Eine aktuelle Entwicklung im Bereich Secure Boot sorgt derzeit für erhebliche Unsicherheit bei Herstellern, Integratoren und Betreibern von Computersystemen. Ursache sind auslaufende Windows-Zertifikate innerhalb der UEFI-Sicherheitsinfrastruktur sowie Änderungen an den von Microsoft und Hardwareherstellern verwendeten Vertrauensketten. Die Folgen können weitreichend sein: Systeme, die über Jahre hinweg zuverlässig betrieben wurden, könnten künftig bestimmte Betriebssysteme, Recovery-Medien oder Wartungsumgebungen nicht mehr starten.
Secure Boot wurde ursprünglich eingeführt, um Computersysteme vor Manipulationen des Startvorgangs zu schützen. Die Technologie überprüft beim Einschalten digitale Signaturen von Bootloadern und stellt sicher, dass nur vertrauenswürdige Software ausgeführt wird. In der Praxis hat sich jedoch gezeigt, dass die langfristige Pflege der zugrunde liegenden Zertifikate und Schlüssel eine erhebliche Herausforderung darstellt.
Insbesondere in industriellen Anwendungen, in denen Systeme häufig über zehn Jahre oder länger betrieben werden, kollidieren moderne Sicherheitsanforderungen zunehmend mit den Anforderungen an Langzeitverfügbarkeit und Investitionsschutz. Während Betriebssysteme, Firmware und Sicherheitsmechanismen kontinuierlich weiterentwickelt werden, verbleiben Industrie-PCs oftmals über viele Jahre unverändert im produktiven Einsatz.
Die aktuelle Situation macht deutlich, wie abhängig die Secure-Boot-Funktion von einem komplexen Zusammenspiel zwischen Betriebssystemherstellern, Hardwareanbietern und Firmware-Lieferanten geworden ist. Werden notwendige Aktualisierungen nicht bereitgestellt oder können diese auf älteren Systemen nicht mehr eingespielt werden, drohen Kompatibilitätsprobleme bis hin zu Startausfällen. Betroffen sein können dabei nicht nur produktive Systeme, sondern insbesondere Installations-, Wartungs- und Wiederherstellungsmedien, die häufig über viele Jahre hinweg unverändert verwendet werden.
Für Betreiber kritischer Anlagen stellt dies ein nicht zu unterschätzendes Risiko dar. Ein Industrie-PC, der im laufenden Betrieb zuverlässig arbeitet, kann im Service- oder Wiederherstellungsfall plötzlich vor unerwarteten Herausforderungen stehen, wenn erforderliche Boot-Komponenten von aktuellen Secure-Boot-Richtlinien nicht mehr akzeptiert werden. Gleichzeitig sind viele Unternehmen auf die Unterstützung der jeweiligen Hardwarehersteller angewiesen, da bestimmte Zertifikate ausschließlich durch Firmware- oder BIOS-Updates erneuert werden können.
Als Anbieter industrieller Computersysteme beobachten wir die Entwicklungen rund um Secure Boot, UEFI-Firmware und Microsoft-Sicherheitsanforderungen aufmerksam. Die aktuelle Situation unterstreicht einmal mehr die Bedeutung langfristig gepflegter Hardwareplattformen sowie einer engen Zusammenarbeit zwischen Herstellern, Integratoren und Betreibern, um sowohl hohe Sicherheitsstandards als auch die langfristige Verfügbarkeit industrieller Systeme sicherzustellen.
Jedoch - auch wenn das Thema Secure Boot aktuell verstärkt diskutiert wird, stellt sich die praktische Relevanz nach unseren bisherigen Erkenntnissen als überschaubar dar. Bei den von uns eingesetzten Mainboards ist Secure Boot standardmäßig nicht aktiviert, sodass in vielen Anwendungsfällen keine Auswirkungen zu erwarten sind. Da die tatsächliche Betroffenheit jedoch von der jeweiligen Systemkonfiguration abhängt, können wir Einzelfälle nicht vollständig ausschließen. Sollten im Zusammenhang mit Secure Boot Fragen oder Probleme auftreten, steht Ihnen unser Support-Team selbstverständlich gerne zur Verfügung. Gemeinsam finden wir schnell und unkompliziert eine passende Lösung.