Sehr geehrte Leserinnen und Leser,

mussten Sie in letzter Zeit mal ein Windows installieren? Falls nein, herzlichen Glückwunsch – ich schon. Einer meiner Söhne hatte, um EAs Spyware-verseuchtes, ohne Netzverbindung nicht benutzbares Battlefield**3 zocken zu können (warum gelten Spiele eigentlich als Pro-Windows-Argument?), seinem PC eine neue Grafikkarte und in der Folge auch gleich ein größeres Netzteil spendieren müssen. Das vorinstallierte Windows 7 reagierte mit einer Komplettgrätsche, es half nur noch eine Neuinstallation – in stundenlanger Frickelei samt Suche und Installation von Treibern und Anwendungen unter dutzendweiser Abfrage von Lizenzschlüsseln.

Spätestens in einer solchen Situation weiß man, was man an Linux hat, selbst wenn man nur Bequemlichkeit schätzt und Freiheit ausklammert. DVD einlegen, 15 Minuten warten, fertig ist die Installation – inklusive aller Treiber, Anwendungen für jeden nur denkbaren Bereich und hunderten Tools. Mit dieser Herrlichkeit könnte es aber schon bald vorbei sein, dank eines Features mit dem harmlos erscheinenden Namen UEFI Secure Boot.

Zu den Vorteilen und Erweiterungen des kommenden BIOS-Nachfolgers UEFI [1] zählt die Möglichkeit, nur noch korrekt signierte Softwarekomponenten zu laden, so dass vom Bootloader über das Betriebssystem bis zu den Treibern eine gegen Bootkits, Rootkits und andere Malware sichere Kette entsteht. Ohne dieses UEFI Secure Boot, so die Einschätzung von Experten, dürfte vor allem das notorisch löchrige Windows gegen Schadsoftware der nächsten Generation kaum noch eine Chance haben, aber auch für andere Betriebssysteme wäre dieser Schutz durchaus eine feine Sache. Allerdings setzt dies voraus, dass UEFI bereits zur Bootzeit den Public Key des zu startenden OS kennt, sonst lädt es das System schlicht nicht.

An dieser Stelle hakt aktuell Microsoft ein: Um das Logo Designed for Windows**8 führen zu dürfen, müssen OEMs ihre Rechner mit aktiviertem Secure Boot ausliefern. Da sich PCs ohne das entsprechende Pickerl wohl schon bald nur noch mühsam verkaufen lassen – schließlich steht Windows 8 im nächsten Jahr an – setzen die Hardware-Hersteller diese Anforderung sicherlich zügig um. Die Schlüsselverwaltung aber sollen laut Microsoft die OEMs übernehmen, sodass sich auf entsprechenden Rechnern nur noch solche Betriebssysteme booten lassen, deren Public Key der OEM in UEFI hinterlegt hat.

Kommt Microsoft damit durch, booten in der Werkseinstellung neue PCs schon bald nur noch Windows 8, und sonst gar nichts [2]. Um in dieser Konstellation eine Linux-Distribution zu starten, müsste der OEM auch deren Key in seine Firmware gepatcht haben – bei hunderten Linux-Spielarten und täglich neu erscheinenden Versionen in der Praxis ein Ding der Unmöglichkeit. Selbst, wenn die Hersteller dies leisteten: Möchten Sie vor jeder Installation ein Firmware-Upgrade vornehmen? Obendrein blieben auch dann selbst übersetzte Kernel grundsätzlich außen vor. Mit viel Glück implementiert der OEM im UEFI-Interface wenigstens eine Möglichkeit, Secure Boot zu deaktivieren – was der Standard aber nicht zwingend vorschreibt.

Das breite Grinsen in den Gesichtern der Ecosystem-Strategen in Redmond kann ich mir geradezu plastisch vorstellen: Endlich haben sie einen Weg gefunden, um der lästigen Linux-Konkurrenz gründlich eins auszuwischen. Obendrein lässt sich das Ganze nicht nur als längst überfällige Sicherheitsmaßnahme verkaufen, sondern Microsoft kann im Falle eines Falles im Brustton der gerechten Entrüstung mit dem Finger anklagend auf die OEMs zeigen und diesen den schwarzen Peter zuschanzen [3].

Der entscheidende Haken von Microsofts UEFI-Konzept liegt natürlich in der Schlüsselverwaltung, bei der Redmond einmal mehr versucht, den Anwender zu entmündigen. Selbstredend darf es keinesfalls den Hardware-Herstellern überlassen bleiben, zu entscheiden, welches Betriebssystem ein Rechner bootet: Diese Kompetenz steht einzig und allein dem Benutzer zu. Dass und wie sich das gerade auch mit UEFI realisieren lässt, zeigt ein gemeinsames Papier, das Matt Garrett (Red Hat), Jeremy Kerr (Canonical) und der Kernel-Entwickler James Bottomley vorgelegt haben [4]. Nach diesem Konzept kämen zudem völlig unabhängig von ihrer Herkunft alle Betriebssysteme in den zweifellos wünschenswerten Genuss von Secure Boot.

Nun gilt es dringend, diese Tatsache auch den Hardware-Herstellern vor Augen zu führen. Die derzeit beste Möglichkeit, dies zu tun, bietet eine Unterschriftsliste der Free Software Foundation [5]. Darauf finden Sie auch meinen Namen, obwohl ich solche Listen eigentlich nicht mag. Noch viel weniger gefällt mir allerdings die Idee, in Zukunft mit der Install-DVD in der Hand vor einem für mich nutzlosen, weil per Secure Boot vernagelten Rechner zu stehen. Falls Ihnen das ähnlich geht, lassen Sie Microsoft und die OEMs das wissen und unterschreiben Sie auch.

Herzliche Grüße,

Jörg Luther

Chefredakteur