UEFI: Leistungsfähige Schnittstelle für den PC-Start
Mit fortschreitender Entwicklung der Computertechnik wurde immer deutlicher: Das klassische Booten per BIOS und Master Boot Record, das bereits in den 1980er Jahren zu Zeiten des MS-DOS-Betriebssystems eingeführt wurde, ist den modernen Anforderungen nicht mehr gewachsen. Daher begannen mehrere Unternehmen, darunter Microsoft und Intel, mit der Entwicklung eines zeitgemäßen Nachfolgers. Um das Jahr 2000 wurde die erste Spezifikation des Extensible Firmware Interfaces (EFI) entwickelt. In den folgenden Jahren entstand – nach der Gründung des Unified EFI Forums im Jahr 2005 – allmählich der heutige UEFI-Standard.
UEFI: Was ist das?
Die Abkürzung UEFI steht für Unified Extensible Firmware Interface (dt.: Vereinheitlichte erweiterbare Firmware-Schnittstelle). Die spezielle Schnittstelle ist eine Art Miniatur-Betriebssystem, das unmittelbar nach dem Einschalten die Hauptplatine (Mainboard) des Computers und die damit verbundenen Hardware-Komponenten in Betrieb nimmt. Sie sorgt dafür, dass ein besonderes Startprogramm (Bootloader) in den Arbeitsspeicher geladen und dann weitere operative Routinen abwickeln kann. Üblicherweise endet dieser Prozess mit dem Anmeldescreen. Der User gibt dort geforderte Daten ein (Benutzername, Passwort), danach ist der Rechner für konkrete Aufgaben (Textverarbeitung etc.) nutzbar.
Um die UEFI-Schnittstelle nutzen zu können, braucht der Rechner auf dem Mainboard eine besondere Firmware. Ihre Programmierung generiert nach dem Anschalten des Rechners das UEFI-Interface als spezielle operative Ebene (Layer), die zwischen Firmware und Betriebssystem vermittelt. Damit der UEFI-Modus schon vor dem eigentlichen Start des Betriebssystems initialisiert werden kann, wird er auf der Hauptplatine dauerhaft in einen Speicherchip implementiert. Als fixer Bestandteil der Mainboard-Firmware bleibt die UEFI-Programmierung also auch erhalten, wenn kein Strom fließt.
Für spezifische bootrelevante Einstellungen (z. B. Konfigurationsdaten, BIOS-Parameter wie Boot-Reihenfolge), die nach dem Ausschalten des PCs gespeichert werden sollen, wird heute ein NVRAM (Non-Volatile Random-Access Memory) genutzt. Dessen extrem niedriger Strombedarf wird langfristig durch eine autonome Mainboard-Batterie (Knopfzellen-Batterie) gedeckt. Ist die Batterie etwa nach längerer Nichtbenutzung eines PCs leer, kann es zu Startproblemen kommen.
Häufig wird UEFI als direkter BIOS-Nachfolger bezeichnet. Die UEFI-Spezifikation definiert allerdings nicht, wie eine Firmware in Gänze zu programmieren ist. Sie beschreibt lediglich, wie die Schnittstelle zwischen Firmware und Betriebssystem aussehen soll. Die UEFI-Spezifikation schafft das traditionelle Basic Input/Output System (BIOS) als grundlegende „Boot-Firmware“ eines Computers also nicht ab. Sie ist eher eine Erweiterung beziehungsweise eine moderne Modifikation, die heutige Computer mithilfe einer operativen Schnittstelle startet und dabei auch neue Mechanismen und Funktionen nutzt. Um die Varianten unterscheiden zu können, spricht man heute auch häufiger vom Legacy-BIOS (klassisches BIOS) und UEFI-BIOS bzw. UEFI-Firmware.
Vorteile von UEFI
In der Windows-Welt ist der UEFI-Modus spätestens seit Windows 8 die standardmäßige Boot-Methode. Ab dieser Version hat Windows die Festplattenpartitionierung via GUID-Partitionstabelle als Standard definiert. Die traditionelle Boot-Technik von Legacy-BIOS-Systemen, die an den Master Boot Record gebunden ist, funktioniert mit dieser Partitionierungstechnik nicht mehr. Die operative Einheit aus Unified Extensible Firmware Interface und GPT-Partitionierung ebnet den Weg für neue Funktionen und Optionen und hebt zugleich einige Limitierungen des klassischen Bootvorgangs auf.
Zu den wichtigsten Vorteilen und Funktionen der UEFI-Technik gehören:
- Konzeption als industrieller Standard
- Leicht programmierbar (Programmiersprache C)
- Modularer Aufbau sorgt für Flexibilität und erlaubt Anpassungen an spezielle Hardware-Umgebungen und Anforderungsprofile (z. B. können Support-Module für ältere Betriebssysteme in die UEFI-Firmware integriert werden)
- UEFI kann um spezielle Funktionen und Programme erweitert werden (z. B. Digital Rights Management, Spiele, Webbrowser, Hardware-Monitoring, Lüftersteuerung)
- Bessere Bedienbarkeit durch Computermaus und grafische Bedienoberfläche (gab es in Ansätzen vereinzelt auch schon beim klassischen BIOS)
- Integrierter Bootmanager, der verschiedene Bootloader für unterschiedliche Betriebssysteme verwaltet
- Möglichkeit zur frühzeitigen Integration von Treibern (die dann nicht mehr das Betriebssystem laden muss)
- Für die Diagnose und Fehlersuche steht ein eigenes Kommandozeilenwerkzeug zur Verfügung (UEFI-Shell)
- Netzwerkfähigkeiten auch ohne aktives Betriebssystem
- Netzanbindung ermöglicht beispielsweise Fernwartung (Remote-Upgrade von Firmware-Komponenten oder der ganzen Firmware) und das Booten übers Netzwerk
- Erhöhte Sicherheit durch Secure-Boot-Feature
Secure Boot wurde eingeführt, um die Sicherheit zu erhöhen: Jede Software-Komponente (Teile der UEFI-Firmware, Bootloader, Betriebssystemkernel usw.) wird verifiziert, bevor sie gestartet wird. Für die Verifizierung werden kryptografische Signaturen herangezogen, die zuvor in der Signaturdatenbank der UEFI-Firmware hinterlegt wurden. Ist das Gegenüber durch Viren manipuliert oder besitzt es keine Signatur bzw. keinen als gültig eingetragenen „Key“ (Schlüssel), dann passiert es dieses „Sicherheitstor“ nicht und das System bricht den Systemstart ab.
In professionellen Umgebungen arbeitet Secure Boot häufiger mit einer speziellen Hardware-Komponente zusammen: Das Trusted Platform Module (TPM) ist ein spezifizierter Chip, der Computer und andere Geräte mit weitreichenden Sicherheitsfunktionen ausstattet. Höchstwahrscheinlich wird die Kombination von Secure Boot und TPM-Chip in naher Zukunft serienmäßig für die Sicherheit aller PCs zuständig sein.
Im direkten Vergleich mit der klassischen Boot-Methode der Legacy-BIOS-Systeme bietet die operative Einheit aus UEFI und GPT-Partitionierung insbesondere folgende Vorteile:
- Multiboot-Systeme sind möglich. Es können also mehrere Betriebssysteme mit eigenen Bootmanagern parallel installiert werden. Bei Bedarf kann während des Boot-Vorgangs eine Auswahl getroffen und z. B. statt Windows alternativ Linux gestartet werden.
- Die GPT-Partitionierung erlaubt unter Windows bis zu 128 primäre GPT-Partitionen (früher waren nur vier primäre Partitionen möglich)
- Bootlaufwerke können erstmalig die Festplattenkapazität von 2,2 TB überschreiten (frühere Grenze bei Legacy-BIOS-Systemen mit Master Boot Record)
- Pre-Boot-Anwendungen sind möglich (z. B. Aufruf und Nutzung von Diagnose-Werkzeugen, Backup-Lösungen)
- Bootet schneller als Legacy-BIOS-Systeme
Nachteile von UEFI
Das Unified Extensible Firmware Interface hat aber auch Nachteile: Die Kompatibilität von UEFI ist eingeschränkt, da nur 64-Bit-Systeme unterstützt werden. Sie werden zwar immer mehr zum Standard, 32-Bit-Systeme sind aber besonders in der Windows-Welt noch weit verbreitet. Ausschlaggebend für die eingeschränkte Kompatibilität ist die enge Verzahnung von Boot-Technik und spezifischer Partitionierung des startbaren Systemvolumens (Bootlaufwerk). Die Kombination von UEFI und GPT-Partitionierungsstil ist nur auf 64-Bit-Ebene möglich. Ältere Rechner mit Betriebssystemen, die auf 32-Bit-Basis arbeiten und Legacy-BIOS nutzen, beherrschen das Starten von GPT-partitionierten Festplatten nicht.
Um die Kompatibilität von UEFI zu erhöhen, greift man auf das Compatibility Support Module (CSM) zurück. Das Modul kommt beispielsweise zum Einsatz, wenn 32-Bit-Versionen von Windows 7 oder 8 auf moderner UEFI-Hardware laufen sollen. Außerdem erlaubt das CSM einen Mix von Betriebssystemen auf einem Rechner. In einem Multi-Boot-System können neben UEFI-tauglichen auch ältere Betriebssysteme gestartet werden, die nur mit dem klassischen Legacy-BIOS zusammenarbeiten können. Ein 32-Bit-Betriebssystem muss dann allerdings auf ein zusätzliches Bootmedium zurückgreifen, etwa eine zweite Festplatte mit Master Boot Record. Beim Start des PCs wird dann bei Bedarf das gewünschte System im Menü des Bootmanagers aktiv ausgewählt. Andere Firmware-Varianten regeln den Vorgang automatisch: Zunächst wird ein modernerer EFI-Bootloader gesucht. Wird dieser nicht gefunden, wird direkt das CSM-Modul beim Bootvorgang verwendet.
Die Legacy-BIOS-Kompatibilität ist allerdings nur eine Übergangslösung. Intel drängt derzeit die PC-Hersteller, kein CSM mehr zu implementieren. Das Verfahren soll schrittweise abgeschafft werden, um den UEFI-BIOS-Code zu verkleinern und die Kosten für Hardware-Tests zu senken. Außerdem können PCs, die im Legacy-Modus via CSM-Modul booten, das UEFI-spezifische Feature Secure Boot und dessen Schutzmechanismen gegen Viren und ungewollte Manipulationen nicht nutzen.
Als weiterer Nachteil von UEFI wird häufiger ein gewisses Sicherheitsrisiko genannt. Durch die direkte Netzanbindung in der Boot-Phase können Schädlinge auf einen Rechner gelangen, bevor die Schutzmechanismen des Betriebssystems greifen. Die Gefahr ist keineswegs abstrakt: 2014 wurde eine erste Sicherheitslücke in der Schnittstelle entdeckt, 2018 identifizierten Experten mit LoJax den ersten UEFI-Virus in freier Wildbahn (also jenseits reiner Laborexperimente).
Einen guten Einblick, wie heute mit den verschiedenen Optionen und Modulen des UEFI-BIOS (CSM, Secure Boot) gestartet werden kann, gibt dieses Video:
Hier erfahren Sie, wie das UEFI-BIOS direkt aus Windows 10 gestartet wird: