ungültige oder fehlende Signatur erkannt, verweigert die Firmware den Start dieser Komponente.

Auf diese Weise wird jede Stufe des Startvorgangs überprüft, bevor die nächste geladen wird.

Secure Boot und Windows 11

Microsoft setzt Secure Boot als eine der Voraussetzungen für Windows 11 voraus. Gemeinsam mit dem TPM-Chip (Trusted Platform Module) soll es ein höheres Grundniveau an Sicherheit gewährleisten. Wer von einem älteren System auf Windows 11 umsteigen möchte, muss daher häufig prüfen, ob Secure Boot im UEFI aktiviert ist, und es gegebenenfalls einschalten.

Ist Secure Boot aktiviert? So prüfen Sie es

Unter Windows lässt sich der Status von Secure Boot bequem überprüfen, ohne ins UEFI wechseln zu müssen. Gehen Sie dazu wie folgt vor:

• Drücken Sie die Tastenkombination Windows-Taste + R.
• Geben Sie msinfo32 ein und bestätigen Sie mit Enter.
• Im Fenster „Systeminformationen" suchen Sie den Eintrag „Sicherer Startzustand".
• Steht dort „Ein", ist Secure Boot aktiv. Steht dort „Aus", ist es deaktiviert.

Secure Boot aktivieren

Das Aktivieren erfolgt in den Firmware-Einstellungen (UEFI). Da die Menüs je nach Hersteller des Mainboards oder Geräts unterschiedlich aufgebaut sind, lassen sich nur die allgemeinen Schritte beschreiben:

• Starten Sie den Computer neu und rufen Sie das UEFI-Menü auf. Häufig geschieht dies durch Drücken einer Taste wie Entf, F2 oder F10 direkt nach dem Einschalten. Die richtige Taste zeigt der Bildschirm meist kurz an.
• Suchen Sie im UEFI nach einem Bereich wie „Boot", „Security" oder „Authentication".
• Stellen Sie die Option „Secure Boot" auf „Enabled" (Aktiviert).
• Speichern Sie die Änderungen und verlassen Sie das UEFI.

Wichtig: In manchen Fällen muss zuvor der Boot-Modus von „Legacy" auf „UEFI" umgestellt werden, da Secure Boot den UEFI-Modus voraussetzt. Da solche Änderungen den Start des Betriebssystems beeinflussen können, sollten Sie vorab ein Backup wichtiger Daten anlegen und im Zweifel die Anleitung Ihres Mainboard- oder Geräteherstellers heranziehen.

Mögliche Stolpersteine

Secure Boot kann in seltenen Fällen dazu führen, dass bestimmte ältere Betriebssysteme, einige Linux-Distributionen oder spezielle Hardware-Treiber nicht ohne Weiteres starten, wenn deren Komponenten nicht passend signiert sind. Viele gängige Linux-Distributionen unterstützen Secure Boot inzwischen jedoch problemlos. Wer auf entsprechende Software angewiesen ist, sollte vor dem Aktivieren prüfen, ob Kompatibilität gegeben ist.

Fazit

Secure Boot ist eine sinnvolle Schutzfunktion, die sicherstellt, dass beim Start nur vertrauenswürdige Software geladen wird. Damit erschwert es Angriffe, die bereits vor dem Betriebssystem ansetzen. Den Status können Sie unter Windows schnell über die Systeminformationen prüfen, das Aktivieren erfolgt im UEFI. Für die meisten modernen Systeme – insbesondere unter Windows 11 – ist Secure Boot ein empfehlenswerter Sicherheitsbaustein.

Mehr zum Thema findest du in unserer Übersicht: IT-Sicherheit: Alle Artikel im Überblick.

Verwandte Artikel

• Wie erkennt man gefälschte E-Mails (Phishing)?
• Was ist Social Engineering?
• Was ist Malware? Arten und Schutz
• Was ist ein Botnet?
• Was ist ein Passwort-Manager und wie funktioniert er?