UEFI-PCs und Live-CDs

Als er sein Backup zurückspielen wollte, traute er seinen Augen nicht. Die Live-CD von Acronis True Image 2013 ließ sich nicht starten. So wie com!-Leser H. Lauenstein geht es im Moment wohl vielen Anwendern: Häufig benutzte Live-Systeme wie Gdata Rescue CD, Gparted Live-CD 0.14 oder Mint 14 funktionieren an UEFI-PCs nicht mehr.

Woran liegt’s? Der BIOS-Nachfolger UEFI stellt drei neue Anforderungen an Betriebssysteme:

64 Bit: UEFI startet grundsätzlich nur 64-Bit-Betriebssysteme. Eine Live-CD auf Basis eines 32-Bit-Systems würde gar nicht als Boot-Option erscheinen.

UEFI-Bootloader: Das Betriebssystem muss einen speziellen Bootloader für UEFI haben. Ein System ohne einen solchen UEFI-Bootloader würde wiederum gar nicht erst als Boot-Option erscheinen.

Secure Boot: Außerdem muss die Signatur des Bootloaders in UEFI hinterlegt sein. Das ist eine Sicherheitsroutine: Nur bekannte und nicht manipulierte Systeme sollen an UEFI-PCs starten dürfen. Eine Live-CD, deren Bootloader das UEFI nicht kennt, wird abgelehnt. Derzeit hat kaum eine Live-CD einen signierten Bootloader. Von den großen Betriebssystemen haben nur Ubuntu 12.10, Sabayon 11, Fedora 18, Open Suse 12.3 und Windows 8 einen signierten Bootloader, der von Secure Boot akzeptiert wird.

Das Ausmaß des Problems wird deutlich, wenn Sie sich vor Augen führen, dass derzeit vor allem Computer und Notebooks mit vorinstalliertem Windows 8 verkauft werden. Die Hersteller der Computer und Notebooks wollen mit Microsofts Windows-8-Logo werben. Das erlaubt Microsoft aber nur – hier schließt sich der Kreis –, wenn die Computer und Notebooks alle drei UEFI-Anforderungen erfüllen: 64 Bit, UEFI-Bootloader und Secure Boot.

Was können Sie tun? Eine Live-CD, die auf einem 32-Bit-System beruht oder keinen UEFI-Bootloader hat, lässt sich booten, wenn Sie in UEFI den Kompatibilitätsmodus einschalten. Dann emuliert UEFI ein herkömmliches BIOS – siehe Infografik.

Den Kompatibilitätsmodus finden Sie in UEFI unter dem Kürzel „CSM“. Das heißt Compatibility Support Module.

Ein Problem bleibt aber: Die Festplatte ist bei UEFI-PCs sinnvollerweise nach dem GPT-Partitionsschema eingeteilt. Damit kommen manche Live-CDs nicht zurecht – sie können GPT-Partitionen nicht lesen. In solch einem Fall bootet die Live-CD zwar dank BIOS-Modus, kann aber immer noch nicht auf die Festplatte zugreifen.

Anders verhalten sich Live-CDs mit 64 Bit und UEFI-Bootloader: Die können ganz normal im UEFI-Modus booten. Sie scheitern aber häufig an der fehlenden Signatur für Secure Boot. Welche das sind, zeigt die untenstehende Tabelle. Die Gparted Live-CD 0.14 etwa bootet an UEFI-PCs zunächst, wird dann aber vom System abgelehnt.

Die Sicherheitstechnik Secure Boot soll verhindern, dass sich auf dem PC ein Rootkit oder Bootkit einnistet, das noch vor dem eigentlichen Systemstart geladen wird.

Der Grund: Sicherheitssoftware – etwa der Virenscanner – startet zusammen mit Windows, kann also erst unter Windows aktiv werden. Die Malware ist aber oft so programmiert, dass sie sich tarnt und deshalb nur noch sehr schwer zu entdecken ist.

Um dem zuvorzukommen, wurde Secure Boot entwickelt. Secure Boot tritt bereits vor dem Windows-Start auf der UEFI-Ebene in Kraft und schützt so den PC.

Technisch funktioniert der Schutzmechanismus von Secure Boot so: Im UEFI sind vertrauenswürdige digitale Signaturen hinterlegt. Anhand dieser Signaturen überprüft UEFI den UEFI-Bootloader. Entspricht die Signatur des UEFI-Bootloaders derjenigen, die in UEFI hinterlegt ist, darf das System starten. Andernfalls unterbindet UEFI den Start des unbekannten Systems.

Der UEFI-Bootloader vergleicht anschließend ebenfalls anhand von Signaturen, ob der Kernel des Betriebssystems noch echt ist oder ob er zwischenzeitlich korrumpiert wurde.

Unter Windows 8 ermitteln Sie mit Bordmitteln, ob auf Ihrem PC oder Notebook Secure Boot aktiviert ist. Die gewünschte Information erhalten Sie am schnellsten in den Systeminformationen von Windows.

Wechseln Sie mit [Windows D] auf den Desktop von Windows 8. Öffnen Sie nun den „Ausführen“-Dialog mit [Windows R]. Tippen Sie in das Eingabefeld msinfo32 und bestätigen Sie mit „OK“. Das Fenster „Systeminformationen“ erscheint.

Markieren Sie in der linken Fensterhälfte den Punkt „Systemübersicht“. Scrollen Sie jetzt in der rechten Fensterhälfte nachunten bis zum Punkt „Sicherer Startzustand“. Steht dort in der Spalte „Wert“ der Eintrag „Ein“, dann ist Secure Boot eingeschaltet. Andernfalls steht hier „Aus“.

Die Sicherheitstechnik Secure Boot verhindert den Start von Betriebssystemen und Live-CDs, deren Bootloader nicht digital signiert sind beziehungsweise deren Signatur nicht in UEFI hinterlegt ist. All diese Systeme werden beim Start überprüft. Schlägt die Überprüfung fehl, wird der Start unterbunden.

Damit Sie dennoch beliebige UEFI-fähige Live-CDs starten oder Betriebssysteme installieren können, muss Secure Boot deaktiviert sein. Die Einstellung hierfür finden Sie im UEFI-BIOS Ihres PCs oder Notebooks. Hier lässt sich Secure Boot temporär oder dauerhaft ausschalten.

Starten Sie den PC und rufen Sie das Setup des UEFI-BIOS auf. Drücken Sie dazu direkt nach dem Einschalten die Taste [Entf], [F2] oder [Esc]. Wenn diese Tasten keine Wirkung zeigen, dann ziehen Sie das Handbuch des PCs oder Notebooks zurate.

Sollten Sie kein Handbuch haben, können Sie es sich oft von der Webseite des Herstellers besorgen. Suchen Sie dort in der Rubrik „Support“.

Die Funktion „Secure Boot“ befindet sich nicht in jedem UEFI-BIOS an derselben Stelle. Suchen Sie daher nach einem Register namens „Security“, „Boot“ oder „BIOS Funktionen“, dort ist die Funktion meist zu finden.

Wenn Sie Secure Boot gefunden haben, öffnen Sie die Einstellung und deaktivieren Sie die Sicherheitstechnik. Speichern Sie die geänderten Einstellungen ab und verlassen Sie das UEFI-BIOS.

Der PC startet daraufhin neu. Wenn Windows wieder vollständig hochgefahren ist, machen Sie die Probe aufs Exempel. Wechseln Sie dazu mit [Windows D] auf den Desktop und rufen Sie wie beschrieben die Systeminformationen von Windows auf. Prüfen Sie die Angabe bei „Sicherer Startzustand“. Hier sollte jetzt in der Spalte „Wert“ die Angabe „Aus“ stehen.

Hinweis: Bei manchen Systemen – etwa bei Notebooks von Acer – müssen Sie erst ein Passwort für das UEFI-BIOS vergeben, damit sich Secure Boot deaktivieren lässt.