
Wenn Sie den Netzschalter Ihres Computers drücken, erwarten Sie wahrscheinlich, dass Windows, macOS oder Linux in Aktion treten. Aber etwas ist den meisten Menschen nicht bewusst: Wenn Sie Ihren Desktop sehen, hat Ihr Computer bereits Millionen von Anweisungen auf mehreren unabhängigen Prozessoren ausgeführt. Es hat bereits eine große Menge Firmware-Code auf mehreren Controllern ausgeführt, möglicherweise Boot-Komponenten mit kryptografischen Signaturen überprüft, Speicher trainiert, Geräte initialisiert und die Maschine zum Laden eines Betriebssystems vorbereitet. Und das alles, bevor Ihr eigentliches Betriebssystem überhaupt zu laden beginnt.
Auf dieser unsichtbaren Schicht des Pre-Boot-Codes befinden sich einige der anfälligsten Teile Ihres Computers. Wenn Sie verstehen, was in diesen ersten Sekunden passiert, können Sie hartnäckige Startprobleme beheben, sich vor Angriffen schützen oder einfach Ihren Computer und die internen Abläufe besser verstehen. Außerdem zeigt es, wie komplex die moderne Datenverarbeitung geworden ist und dass in Ihrem System viel mehr vor sich geht, als man auf den ersten Blick sieht.
Ein kleines Subsystem startet den gesamten Bootvorgang
Intel und AMD haben es beide

Bevor Ihre Haupt-CPU überhaupt aufwacht, läuft bereits Code auf Ihrem Computer. Sowohl Intel- als auch AMD-Prozessoren enthalten separate, autonome Sicherheitsprozessoren, die sich einschalten, sobald Ihr Motherboard mit Strom versorgt wird, auch wenn Ihr Computer „ausgeschaltet“ ist. Wir beginnen mit dem, was bei Intel passiert. Wenn Sie einen Intel-Prozessor haben, der nach 2008 hergestellt wurde, ist Ihr Computer wahrscheinlich mit der Intel Management Engine (ME) ausgestattet. Dabei handelt es sich um ein Subsystem innerhalb der Plattform mit eigenem Betriebssystem (MINIX 3 ab Firmware-Version 11), vollständigem Zugriff auf den Speicher Ihres Systems und kann sogar eine Out-of-Band-Netzwerkverwaltung bereitstellen, wenn das Host-Betriebssystem ausgefallen ist.
Der ME hat Zugriff auf alles: Ihren Arbeitsspeicher, Ihren Speicher, Ihren Netzwerkadapter. Und es läuft ständig im Energiesparmodus, solange es Standby-Strom erhält. Dies ist kein Fehler oder eine Hintertür, obwohl Sicherheitsforscher und Organisationen wie die Electronic Frontier Foundation Bedenken hinsichtlich des Missbrauchspotenzials geäußert haben. Während die EFF sagt, dass ME „jetzt eine separate Computerumgebung darstellt, die darauf ausgelegt ist, Benutzern die Kontrolle über ihren Computer zu verweigern“, ist sie darauf ausgelegt, Unternehmensfunktionen wie Fernverwaltung und Sicherheit auf Hardwareebene zu ermöglichen.
AMDs Äquivalent ist der Platform Security Processor (PSP), der seit etwa 2013 in AMD-Chips vorhanden ist. Auf AMD-Plattformen bootet der Arm Cortex-A5 PSP, bevor die x86-Kerne vollständig freigegeben sind, und nimmt an der frühen Plattforminitialisierung und Root-of-Trust-Prüfungen teil. Das macht es so interessant: Ihre x86-Prozessorkerne können buchstäblich nicht starten, bis die PSP dies zulässt. Es überprüft die Authentizität Ihrer Firmware, bevor Ihre Haupt-CPU eine einzelne Anweisung ausführt.
Beide Sicherheitsprozessoren stellen die erste Ebene der Codeausführung dar und werden ausgeführt, bevor alles, was Sie normalerweise als „Ihren Computer“ bezeichnen, überhaupt beginnt.
Wie die Firmware entstanden ist und was sie tatsächlich tut
Vom BIOS zu UEFI

Drücken Sie den Netzschalter an Ihrem Computer. Es mag augenblicklich erscheinen, aber tatsächlich passiert nichts, bis der Sicherheitsprozessor grünes Licht gibt. Dies ist der Zeitpunkt, an dem Ihre CPU aufwacht und sofort nach Anweisungen an einer bestimmten Speicheradresse sucht, die als Reset-Vektor bezeichnet wird. Auf x86-Prozessoren ist dies der Speicherort FFFFFFF0h (16 Byte unter 4 GB). Die CPU beginnt mit dem Abrufen von dieser Adresse, die über die Chipsatzzuordnung der Firmware zugeordnet ist, und findet dort die Firmware Ihres Systems. Diese System-Firmware ist im Laufe der Jahrzehnte enorm gewachsen.
Das ursprüngliche IBM PC-BIOS passt in 8 Kilobyte ROM. Moderne UEFI-Firmware kann bis zu 32 Megabyte groß sein, was einer Steigerung um das 4.000-fache entspricht, und das liegt daran, dass Ihre Firmware heute eine beträchtliche Anzahl von Aufgaben übernimmt, die 1981 noch unvorstellbar gewesen wären. Wenn Sie sich fragen, was der Unterschied zwischen einem BIOS und einem UEFI ist, erreichen sie für den Endbenutzer das gleiche Ziel, sind aber unter der Haube sehr unterschiedlich.
Wenn Sie im letzten Jahrzehnt einen Computer gekauft haben, verwendet dieser mit ziemlicher Sicherheit UEFI (Unified Extensible Firmware Interface) und nicht BIOS (Basic Input Output System). Das Legacy-BIOS arbeitet im 16-Bit-Real-Modus, kann nur auf 1 MB Speicher zugreifen und ist aufgrund von Master Boot Record (MBR)-Einschränkungen auf das Booten von Laufwerken mit weniger als 2,2 TB beschränkt. Die Benutzeroberfläche ist textbasiert und nur über die Tastatur möglich. UEFI läuft jedoch im 32-Bit- oder 64-Bit-Modus mit Zugriff auf Ihren gesamten Systemspeicher. Es kann mithilfe von GPT-Partitionstabellen von Laufwerken mit bis zu 9,4 Zettabyte (theoretisch) booten. Es unterstützt grafische Schnittstellen mit Mauseingaben, kann Hardware für schnellere Startzeiten parallel initialisieren und verfügt über integrierte Netzwerkunterstützung.
Am wichtigsten für die Sicherheit ist, dass UEFI Secure Boot eingeführt hat, einen Mechanismus, der die digitalen Signaturen von Boot-Komponenten mithilfe von typischerweise RSA-basierten (üblicherweise RSA-2048, abhängig von der Plattformrichtlinie) Zertifikaten validiert, bevor sie ausgeführt werden dürfen. Dadurch entsteht eine Vertrauenskette von der Firmware über den Bootloader bis zum Betriebssystemkernel. Obwohl sowohl UEFI als auch BIOS das Booten Ihres Computers ermöglichen und Low-Level-Einstellungen verwalten können, handelt es sich hinsichtlich der Implementierung um sehr unterschiedliche Systeme.
Validierung der Vertrauenskette
Der POST-Prozess ist komplex

Wenn wir von einem Computer-POSTing sprechen, meinen wir damit, dass der Computer den Power-On-Selbsttest bestanden hat. Dies ist die POST- und Initialisierungssequenz, die die meisten Computer normalerweise durchlaufen:
-
Initialisieren Sie Ihre CPU und laden Sie Mikrocode-Patches, um Prozessorfehler zu beheben
-
Testet und konfiguriert RAM, was komplexe Timing-Kalibrierungen erfordert
-
Initialisieren Sie Speichercontroller, USB-Anschlüsse, Netzwerkschnittstellen und Anzeigeadapter
-
Führen Sie Diagnosetests durch, um die Hardwarefunktionalität zu überprüfen
-
Verwalten Sie die Auswahl und Priorität des Startgeräts
-
Validieren Sie kryptografische Signaturen auf Boot-Komponenten (wenn Secure Boot aktiviert ist).
-
Laden Sie zusätzliche Firmware von Erweiterungskarten und Peripheriegeräten
Der letzte Punkt ist besonders wichtig, da Ihre Grafikkarte, Ihr Netzwerkadapter, Ihr RAID-Controller und andere Peripheriegeräte jeweils über eine eigene eingebettete Firmware verfügen, die als Option ROMs bezeichnet wird. Diese werden während des Startvorgangs ausgeführt, um ihre jeweilige Hardware zu initialisieren, wodurch noch mehr Code zur Ausführungsumgebung vor dem Betriebssystem hinzugefügt wird.
Secure Boot (wenn aktiviert) erzwingt Signaturprüfungen für UEFI-Bootloader und UEFI-Treiber in der Pre-OS-Umgebung. Aber nicht jede Firmware auf dem Bus wird automatisch in der Art und Weise überprüft, wie Sie vielleicht annehmen, insbesondere wenn Sie Options-ROMs von Drittanbietern und die vielen Gerätecontroller, die sich selbst initialisieren, einbeziehen. Aus diesem Grund ist auch das Trusted Platform Module (TPM) wichtig, da es sich um einen dedizierten Sicherheitschip handelt, der für den gemessenen Start verwendet wird. Dies bedeutet, dass Firmware und frühe Startkomponenten kryptografische Messungen (Hashes) in TPM-Plattformkonfigurationsregistern aufzeichnen, bei denen es sich um spezielle Speicherregister handelt, die vom TPM verwendet werden. Tools wie BitLocker können diese Messungen verwenden, um unerwartete Startänderungen zu erkennen und eine Wiederherstellung anzufordern
Typischerweise ist dies eine allgemeine Übersicht über den Startvorgang auf einer modernen Windows 11-Maschine:
-
Der Sicherheitsprozessor (ME/PSP) überprüft die Firmware
-
Die Firmware überprüft den Bootloader (über Secure Boot)
-
Secure Boot validiert die Signaturen von UEFI-Boot-Komponenten (dem Windows-Boot-Manager oder Winload). Nach der Übergabe erzwingen die Windows-eigenen Codeintegritätsmechanismen die Kernel- und Treibersignaturrichtlinie.
-
Der Kernel überprüft Treiber und Systemkomponenten
Theoretisch entsteht dadurch eine ununterbrochene Vertrauenskette von der Hardware zur Software. In der Praxis finden Forscher immer wieder Wege, es zu durchbrechen.
Firmware-Angriffe sind gefährlich und die Schwachstellen häufen sich
BlackLotus ist eines von vielen Beispielen
Malware auf Firmware-Ebene (oft als Bootkits bezeichnet) kann Neuinstallationen des Betriebssystems überleben, da die Neuformatierung Ihres Laufwerks die Firmware nicht beeinträchtigt. Es umgeht Antivirensoftware, da Sicherheitstools auf der Betriebssystemebene ausgeführt werden, während die Firmware darunter ausgeführt wird. Erinnern Sie sich, wie wir erwähnt haben, dass die Management Engine von Intel ein Sicherheitsproblem darstellt? Es wird oft als auf Ringebene 3 ausgeführt beschrieben, was bedeutet, dass es sich unterhalb des Betriebssystems befindet und alles, was auf dieser Ebene ausgeführt wird, möglicherweise nicht erkannt wird. Darüber hinaus kann Code, der so früh ausgeführt wird, alle nachfolgenden Aktivitäten sehen.
Die einzige annähernd zuverlässige Möglichkeit, Firmware-Malware zu entfernen, besteht häufig darin, die Firmware selbst erneut zu flashen, vorausgesetzt, dass sie nicht auf SPI-Deskriptorsperren oder Kapselaktualisierungspfade abzielt oder auf angeschlossenen Geräten verbleibt. Mit anderen Worten: Wenn Sie feststellen, dass Ihr Motherboard infiziert ist, ist es wahrscheinlich sicherer, einfach ein neues Motherboard zu kaufen. Im Laufe der Jahre gab es mehrere UEFI-Bootkits, wobei BlackLotus eines der bekanntesten Beispiele war, das die Schwächen und Sperrlücken des Secure Boot-Ökosystems ausnutzte. Es gibt jedoch auch andere Probleme, die bereits im letzten Jahr aufgetreten sind.
-
Januar 2025: ESET-Forscher haben eine UEFI Secure Boot-Umgehung (CVE-2024-7344) entdeckt, die die meisten UEFI-basierten Systeme betrifft.
-
Juni 2025: Forscher entdeckten „Hydroph0bia“ (CVE-2025-4275), eine sichere Boot-Umgehung, die die Ausführung von Schadcode beim frühen Booten auf Systemen ermöglicht, auf denen scheinbar alle Schutzmaßnahmen aktiviert sind.
-
Juli 2025: Es wurde festgestellt, dass Gigabyte-Motherboards im System Management Mode (SMM), einem speziellen CPU-Betriebsmodus, der unterhalb der Betriebssystemebene ausgeführt wird, anfällig für Speicherbeschädigungslücken sind (CVE-2025-7026, CVE-2025-7027, CVE-2025-7029). Diese Fehler könnten eine dauerhafte Bootkit-Installation ermöglichen, die Neuinstallationen des Betriebssystems übersteht. Weder Intel Boot Guard noch UEFI Secure Boot können diese Angriffe verhindern, da Secure Boot die SMM-Ausnutzung nicht stoppt.
-
Dezember 2025: Von Riot Games entdeckt, wurden frühe Boot-DMA-Angriffsschwachstellen gefunden (CVE-2025-14304, CVE-2025-11901, CVE-2025-14302, CVE-2025-14303), die Motherboards von ASRock, ASUS, GIGABYTE und MSI betreffen. Diese ermöglichten es Angreifern mit physischem Zugang, Schadcode über PCIe-Geräte einzuschleusen, da die Firmware fälschlicherweise meldete, dass der DMA-Schutz aktiv sei, obwohl dies nicht der Fall war.
Ein weiterer Fehler moderner UEFI-Implementierungen ist die Anforderung, das integrierte Zertifikat zu aktualisieren, das überprüft, ob das UEFI selbst nicht manipuliert wird. Das Microsoft UEFI CA 2011-Zertifikat läuft im Juni 2026 ab und wird auf vielen älteren Geräten verwendet. Während die meisten UEFI-Implementierungen die Überprüfung des Zertifikatdatums deaktivieren, hat Microsoft erklärt, dass Systeme aktualisierte Secure Boot-Zertifikate benötigen, um weiterhin Windows auszuführen und regelmäßige Updates zu erhalten, wenn Secure Boot aktiviert ist. Bei Linux-Systemen kann es auch auf Systemen mit aktiviertem Secure Boot zu Startproblemen kommen, wenn die Zertifikate nicht aktualisiert werden.
Es passiert alles hinter den Kulissen
Unter der Haube passiert etwas

Was in den ersten paar Sekunden passiert, nachdem Sie den Netzschalter gedrückt haben, ist wichtiger als Sie denken. Die Sicherheitsprozessoren, die Firmware-Schichten und die kryptografische Überprüfung sind für die meisten Menschen unsichtbar. Aber wenn jemand herausfindet, wie man Secure Boot durch Ausnutzung eines Firmware-Fehlers umgehen kann, hat das schwerwiegende Konsequenzen. Malware, die nach dem Löschen eines Laufwerks und der Neuinstallation von Windows bestehen bleibt, ist Ihr geringstes Problem. Es geht darum herauszufinden, dass man es überhaupt hat. Ihr Antivirenprogramm wird es sicherlich nicht erkennen.
Abonnieren Sie den Newsletter für Einblicke in die Firmware- und Boot-Sicherheit
Bleiben Sie auf dem Laufenden, indem Sie den Newsletter abonnieren, um gezielte und ausführliche Berichterstattung über Firmware und Early-Boot-Sicherheit zu erhalten: UEFI, Secure Boot, TPM-Messungen und neu auftretende Bootkit-Schwachstellen, mit klaren Erklärungen und Expertenanalysen, um zu verstehen, was vor Ihrem Betriebssystem funktioniert.
Abonnieren
Mit Ihrer Anmeldung stimmen Sie dem Erhalt von Newslettern und Marketing-E-Mails zu und akzeptieren die Nutzungsbedingungen und Datenschutzrichtlinien von Valnet. Sie können sich jederzeit abmelden.
Glücklicherweise hat die Sicherheitsgemeinschaft UEFI und Secure Boot große Aufmerksamkeit geschenkt, und Hardwarehersteller gehen vorsichtiger vor und patchen die Dinge umfangreicher. Dennoch gibt es hier eine unangenehme Wahrheit. Moderne Boot-Prozesse sind so kompliziert, dass wir mit jedem Fix, der mehr Code einführt, an einen Punkt gelangen, an dem es mehr Möglichkeiten gibt, dass etwas schief geht.
Wenn Sie ein regelmäßiger, typischer Benutzer sind, ist der Rat einfach. Halten Sie Ihr System auf dem neuesten Stand, lassen Sie Secure Boot aktiviert und installieren Sie BIOS-Updates, sobald diese veröffentlicht werden. Wenn Sie jemand sind, der mehr über solche Dinge nachdenken muss, kann Ihnen das Verständnis, wie alles zusammenwirkt, dabei helfen, bessere Entscheidungen darüber zu treffen, welcher Hardware Sie vertrauen und welche Maßnahmen Sie ergreifen müssen, um sich weiter zu schützen.
Ihr Computer ist beschäftigt, lange bevor Sie Ihren Desktop sehen. Mehrere Prozessoren überprüfen gleichzeitig Signaturen und initialisieren die Hardware, während andere wichtige Schritte wie das Speichertraining im Gange sind. Es werden Millionen von Anweisungen ausgeführt, bevor Ihr Betriebssystem überhaupt an die Reihe kommt. Das Erstaunlichste daran ist, dass man nie wirklich darüber nachdenken muss.
*️⃣ Quelllink:
äußerte Bedenken, Unterschied zwischen einem BIOS und einem UEFI, überprüft Treiber und Systemkomponenten, läuft im Juni 2026 ab , , , Nutzungsbedingungen , Datenschutz Richtlinie, BIOS-Updates installieren,