UEFI Secure Boot: MSI stellt Bequemlichkeit vor Sicherheit – oder doch nicht?
Der Computerhardware-Hersteller bestätigt eine unsichere Standard-Konfiguration vom Schutzmechanismus Secure Boot – und rudert zurück.
(Bild: c't)
PC-Motherboards von MSI sind standardmäßig so eingestellt, dass Secure Boot zwar aktiv ist, aber aufgrund einer Unteroption trotzdem unsignierte Betriebssysteme starten. In Zukunft wollen sie nun davon abrücken.
Wirkungslose Schutzfunktion
Das hat MSI nun in einem Statement auf Reddit bestätigt. Ein Sprecher des Hardware-Herstellers gibt an, dass sie mit ihrer UEFI-Secure-Boot-Einstellung die Vorgaben von Microsoft erfüllen. So ist Secure Boot zwar aktiv, die Unteroption „Image Execution Policy“ ist jedoch im Werkszustand auf „Always Execute“ eingestellt. Das hat zur Folge, dass auch potenzielle, mit Schadcode verseuchte Systeme auf einem Computer starten könnten.
Secure Boot überprüft Betriebssysteme vor dem Start und kann etwa aufgrund einer fehlenden Signatur das Booten verweigern. Das soll Angreifer daran hindern, Opfern mit Schadcode präparierte Systeme unterzuschieben. Klappt das, nistet sich beispielsweise ein Trojaner schon vor dem Start des Systems ein, sodass Virenscanner im laufenden System keine Chance haben, den Schädling zu entdecken.
Bequemlichkeit über Sicherheit?
MSI begründet seine Entscheidung für die unsichere Standardeinstellung mit einer gesteigerten Nutzerfreundlichkeit. So könnten Kunden mit dieser Einstellung ihren Computer flexibler zusammenstellen und darauf ohne Probleme etwa unsignierte Linux-Systeme booten. Das steigert natürlich die Kompatibilität, mindert aber auch die Sicherheit.
Das hat MSI nun offensichtlich auch erkannt und will in künftigen BIOS Updates standardmäßig die Einstellung „Deny Execute“ aktivieren. Wann das der Fall sein soll, ist bislang nicht bekannt. Wem Flexibilität wichtiger als Sicherheit ist, könne die „Always Execute“-Option immer noch händisch einschalten, führt der Hardware-Hersteller aus.
(des)
