Eigentlich ist es eine erfreuliche Entwicklung: Auch bei PCs legen die Hardwarehersteller – in Kooperation mit Microsoft – zunehmenden Wert auf die Absicherung des Systems, um Spionen und anderen Angreifern das Leben schwerer zu machen. Gleichzeitig geht damit aber immer die Befürchtung einher, dass die Geräte so abgeschlossen werden könnten, dass darauf dann nichts mehr läuft außer der Originalsoftware.

Boot, fehlgeschlagen

Eine Entdeckung von Linux-Entwickler Matthew Garrett lässt diese Ängste nun neu aufflammen. Eigentlich wollte sich der Sicherheitsexperte nur einmal Microsofts neuen Sicherheitschip Pluton näher ansehen, der ein fixer Bestandteil von Lenovos Thinkpad Z13 ist. Also was sich mit diesem alles von Linux-Seite her machen lässt.

Doch so weit kam er zunächst gar nicht, wie Garrett auf seinem Blog berichtet. Der Laptop verweigerte nämlich jeglichen Versuch, einen USB-Stick mit einem Linux-System zu booten. Eine nähere Untersuchung offenbarte dann den Grund: Das neue Thinkpad vertraut jenem von Microsoft stammenden Schlüssel, der explizit für den Boot von Drittsystemen eingerichtet wurde, nicht mehr. Dadurch werden damit signierte Bootloader oder Treiber nicht länger akzeptiert.

Sicherheit schwächen oder kein Start

Die Konsequenz: In der Default-Konfiguration kann das Gerät nur mehr Windows booten. Nur wer "Secure Boot" – und damit ein zentrales Feature zum Absichern aktueller Systeme – vollständig deaktiviert, kann dann auch andere Betriebssysteme verwenden.

Garrett findet für diese Entscheidung deutliche Worte: Ein solcher Schritt trage nichts zur Verbesserung der Sicherheit bei, er mache es nur schwerer, andere Betriebssysteme zu nutzen – und reduziert damit auch deren Schutz. Die gesamte Architektur von Secure Boot sei darauf ausgelegt, diese Wahlmöglichkeit zu erhalten, dass Lenovo dies nun ausheble, sei "nicht okay".

Die Expertise des Entwicklers in diesem Bereich ist dabei unumstritten. Garrett war schon vor rund zehn Jahren federführend an der Unterstützung von Secure Boot unter Linux – und hier im Speziellen Fedora – beteiligt. Überraschend ist hingegen, dass ausgerechnet Lenovo nun solch einen Schritt setzt, immerhin gilt die Firma an sich als Linux-freundlich. So gibt es sogar einige Thinkpads mit vorinstallierten Linux-Systemen wie Ubuntu oder Fedora. (apo, 11.7.2022)