Suchen

Definition Was ist UEFI (Unified Extensible Firmware Interface)?

Das Unified Extensible Firmware Interface bildet einen abstrahierten Layer zwischen der Computerhardware und dem eigentlichen Betriebssystem. Es löst das Basic Input/Output System (BIOS) ab und bietet bereits vor dem Start des eigentlichen Betriebssystems neue Funktionen wie die Unterstützung von Netzwerkkarten und hochauflösenden Grafikkarten.

Firma zum Thema

(© aga7ta - Fotolia )

Die Abkürzung UEFI steht für Unified Extensible Firmware Interface und definiert ein Embedded-System, das eine Schnittstelle zwischen der Hardware eines Computers und seinem Betriebssystem etabliert. Gegenüber dem BIOS (Basic Input/Output System) bietet es neue Funktionen und mehr Möglichkeiten. Es löst das klassische Basic Input/Output System mit seinen Funktionseinschränkungen und Unzulänglichkeiten für Rechner mit x86- und x64-Prozessoren ab und ist auf dem Motherboard in einem nichtflüchtigen Speicher hinterlegt. Oft wird das Unified Extensible Firmware Interface nach wie vor als BIOS bezeichnet, obwohl das ursprüngliche Basic Input/Output System nicht mehr auf mit UEFI ausgestatteten Rechnern vorhanden ist.

Die Grundfunktionen des UEFIs haben sich gegenüber dem Basic Input/Output System nicht verändert. Es sorgt für die Initialisierung der Hardware, testet die vorhandenen Hardwarekomponenten und leitet den Start des Betriebssystems ein. Im Gegensatz zum BIOS unterstützt es jedoch auch hochauflösende Grafikkarten und ist über eine grafische Benutzeroberfläche bedienbar.

Das Unified Extensible Firmware Interface stellt grundlegende Diagnosefunktionen bereit und gestattet die Bedienung bestimmter Funktionen noch vor dem Start des Betriebssystems. Es ist ausschließlich für 64-Bit-Systeme vorgesehen und integriert einen eigenen Bootmanager. Betriebssysteme können dank des UEFIs von Festplatten größer zwei Terabyte booten. Auch Netzwerkkarten sind vor dem Start des Betriebssystems nutzbar. Eine weitere wichtige Funktion ist der so genannte Secure Boot.

Vorgänger des Unified Extensible Firmware Interfaces war das Extensible Firmware Interface (kurz EFI genannt). Eine Gruppe von Hardware- und Betriebssystem-Herstellern definierte und verwaltete die Spezifikationen im EFI-Forum. Die Neuentwicklung EFI wurde ursprünglich von Intel vorangetrieben. Das 2005 gegründete Unified EFI Forum sorgte für die Weiterentwicklung der Spezifikation und setzte durch, dass die Schnittstelle nicht mehr allein von Intel definiert wurde. Windows unterstützt UEFI seit Windows Vista (x64) und Windows Server 2008.

Neue Funktionen und Möglichkeiten mit UEFI

Das Unified Extensible Firmware Interface bietet im Vergleich zum Basic Input/Output System viele neue Funktionen und eröffnet zusätzliche Möglichkeiten. Es unterstützt hochauflösende Grafikkarten schon beim Bootvorgang und ermöglicht die Nutzung von Netzwerkkarten vor dem Start des Betriebssystems. Darüber hinaus ist es modular erweiterbar und gestattet das Ausführen spezieller EFI-Anwendungen. Treiber lassen sich direkt in EFI integrieren und müssen nicht mehr vom Betriebssysteme geladen werden. Dies ermöglicht einen Sandbox-Betrieb des Systems, bei dem die Verwaltung des Netzwerks und des Speichers nicht mehr vom Betriebssystem geleistet wird, sondern von der Firmware des Rechners. Dank des integrierten Bootloaders sind keine alternativen Bootloader für die Auswahl verschiedener installierter Betriebssysteme notwendig. Die Einführung des neuen GUID Partition Tables (GPT; GUID = Globally Unique Identifier) erlaubt das Anlegen und Verwalten von Partitionen größer zwei Terabyte und das Booten von diesen Partitionen.

UEFI und die Kompatibilität zum BIOS

Um ältere Betriebssysteme ohne UEFI-Kompatibilität zu unterstützen, bietet das Unified Extensible Firmware Interface einen speziellen Kompatibilitätsmodus. Das Modul nennt sich Compatibility Support Module (CSM) und bildet ein normales BIOS innerhalb des UEFIs nach. Damit können auch ältere Betriebssystem mit einem UEFI-Motherboard starten. Je nach Implementierung zeigen die Systeme unterschiedliches Verhalten. Einige prüfen zunächst, ob UEFI-kompatible Bootmedien vorhanden sind und versuchen anschließend darüber zu booten. Hat dies keinen Erfolg, wechseln sie in einen BIOS-kompatiblen Modus. Andere Systeme erlauben das direkte Umschalten zwischen dem Basic Input/Output System und dem Unified Extensible Firmware Interface.

UEFI und der Secure-Boot-Mechanismus

Der im Unified Extensible Firmware Interface implementierte Secure-Boot-Mechanismus soll sicherstellen, dass nur signierte, vertrauenswürdige Software oder Betriebssysteme auf die Hardware zugreifen können. Die Ausführung von Schadsoftware wie Viren oder Trojanern und das Starten von unerwünschten Betriebssystemen soll die Secure-Boot-Funktion verhindern.

Zur Realisierung der Funktion sind in der UEFI-Firmware Signatur-Datenbanken und ein Platform Key (PK) implementiert. Über die Signaturen ist es möglich, Softwarecode vor der Ausführung zu überprüfen. Die Ausführung unsignierter Software wird vom Unified Extensible Firmware Interface blockiert. Soll beispielsweise ein Betriebssystem gestartet werden, dessen digitale Signatur im UEFI nicht hinterlegt ist, verhindert das der Secure-Boot-Mechanismus. Der Hersteller des Systems legt fest, welche Betriebssysteme erlaubt sind und speichert deren Signaturschlüssel im Unified Extensible Firmware Interface. Unter anderem lässt sich dadurch das Booten von externen Medien wie USB-Sticks oder DVDs ohne einen signierten Bootloader unterbinden.

Leider kann dies zu Problemen führen, wenn beispielsweise Betriebssysteme wie Linux auf einem Rechner gestartet werden sollen, deren Signaturschlüssel nicht im UEFI hinterlegt sind. Es existiert allerdings ein von Microsoft signierter Bootloader mit dem Namen Shim, der GRUB (Grand Unified Bootloader) und damit prinzipiell beliebige Linux-Distributionen nachladen kann. Der Secure-Boot-Mechanismus lässt sich dadurch umgehen. Praktisch alle aktuellen Linux-Distributionen starten unter Verwendung von Shim auf Rechnern mit eingeschaltetem Secure Boot.

Die Vorteile des Unified Extensible Firmware Interfaces

Gegenüber dem Basic Input/Output System bietet das Unified EFI viele Vorteile. Es handelt sich nicht mehr wie beim BIOS um ein im Kern 16-Bit-Minibetriebssystem mit stark eingeschränkten Funktionen, sondern UEFI erweitert die Möglichkeiten vor dem Start des eigentlichen Betriebssystems enorm. Das Starten von Festplattenpartitionen größer zwei Terabyte wird unterstützt und die Benutzerschnittstelle der Pre-Boot-Umgebung besitzt eine grafische Oberfläche. Sie ist per Maus bedienbar. Vorhandene Netzwerkschnittstellen lassen sich bereits in der Pre-Boot-Phase ansprechen. Prinzipiell kann der Rechner mit einem UEFI-Browser ausgestattet sogar ohne ein Betriebssystem zum Surfen im Internet verwendet werden. Über die Netzwerkverbindung lassen sich zudem Firmware-Komponenten online updaten. Sollen mehrere Betriebssysteme auf einem Rechner installiert und verwendet werden, ist kein externer Bootloader mehr notwendig. Über spezielle Pre-Boot-Applikationen lassen sich Diagnose-Tools oder Recovery-Funktionen bereitstellen. Ein weiterer Vorteil des UEFIs ist, dass die parallele Initialisierung der Hardware wie CPU, Arbeitsspeicher und Chipsatz den Bootvorgang beschleunigt. Im BIOS läuft dieser Vorgang seriell ab.

Die Schwächen und Nachteile des Unified Extensible Firmware Interfaces

Das Unified Extensible Firmware Interface bringt einige Nachteile mit und besitzt aus Sicht von Kritikern konzeptionelle Schwächen. Es steigert die Komplexität des Systems und löst nicht alle Probleme des Basic Input/Output Systems. Nach wie vor benötigen viele Hardwarekomponenten zwei unterschiedliche Treiber, einen für das UEFI und einen für das eigentliche Betriebssystem. In kritischen Systemumgebungen gilt das Extensible Firmware Interface als Sicherheitsrisiko. Es eröffnet die theoretische Möglichkeit, beispielsweise unter Ausnutzung der UEFI-Netzwerkunterstützung, Daten vom Betriebssystem unbemerkt an Netzwerkressourcen zu senden oder von diesen zu empfangen. Der Netzwerkstack unterhalb des Betriebssystems stellt ein erhöhtes Risiko für Manipulationen oder die Ausführung von Schadsoftware dar. Trojaner und Viren könnten bereits vor dem Start des Betriebssystems auf den Rechner gelangen, da die Sicherheitssoftware der Betriebssystemumgebung im UEFI nicht aktiv ist.

Fehlerhaft implementierte Unified Extensible Firmware Interfaces haben bei einigen PC- und Laptop-Herstellern bereits irreparable Schäden an Rechnern verursacht. Bootvorgänge lösten ein Einfrieren der Rechner aus und blockierten das Mainboard dauerhaft. Mittlerweile sind mehrere Sicherheitslücken im Unified Extensible Firmware Interface bekannt. Um deren Schließung muss sich der Anwender oft selbst kümmern, da automatische Updatemechanismen des UEFIs in vielen Fällen nicht vorgesehen sind.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 45365333)

Über den Autor