Secure Boot: Schwachstellen, Bootkits und Microsofts Nachbesserung 2026
Secure Boot, 2012 im Rahmen der UEFI-Spezifikation eingeführt, sollte die Integrität von Betriebssystemen beim Systemstart gewährleisten und Bootkits wirksam abwehren. Trotz dieses Ziels war das System über mehr als ein Jahrzehnt hinweg anfällig - erst im Juni 2026 hat Microsoft elf veraltete, aber noch als vertrauenswürdig eingestufte Komponenten gesperrt. Dieser Artikel beleuchtet die historischen Hintergründe, die statistischen Risiken von Bootkits und die technische Ursache der Schwachstelle, bevor er die von Microsoft ergriffenen Gegenmaßnahmen darstellt.
Hintergrund zu Secure Boot und Bootkits
Secure Boot wurde 2012 zusammen mit UEFI eingeführt, um die Ausführung nicht signierter Firmware-Code zu verhindern. Ziel war es, sogenannte Bootkits zu blockieren - Malware, die bereits in der Firmware eines Computers nistet und damit vor dem eigentlichen Betriebssystem aktiv wird. Diese frühen Angriffe gelten als besonders gefährlich, weil sie selbst nach einer Neuinstallation des Betriebssystems oder dem Austausch der Festplatte erhalten bleiben.
Definition von Bootkits
- Was sind Bootkits? Bootkits sind Malware, die in die Firmware eines Systems eindringen und dort aktiv wird, bevor das Betriebssystem geladen wird (ESET, 2026).
Statistische Daten zu Bootkits
Laut einer Studie von BlueCoat Labs aus dem Jahr 2021 waren Bootkits für einen signifikanten Anteil an Firmware-Angriffen verantwortlich:
- 25 % der Malware-Angriffe wurden 2021 durch Bootkits verursacht (BlueCoat Labs, 2021).
- Bis 2022 wurden insgesamt vier unterschiedliche Bootkits öffentlich bekannt (Quelle S1).
Diese Zahlen verdeutlichen, dass Bootkits nicht nur ein Randphänomen, sondern ein relevanter Teil der Bedrohungslandschaft sind.
Die Schwachstelle bei Microsoft: Veraltete Shims
Ein Bericht des Sicherheitsunternehmens ESET weist darauf hin, dass Microsoft über mehr als zehn Jahre hinweg elf veraltete Shims nicht gesperrt hatte, obwohl deren Schwachstellen bereits seit 2013 bekannt waren. Shims sind kleine Programme, die von Microsoft entwickelt wurden, um den Secure-Boot-Mechanismus auch für Linux-Systeme und bestimmte Hilfsprogramme nutzbar zu machen. Sie fungieren als zusätzliche Vertrauensinstanz und prüfen, welche Software beim Booten geladen werden darf.
Die Kernproblematik lag nicht in einer neu entdeckten Lücke, sondern darin, dass Microsoft die betroffenen Shims trotz bekannter Mängel nicht rechtzeitig aus der Vertrauensliste entfernte. Dadurch konnten Angreifer ältere, weiterhin signierte Versionen einsetzen und die Schutzfunktion von Secure Boot umgehen. In der Praxis bedeutete das, dass Firmware mit integriertem Schadcode bereits beim Systemstart aktiv werden konnte und selbst nach einer Neuinstallation des Betriebssystems erhalten blieb.
Technische Details der betroffenen Shims
Von den elf betroffenen Shims wurden einige von Linux-Distributionen wie Red Hat, OpenSUSE und Oracle verwendet, andere stammten aus Drittanbieter-Software. Viele dieser Shims fehlten moderne Schutzmechanismen wie SBAT (Secure Boot Advanced Targeting) oder MOK-Sperrlisten, die erst nach ihrer Veröffentlichung eingeführt wurden. Zusätzlich enthielten einige bekannte Programmierfehler.
Komplexität des Secure-Boot-Systems
Die Verwaltung von Secure Boot ist aufgrund mehrerer ineinandergreifender Komponenten besonders herausfordernd:
- Mehrere Datenbanken, Zertifikate und versionsabhängige Sperrmechanismen greifen zusammen.
- Die hohe Komplexität kann Verzögerungen bei Sicherheitsupdates verursachen, wie im Fall der elf Shims deutlich wird.
Diese Komplexität wird von Sicherheitsforschern als möglicher Grund dafür angesehen, warum die betroffenen Komponenten so lange nicht gesperrt wurden.
Maßnahmen und Behebung durch Microsoft
Im Juni 2026 hat Microsoft im Rahmen regulärer Sicherheitsupdates elf veraltete Shims gesperrt. Windows-Nutzer, die diese Updates installiert haben, gelten laut ESET nicht mehr als gefährdet. Linux-Anwender sollten prüfen, ob ihre Distribution entsprechende Aktualisierungen bereitstellt und ob die betroffenen Shims bereits widerrufen wurden.
Die Sperrung der Shims schließt die bekannte Angriffsfläche, verhindert das Laden von manipulierten Firmware-Komponenten und stärkt damit die Gesamtsicherheit von Secure Boot.
FAQ zu Secure Boot und Bootkits
Was sind Bootkits?Bootkits sind Malware, die in die Firmware eines Systems eindringen und dort aktiv wird, bevor das Betriebssystem geladen wird.Warum war Secure Boot trotz Einführung 2012 anfällig?Komplexe Verwaltung, veraltete Shims und fehlende moderne Schutzmechanismen wie SBAT führten dazu, dass Schwachstellen über Jahre hinweg nicht behoben wurden.Wie kann ich prüfen, ob mein System von der Schwachstelle betroffen ist?Windows-Nutzer sollten sicherstellen, dass die Juni-2026-Updates installiert sind. Linux-Nutzer sollten in den Paketquellen ihrer Distribution nach Updates für betroffene Shims suchen.Fazit
Secure Boot bleibt ein zentrales Element zum Schutz vor tief integrierten Malware-Angriffen. Die Entdeckung und letztlich im Juni 2026 erfolgte Sperrung von elf veralteten Shims durch Microsoft zeigen jedoch, dass die Komplexität des Systems die rechtzeitige Behebung von Schwachstellen erschweren kann. Historische Daten belegen, dass Bootkits bereits 25 % der Malware-Angriffe im Jahr 2021 ausmachten und bis 2022 vier bekannte Varianten identifiziert wurden. Durch das Entfernen der betroffenen Shims ist das Risiko, dass Angreifer Firmware-basierten Schadcode einschleusen, deutlich reduziert. Dennoch bleibt die Diskussion offen, ob das aktuelle Secure-Boot-Modell langfristig ausreichend zuverlässig ist, solange die Verwaltung von Zertifikaten, Datenbanken und Schlüsselketten so komplex bleibt.
Weitere Trends
Wirksamkeit von Trellix Stinger gegen Malware
Trellix Stinger ist ein kostenloses Tool zur speziellen Entfernung von Viren und anderer Schadsoftware. Es richtet sich vor allem an Nutzer, deren...
Windows 10 kumulatives Update KB5099539 - Was wird behoben und warum regelmäßige Updates wichtig sind
Microsoft hat am heutigen Patch-Tuesday das kumulative Update KB5099539 für Windows 10 Versionen 21H2 und 22H2 veröffentlicht. Das Update richtet...
O&O ShutUp10++ - Das Antispy-Tool für Windows 10 und 11 im Überblick
Datenschutz ist für viele Windows-Nutzer ein zentrales Anliegen. Das kostenlose Tool O&O ShutUp10++ von O&O Software aus Berlin gibt genau...