Forum: PC Hard- und Software Secure Boot - ct Heft 7


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Jobu (gehtso)


Lesenswert?

Im ct-Artikel Heft 7 „Schiffbruch mit Ansage“ erfährt der geneigte 
Leser,
„Microsofts vermeintliche Problemlösung führt zu noch mehr Chaos“
und auf Seite 63 empfiehlt der Autor Axel Vahldiek:
„Secure Boot komplett abschalten“

Im übernächsten Artikel „Boot-Notbremse lösen“ rät auf Seite 74
der Autor Christof Windeck aber:
„Sicherheitshalber raten wir davon ab, Secure Boot abzuschalten“.

Da ist wohl das Chaos bis in die ct-Redaktion vorgedrungen…

von Manfred P. (pruckelfred)


Lesenswert?

Jobu schrieb:
> Im ct-Artikel

Benutzername    gehtso
Angemeldet seit 29.03.2024 21:52
Beiträge        1

Niemand braucht frisch angemeldete Troll-Clowns, die längst bekannte 
Dinge wiederkäuen!

Beitrag "Achtung, wichtig, Windows-User!"

von Motopick (motopick)


Lesenswert?

Solange mein Herd kein Secure Boot braucht, droht keine Gefahr. :)

Aber 22H2 sei dank, weiss ich jetzt wieder, wie "blaue Bildschirme"
aussehen. Seit Jahren keinen so klapperigen Mist gesehen...

Frohes Restostern!

von Gerhard H. (hauptmann)


Lesenswert?

Jobu schrieb:
> Da ist wohl das Chaos bis in die ct-Redaktion vorgedrungen…

Bei c't immer vorsichtig sein.
Da wird gern aufgebauscht.
Die Seiten müssen gefüllt werden.
Je komplexer der Sachverhalt desto besser für sie.
Glaube nicht daß es sich Microsoft leisten wird massenhaft Windows-PCs 
stillzulegen.

Motopick schrieb:
> Solange mein Herd kein Secure Boot braucht, droht keine Gefahr.

Abwarten. Ohne Software und Cloud ist ein Gerät heutzutage sowas von 
gestern :)

: Bearbeitet durch User
von Steve van de Grens (roehrmond)


Lesenswert?

Gerhard H. schrieb:
> Glaube nicht daß es sich Microsoft leisten wird massenhaft Windows-PCs
> stillzulegen.

Die bringen lieber nicht installierbare Patche gegen angeblich hoch 
kritische Sicherheitslücken heraus. Liefern dann eine fehlerhafte 
Workaround-Anleitung, die das Rettungssystem komplett löscht, und 
belassen das dann einfach so mit dem Hinweis, man solle lieber auf 
Windows 11 upgraden. Gerne zusammen mit neuer Hardware, weil der Partner 
Intel ja auch "von irgendwas leben muss".

Es ist nur noch eine Frage der Zeit  wann Microsoft dir durch Zwang 
vorschreibt, wann du welches Gerät zu erneuern hast. Die deaktivieren es 
einfach zum gewünschten Zeitpunkt.

Mal sehen wann unsere Behörden endlich den Sinn von Open-Source 
verstehen und danach gandeln.

: Bearbeitet durch User
von Gerhard H. (hauptmann)


Lesenswert?

Steve van de Grens schrieb:
> weil der Partner Intel ja auch von irgendwas leben muss

Ja. So hält sich ein jeder irgendwie über Wasser.

Bezgl. der zuweilen haarsträubenden Probleme bei Microsoft würde ich 
vermuten, daß denen die Komplexität ihrer jahrzehntelang 
kompatibilitätsstrebend zugefrickelten Software-Landschaft langsam über 
den Kopf wächst. Daß da (im Boot-Prozess) endlich mal eine saubere 
Lösung von grundauf nötig wäre da muss man c't in besagtem Artikel 
leider Recht geben.

> Es ist nur noch eine Frage der Zeit  wann Microsoft dir durch Zwang
> vorschreibt, wann du welches Gerät zu erneuern hast. Die deaktivieren es
> einfach zum gewünschten Zeitpunkt.

Halt ich für übertrieben und wenig gesetzes-konform. Bei solcherlei 
Willkür würde sich Linux in Windeseile auf dem Desktop durchsetzen.

: Bearbeitet durch User
von (prx) A. K. (prx)


Lesenswert?

Steve van de Grens schrieb:
> Mal sehen wann unsere Behörden endlich den Sinn von Open-Source
> verstehen und danach gandeln.

Die zahlen lieber. Ist ja nicht ihr Geld.

: Bearbeitet durch User
von Dieter D. (Firma: Hobbytheoretiker) (dieter_1234)


Lesenswert?

Gerhard H. schrieb:
> Halt ich für übertrieben und wenig gesetzes-konform. Bei solcherlei
> Willkür würde sich Linux in Windeseile auf dem Desktop durchsetzen.

Das glaube ich nicht, dass das passieren wird. Zumindest in diesem Lande 
würden eher alle Ressorts alles Geld (HHM) in neue Hardware mit 
funktionierenden Linux ausgegeben werden. Eher wird dafür Bürgergeld 
reduziert und UKR-Hilfen gestrichen werden.

von Manfred F. (manfred_f)


Lesenswert?

Jobu schrieb:
> Da ist wohl das Chaos bis in die ct-Redaktion vorgedrungen

Zwei Autoren. Zwei Meinungen. Was ist daran Chaos?

von (prx) A. K. (prx)


Lesenswert?

Gerhard H. schrieb:
> Halt ich für übertrieben und wenig gesetzes-konform.

Läuft doch schon, nur nicht ganz so aggressiv. Das Ende von Win10 ist 
definiert, die Hardware-Voraussetzungen von Win11 sind es ebenso. Die 
wichtigste Kundschaft, die Unternehmen, muss sich effektiv daran halten. 
Nur privat hat man etwas Spielraum, aber mit einigem FUD gewürzt.

: Bearbeitet durch User
von Gerhard H. (hauptmann)


Lesenswert?

(prx) A. K. schrieb:
> Das Ende von Win10 ist definiert,

Das Ende des Supports ist definiert.
Deshalb werden noch lange keine Geräte einfach so "abgeschaltet".
Der Wechsel zu Win11 ist kostenlos.
Allenfalls kann man hier von Update-Zwang reden.

von Dieter D. (Firma: Hobbytheoretiker) (dieter_1234)


Lesenswert?

(prx) A. K. schrieb:
> Die wichtigste Kundschaft, die Unternehmen, muss sich effektiv daran halten.

Die Vorgaben an die IT-Sicherheit des BSI lauten Betriebssysteme, die 
noch mit allen Sicherheitspatches versorgt werden und es eine 
Becheinigung vom Hersteller zum Abheften gibt (was OSS nicht bieten 
kann). Dem traut sich kein IT-Sicherheitsbeauftragter zu widersprechen.

Bei der Loksteuerung mit Win 3.11 (was hier in einem Thread verrissen 
wurde) hatte ein IT-Sicherheitsbeauftragter den Mut für die 
Inselanwendung das weiter nutzen zu lassen.

von (prx) A. K. (prx)


Lesenswert?

Gerhard H. schrieb:
> Daß da (im Boot-Prozess) endlich mal eine saubere
> Lösung von grundauf nötig wäre da muss man c't in besagtem Artikel
> leider Recht geben.

Bedenke gut, was du dir wünschst, es könnte wahr werden. Nur nicht 
exakt so, wie erträumt. Die sauberste Lösung aus Sicht von Microsoft 
wäre nämlich jene, die Apple vormacht. Eine strikte Kopplung aus 
Hardware und Betriebssystem. Ohne lästige Öffnungs-Kompromisse für 
andere Betriebssysteme. Die können ja unter Windows laufen, via WSL oder 
HyperV.

von Dergute W. (derguteweka)


Lesenswert?

Juhuu!

Das ist jetzt aber wirklich endlich das Ende von Microsoft und der 
Durchbruch von Leeeeehnuuhx auf dem Desktop.
Diesmal ganz bestimmt !111!EINS!!!elf!11

scnr,
WK

von (prx) A. K. (prx)


Lesenswert?

Dieter D. schrieb:
> was OSS nicht bieten kann

Gesicherte Versorgung mit Security-Patches gibt es durchaus. Ist bei 
Servern auch verbreitet. Das BSI mischt sich da nicht gross ein.

: Bearbeitet durch User
von (prx) A. K. (prx)


Lesenswert?

Gerhard H. schrieb:
> Der Wechsel zu Win11 ist kostenlos.

Wenn man von den Kosten der ggf neuen Hardware absieht. Wie gesagt, ich 
fokussiere mich hier auf Unternehmen. Lösungen, die formal inkompatible 
Plattformen weiter nutzen, sind da eher keine Option.

: Bearbeitet durch User
von Gerhard H. (hauptmann)


Lesenswert?

(prx) A. K. schrieb:
> Die sauberste Lösung aus Sicht von Microsoft  wäre nämlich jene, die
> Apple vormacht

Möglicherweise. Als Microsoft-PC.
Muss für die Sicherheit ja nicht die schlechteste Lösung sein.
Unabhängig davon kann die PC-Plattform als solche ja durchaus frei von 
OS-Festlegungen bleiben. Die muß durch technische Erfordernisse sicheren 
Startens noch lange nicht in Gefahr geraten. Aktuelle Trends drängen 
eher in Richtung Offenheit als zur Abschottung. Siehe Apple.

(prx) A. K. schrieb:
> ich fokussiere mich hier auf Unternehmen.

Da wird sowieso regelmäßig geupdatet.
Doch genausowenig zwangsabgeschaltet.
Es hält sich das Gerücht daß viel Technik sogar mit noch älteren Win-OS 
arbeitet :)

: Bearbeitet durch User
von (prx) A. K. (prx)


Lesenswert?

Gerhard H. schrieb:
> Als Microsoft-PC.

Nicht doch, das ist zu auffällig und provoziert Zwangsöffnung durch 
Staaten bzw EU. Du darfst den sehr wohl bei einem Hersteller deiner Wahl 
kaufen. Nur bootet halt sonst nichts, oder erst nach Zwangslöschung 
aller bereits bestehenden Daten beim Öffnen des Bootloaders, wie bei 
Android. Sicherheitstechnisch ist das ziemlich sauber, weil man nicht 
mit einem Fremdsystem in bestehende Installationen reinspicken kann.

: Bearbeitet durch User
von Steve van de Grens (roehrmond)


Lesenswert?

(prx) A. K. schrieb:
> Sicherheitstechnisch ist das ziemlich sauber

Dachte man in den 80er Jahren. Mittlerweilen weiss nan es besser. 
Sicherheit entsteht nicht durch Verschlossenheit und Geheimniskrämerei. 
Damit verheimlicht man die Lücken nur etwas länger.

: Bearbeitet durch User
von Gerhard H. (hauptmann)


Lesenswert?

(prx) A. K. schrieb:
> Sicherheitstechnisch ist das ziemlich sauber, weil man nicht mit einem
> Fremdsystem in bestehende Installationen reinspicken kann.

Ja absolut. Die Sicherheit heiligt diese Vorgehensweise. Das bedeutet 
allerdings noch lange nicht das prinzipielle technische Aus der 
Möglichkeit, statt dessen ein anderes OS zu installieren.


Ohne

Steve van de Grens schrieb:
> Verschlossenheit und Geheimniskrämerei

gehts beim Thema Sicherheit aber nicht.

: Bearbeitet durch User
von (prx) A. K. (prx)


Lesenswert?

Gerhard H. schrieb:
> Da wird sowieso regelmäßig geupdatet.

Die Software ja, die Hardware nicht so. Eine Lebensdauer von 10 Jahren 
ist bei Büro PCs nicht mehr so exotisch wie vor 20 Jahren. Hätte nicht 
Corona via Home Office querbeet für Grundrenovierung in Form damals 
aktueller Laptops gesorgt, wären bei uns viele Anwender-Desktops in 
Ehren ergraut und würden noch Win11 erleben. In der IT selbst werden 
derzeit alte Gen4 Desktops nur aufgrund der Win11 Anforderung ersetzt. 
Die höhere Leistung ist spürbar irrelevant.

: Bearbeitet durch User
von Gerhard H. (hauptmann)


Lesenswert?

(prx) A. K. schrieb:
> Die höhere Leistung ist irrelevant.

Dafür vielleicht umso mehr ein aktueller Software-Stand, gerade auch was 
die Software Sicherheit betrifft. Inwieweit hier sanfter Zwang 
gerechtfertigt ist kann man sich streiten. Die IT-Entwicklung jedenfalls 
schreitet -zwangsläufig- voran.

von (prx) A. K. (prx)


Lesenswert?

Gerhard H. schrieb:
> Dafür vielleicht umso mehr ein aktueller Software-Stand, gerade auch was
> die Software Sicherheit betrifft.

Ich denke, das hast du falsch verstanden. Die alten Gen4 hatten stets 
aktuell gehaltenes Win10 drauf und hätten auch Win11 bekommen, wenn MS 
das offiziell zuliesse. Statt dessen werden Gen8 Altbestände aus dem 
Lager gezogen und mit Win11 versorgt. Den Unterschied spüre ich kaum.

: Bearbeitet durch User
von Thorsten S. (thosch)


Lesenswert?

Traditionelle Amerikanische Großkonzerne, einstige Technologieführer, 
sind halt auch nicht mehr das, was sie mal waren...

- Boeing Flugzeuge verlieren Rumpfteile und Fahrwerksräder im Flug
- Microsoft vergeigt erst ein Update und dann gleich auch noch den
  Workaround für das so verursachte Problem
- Weitere Beispiele liefert die US-Autoindustrie...

von René H. (mumpel)


Lesenswert?

Steve van de Grens schrieb:
> Mal sehen wann unsere Behörden endlich den Sinn von Open-Source
> verstehen und danach gandeln.

Das haben ja welche versucht. Und mussten zurück zu Windows und MSO, 
weil Opensource nicht so funktioniert hat wie es eine Behörde braucht. 
Ihr Opensource-Jünger müsst mal begreifen, dass Opensource nicht in 
jedem Bereich funktioniert. Nicht überall gibt es Standard-Formate, die 
in allen Programmen funktionieren. MSO und LibreOffice sind gute 
Beispiele. Sie unterstützen das jeweils andere Format nur sehr 
halbherzig.

: Bearbeitet durch User
von (prx) A. K. (prx)


Lesenswert?

Steve van de Grens schrieb:
> (prx) A. K. schrieb:
>> Sicherheitstechnisch ist das ziemlich sauber
>
> Dachte man in den 80er Jahren. Mittlerweilen weiss nan es besser.
> Sicherheit entsteht nicht durch Verschlossenheit und Geheimniskrämerei.
> Damit verheimlicht man die Lücken nur etwas länger.

Hat wenig miteinander zu tun, was wir beiden schrieben. Mir ging es 
dabei nicht um Geheimniskrämerei, sondern um Schutz vor Einblick und 
Manipulation bestehender Installationen. Du kannst in Googles Pixels 
laden, was immer du willst, aber den Bootloader zu öffnen löscht den 
bestehenden Inhalt. Ob das Open oder Closed Source ist, ist für dieses 
Prinzip nicht relevant.

von (prx) A. K. (prx)


Lesenswert?

René H. schrieb:
> weil Opensource nicht so funktioniert hat wie es eine Behörde braucht

Das mag sein. Aber ob es Zufall war, dass justament zu diesem Zeitpunkt 
die Firmenzentrale von Microsoft dorthin umzog? :)

: Bearbeitet durch User
von (prx) A. K. (prx)


Lesenswert?

Thorsten S. schrieb:
> Traditionelle Amerikanische Großkonzerne, einstige Technologieführer,
> sind halt auch nicht mehr das, was sie mal waren...

Nachdem Deutsche Wertarbeit dabei erwischt wurde, zu mogeln dass sich 
die Balken biegen. O Tempora o mores. Die Chinesen haben es insoweit 
einfacher, als man denen von vorneherein nicht über den Weg traut.

von (prx) A. K. (prx)


Lesenswert?

Gerhard H. schrieb:
>> ich fokussiere mich hier auf Unternehmen.
>
> Es hält sich das Gerücht daß viel Technik sogar mit noch älteren Win-OS
> arbeitet :)

Bekannt, aber im Unternehmen nicht verantwortbar.

von Steve van de Grens (roehrmond)


Lesenswert?

René H. schrieb:
> weil Opensource nicht so funktioniert hat wie es eine Behörde braucht.

Du redest von einzelnen Programmen. Man hätte andere Programme nehmen 
können. Oder die vorhandenen anpassen können. Das war den Behörden aber 
offenbar zu aufwändig. Da nehmen sie lieber die Risiken und Kosten 
US-Amerkianischer Closed-Source Produkte in kauf. Betrifft die Leute ja 
nicht persönlich.

Ich würde mal darüber nachdenken, warum ausgerechnet die Amerikaner so 
paranoid auf Huawei reagieren, wegen deren Closed-Source Strategie. 
Machen die irgend etwas anders?

Ja: Im Gegensatz zu einigen amerikanischen Produkten wurden Huawei noch 
keine geheimen Hintertüren nachgewiesen. Und Huawei verspricht das auch. 
Die Amerikaner versprechen hingegen nur, dass sie die guten sind.

Niemand fürchtet sich mehr vor anderen Bösewichten, als die Bösewichte 
selbst.

von René H. (mumpel)


Lesenswert?

Steve van de Grens schrieb:
> Ich würde mal darüber nachdenken, warum ausgerechnet die Amerikaner so
> paranoid auf Huawei reagieren

Den Amerikanern geht es doch nur um die eigene Wirtschaft. Die 
Amerikaner wollen die Welt kontrollieren und beherrschen. "Amerika 
first".

von Rainer Z. (netzbeschmutzer)


Lesenswert?

René H. schrieb:
> Das haben ja welche versucht. Und mussten zurück zu Windows und MSO,
> weil Opensource nicht so funktioniert hat wie es eine Behörde braucht.
> Ihr Opensource-Jünger müsst mal begreifen, dass Opensource nicht in
> jedem Bereich funktioniert.

Das erinnert mich an ein Interview der c't mit dem Admin der Stadt 
Schwäbisch-Hall, der die Schwierigkeiten mit Linux sachlich und objektiv 
beschreibt.

https://www.heise.de/hintergrund/IT-Leiter-der-Stadt-Schwaebisch-Hall-Unter-Linux-leidet-die-Produktivitaet-6678160.html

Mein Chef würde nicht auf die Idee kommen auf Linux umzusteigen. Sein 
Argument: Neben geringerer Produktivität deutlich höhere 
Schulungskosten, besonders seitdem es in der Branche wegen 
Arbeitskräftemangels eine hohe Fluktuation beim Personal gibt.

Mit Windows und Office ist das Personal von "Haus auf" vertraut, weil es 
zu Hause und beim früheren Arbeitgeber benutzt wurde. Die Umstellung auf 
Linux würde erhebliche Schulungskosten verursachen, und das auf Dauer. 
Dazu kommt wie erwähnt die geringere Produktivität, bis der Mitarbeiter 
eingearbeitet ist. Und wenn es soweit ist, wechselt er den Arbeitsplatz 
und das Spielchen beginnt von vorne.

Einen kostspieligen Admin für Linux mag sich auch niemand leisten. Bei 
Windows hat der Junior-Chef alles im Griff.

Verständlich, dass auch die öffentliche Verwaltung sich diese 
Schwierigkeiten nicht leisten will.

von René H. (mumpel)


Lesenswert?

Das Thema "Mangelhafte Unterstützung von Peripherie unter Linux" hatten 
wir ja auch schon.

von Steve van de Grens (roehrmond)


Lesenswert?

Rainer Z. schrieb:
> Verständlich, dass auch die öffentliche Verwaltung sich diese
> Schwierigkeiten nicht leisten will.

Ja, verständlich ist es. Aber auch unvernünftig. Wie so vieles, was 
Menschen tun oder unterlassen.

von (prx) A. K. (prx)


Lesenswert?

Rainer Z. schrieb:
> Einen kostspieligen Admin für Linux mag sich auch niemand leisten

Aber die gibt es immerhin.

> Bei Windows hat der Junior-Chef alles im Griff.

Die hingegen nicht, egal wie teuer. Wer branchenbedingt damit zu tun 
hat, der weiss, dass auch Microsoft höchstselbst nichts im Griff hat.

Der Unterschied liegt woanders. Wenn es im Unternehmen gerade nicht 
funktioniert, hat jemand anders Schuld. Nicht man selbst. Ist das 
effektivste Argument für die Cloud. ;)

Ausserdem sorgt die konsequente Auslagerung in die Cloud, Telefonie 
unbedingt inklusive, für ziemliche Ruhe in der IT. Wenn nix geht, muss 
man schon in Person vorsprechen. Geht ja nix, was technologisch deutlich 
neuer wäre. Umgekehrt empfehle ich Flüstertüten, um die Anwender darüber 
informieren zu können, das gerade nix geht. :)

: Bearbeitet durch User
von Dieter D. (Firma: Hobbytheoretiker) (dieter_1234)


Lesenswert?

Steve van de Grens schrieb:
> Ja, verständlich ist es. Aber auch unvernünftig. Wie so vieles, was
> Menschen tun oder unterlassen.

Genau, wenn nicht diese, wer dann sonst.

Aber die Mitarbeiter sind sehr kreativ mit den Beschwerden zu OSS, wenn 
die Homeuserlizenzen des kommerziellen Anbieters winken.

Mitbekommen habe ich das als Fahrgast im ÖPNV. Um an die Infos zu 
kommen, wie groß dieser Personenkreis ist, hatte ich mich längere Zeit 
gut verstellt und noch ein paar Tips den Mitarbeitern einer großen Stadt 
gegeben.

Dabei gelten für die Annahme folgende Grenzen:
https://www.finanzen.net/nachricht/geld-karriere-lifestyle/regeln-und-ausnahmen-geschenke-vorschriften-im-oeffentlichen-dienst-diese-geschenke-sind-fuer-lehrer-co-erlaubt-8298724
https://bmdv.bund.de/SharedDocs/DE/Artikel/Z/korruptionspraevention-annahme-von-geschenken.html

Bis 10 Euro kann zu Weihnachten/Neujahr eine generelle Zustimmung 
erteilt werden, bis 25 Euro ist anzumelden, darüber zu genehmigen.

Daher müßte für die Homeuserlizenz mindestens auch eine Zustimmung des 
Korruptionsbeauftragten der Firma oder Behörde vorliegen. Fragt mal bei 
Euren Betrieben oder Behörden danach.

Da dem Hersteller darüber auch die Zugehörigkeit von Personen zu 
Betrieben oder Behörden auch zugänglich ist, fragt auch mal nach, ob die 
Zustimmung des Datenschutzbeauftragten vorliegt.

: Bearbeitet durch User
von Jobu (gehtso)


Lesenswert?

Jemanden, der zwei genau gegensätzliche Empfehlungen
in ein und derselben Artikelserie kritisiert, als Troll zu
bezeichnen, ist einfach nur dumme Polemik.

von Kurt (Gast)


Lesenswert?


von Gerhard H. (hauptmann)


Lesenswert?

Thorsten S. schrieb:
> Traditionelle Amerikanische Großkonzerne, einstige Technologieführer,
> sind halt auch nicht mehr das, was sie mal waren.

Boeing und Microsoft sind quasi auch noch geografisch Nachbarn :)

von (prx) A. K. (prx)


Lesenswert?

Gerhard H. schrieb:
> Boeing und Microsoft sind quasi auch noch geografisch Nachbarn :)

Ob das also am Wetter liegt? :)

von Gerhard H. (hauptmann)


Lesenswert?

Ich hatte schon die Ehre beide in Nähe Seattle und Redmond zu besuchen. 
Da haben sie noch einen ganz guten professionellen Eindruck gemacht.

von René H. (mumpel)


Lesenswert?

Dieter D. schrieb:
> Daher müßte für die Homeuserlizenz mindestens auch eine Zustimmung des
> Korruptionsbeauftragten der Firma oder Behörde vorliegen.

Du meinst also, in den großen Betrieben sitzen Mitarbeiter, die von den 
großen Softwareherstellern "Bestechungsgelder" kassieren?

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.