COMPOSE IT Logo
Termin anfragen
Ist das BIOS up-to-date?

BIOS up to date – war­um aktu­el­le Firm­ware die Basis Ihrer IT-Sicher­heit ist

Ein Lap­top kann noch so gut abge­si­chert sein – wenn sein BIOS ver­al­tet ist, steht das gesam­te Sys­tem auf wack­li­gen Bei­nen. Wäh­rend Viren­scan­ner, Win­dows-Updates und Sicher­heits­richt­li­ni­en längst auto­ma­ti­siert lau­fen, bleibt eine Schicht oft unbe­ach­tet: die Firm­ware des Main­boards, also das BIOS oder sein moder­ner Nach­fol­ger UEFI. Genau dort, wo das Betriebs­sys­tem über­haupt erst star­tet, kön­nen Sicher­heits­lü­cken ent­ste­hen – mit gra­vie­ren­den Fol­gen.

Jeder Com­pu­ter beginnt sei­nen Start­vor­gang in der Firm­ware. Sie sorgt dafür, dass alle Hard­ware-Kom­po­nen­ten – Pro­zes­sor, Arbeits­spei­cher, Lauf­wer­ke – kor­rekt erkannt und initia­li­siert wer­den. Erst danach über­nimmt das Betriebs­sys­tem. Moder­ne Gerä­te ver­wen­den UEFI (Uni­fied Exten­si­ble Firm­ware Inter­face), das vie­le Ver­bes­se­run­gen gegen­über dem klas­si­schen BIOS mit­bringt: es ist modu­lar, unter­stützt moder­ne Hard­ware, bie­tet höhe­re Sicher­heits­stan­dards und Funk­tio­nen wie Secu­re Boot, die mani­pu­lier­te Start­da­tei­en erken­nen und blo­ckie­ren kön­nen. Kurz gesagt: Ohne aktu­el­les UEFI kein siche­res Star­ten.

Vie­le Unter­neh­men sind sich nicht bewusst, dass ver­al­te­te Firm­ware eine rea­le Bedro­hung dar­stel­len kann. Her­stel­ler ver­öf­fent­li­chen regel­mä­ßig Sicher­heits­up­dates, um Schwach­stel­len zu schlie­ßen, die von For­schern oder Angrei­fern ent­deckt wur­den. Doch die­se Updates errei­chen vie­le Gerä­te nie, weil sie manu­ell instal­liert wer­den müs­sen oder das The­ma schlicht im Tages­ge­schäft unter­geht. In der Pra­xis lau­fen dadurch oft Lap­tops in pro­duk­ti­ver Umge­bung mit Firm­ware-Ver­sio­nen, die meh­re­re Jah­re alt sind.

Ein nicht gepatch­tes BIOS kann bei­spiels­wei­se unsi­gnier­te Firm­ware akzep­tie­ren, unsi­che­re Boot-Mecha­nis­men akti­vie­ren oder feh­ler­haf­te Micro­code-Ver­sio­nen ent­hal­ten, die Sta­bi­li­tät und Ener­gie­ef­fi­zi­enz beein­träch­ti­gen. Selbst wenn ein Sys­tem schein­bar sta­bil läuft, kann die Firm­ware längst eine Schwach­stel­le ent­hal­ten, über die Angrei­fer Zugriff auf tiefs­te Sys­tem­be­rei­che erhal­ten.

Firm­ware-Updates gehö­ren des­halb zu einem moder­nen Sicher­heits­kon­zept – nicht nur Win­dows oder Anwen­dun­gen müs­sen regel­mä­ßig aktua­li­siert wer­den. Das BIOS ist der unsicht­ba­re Grund­pfei­ler, der dafür sorgt, dass alle ande­ren Sicher­heits­me­cha­nis­men über­haupt grei­fen kön­nen.

Was pas­sie­ren kann, wenn das BIOS nicht aktu­ell ist

Ein ver­al­te­tes BIOS ist mehr als ein tech­ni­sches Ver­säum­nis. Es ist ein poten­zi­el­les Ein­falls­tor in die tiefs­ten Schich­ten eines Com­pu­ter­sys­tems. Angrei­fer nut­zen die­se Ebe­ne gezielt, weil dort kaum Über­wa­chung statt­fin­det und her­kömm­li­che Schutz­sys­te­me blind sind.

Ein mög­li­ches Angriffs­sze­na­rio sind soge­nann­te UEFI-Boot­kits. Dabei han­delt es sich um Schad­pro­gram­me, die sich in der Start­se­quenz ein­nis­ten – also bevor Win­dows oder ein ande­res Betriebs­sys­tem über­haupt gela­den wird. Das bedeu­tet: Der Angriff erfolgt, bevor Viren­schutz, Fire­wall oder Ver­schlüs­se­lung aktiv sind. Ein kom­pro­mit­tier­tes BIOS kann den Angrei­fer dau­er­haft im Sys­tem ver­an­kern. Selbst eine kom­plet­te Neu­in­stal­la­ti­on des Betriebs­sys­tems ent­fernt ihn nicht, weil sich der Schad­code in der Firm­ware selbst befin­det.

Ein wei­te­res Risi­ko ist die soge­nann­te Firm­ware-Per­sis­tence. Dabei wird bös­ar­ti­ger Code direkt in den Flash-Spei­cher des Main­boards geschrie­ben. Die­ser Spei­cher bleibt auch nach Strom­tren­nung oder Hard­ware­tausch erhal­ten. In die­sem Fall kann ein Gerät zwar schein­bar „frisch instal­liert“ wir­ken, ist aber wei­ter­hin kom­pro­mit­tiert, sobald es star­tet.

Dar­über hin­aus kön­nen mani­pu­lier­te Firm­ware-Modu­le Sicher­heits­funk­tio­nen wie Secu­re Boot oder die Trus­ted Plat­form Modu­le (TPM) deak­ti­vie­ren oder ver­än­dern. Das führt dazu, dass Sicher­heits­me­cha­nis­men, die eigent­lich das Betriebs­sys­tem schüt­zen sol­len, schon beim Start außer Kraft gesetzt wer­den. Ein sol­cher Angriff kann selbst in streng gehär­te­ten Unter­neh­mens­um­ge­bun­gen nahe­zu unent­deckt blei­ben.

Es gibt auch Fäl­le, in denen feh­ler­haf­te Micro­code-Ver­sio­nen Pro­zes­so­ren desta­bi­li­sie­ren. In sel­te­nen Fäl­len kann dies sogar zu Über­hit­zung, Span­nungs­feh­lern oder Hard­ware­de­fek­ten füh­ren. Beson­ders kri­tisch ist, dass vie­le die­ser Pro­ble­me nicht sofort sicht­bar wer­den. Ein Sys­tem kann tage­lang schein­bar sta­bil lau­fen, bis ein Update fehlt, das eigent­lich schon längst hät­te ein­ge­spielt wer­den müs­sen.

Das größ­te Pro­blem sol­cher Angrif­fe oder Schwä­chen ist ihre Unsicht­bar­keit. Sicher­heits­soft­ware arbei­tet ober­halb der Firm­ware-Ebe­ne. Anti­vi­rus, EDR und SIEM-Sys­te­me über­wa­chen Pro­zes­se, Datei­en und Netz­werk­ak­ti­vi­tä­ten, nicht aber den Code, der den Pro­zes­sor direkt initia­li­siert. Ein infi­zier­tes BIOS ist damit eine Art digi­ta­ler Brand­herd unter­halb des Fun­da­ments – er bleibt unent­deckt, bis es zu spät ist.

Wer die Firm­ware nicht regel­mä­ßig aktua­li­siert, nimmt in Kauf, dass Angrei­fer im schlimms­ten Fall die voll­stän­di­ge Kon­trol­le über ein Sys­tem über­neh­men kön­nen. Und wäh­rend klas­si­sche Sicher­heits­lü­cken durch Win­dows- oder Soft­ware­up­dates beho­ben wer­den, blei­ben Angrif­fe auf BIOS und UEFI oft dau­er­haft aktiv.

Firm­ware-Updates sind also kein optio­na­ler Ser­vice, son­dern ein sicher­heits­re­le­van­ter Bestand­teil einer ganz­heit­li­chen IT-Stra­te­gie. Nur ein aktu­el­les BIOS kann gewähr­leis­ten, dass Betriebs­sys­te­me, Sicher­heits­me­cha­nis­men und Hard­ware ver­trau­ens­wür­dig zusam­men­ar­bei­ten.

BIOS-Updates als Teil eines mehr­stu­fi­gen Sicher­heits­kon­zep­tes

In einer moder­nen IT-Umge­bung ist das BIOS- oder UEFI-Patching längst kein manu­el­les Ein­zel­the­ma mehr, son­dern Teil eines struk­tu­rier­ten Patch-Manage­ment-Pro­zes­ses. Wäh­rend Betriebs­sys­tem- und Soft­ware­up­dates heu­te selbst­ver­ständ­lich regel­mä­ßig ein­ge­spielt wer­den, bleibt die Firm­ware-Ebe­ne häu­fig unbe­rührt. Genau dort setzt ein pro­fes­sio­nel­ler IT-Dienst­leis­ter an: Er inte­griert BIOS-Updates in den Gesamt­pro­zess der Sys­tem­pfle­ge.

Im Rah­men eines mehr­stu­fi­gen Sicher­heits­kon­zep­tes wird dabei sicher­ge­stellt, dass alle Gerä­te regel­mä­ßig auf neue Firm­ware-Ver­sio­nen geprüft wer­den. Sobald ein Her­stel­ler eine sicher­heits­re­le­van­te Aktua­li­sie­rung bereit­stellt, wird die­se auto­ma­ti­siert erkannt, bewer­tet und im War­tungs­fens­ter aus­ge­rollt. Bei beson­ders sen­si­blen Gerä­ten oder älte­ren Model­len erfolgt eine manu­el­le Prü­fung, um Kom­pa­ti­bi­li­tät und Sta­bi­li­tät sicher­zu­stel­len. Die­se Kom­bi­na­ti­on aus Auto­ma­ti­sie­rung und mensch­li­cher Kon­trol­le sorgt dafür, dass kein End­ge­rät unbe­ach­tet bleibt.

Ein sol­ches Vor­ge­hen schützt nicht nur vor Sicher­heits­lü­cken, son­dern auch vor Funk­ti­ons­pro­ble­men. Neue Firm­ware­ver­sio­nen ver­bes­sern häu­fig die Ener­gie­ver­wal­tung, die Akku­lauf­zeit und die Kom­pa­ti­bi­li­tät mit neu­er Hard­ware. Dadurch pro­fi­tie­ren Unter­neh­men gleich dop­pelt: Sie erhö­hen die Sicher­heit und ver­län­gern gleich­zei­tig die Lebens­dau­er ihrer Gerä­te.

Bei COMPOSE IT ist die­ses Patchen der Firm­ware kein Zusatz­ser­vice, son­dern Bestand­teil der IT-Ser­vice-Flat­rate. Jeder ver­wal­te­te Lap­top wird regel­mä­ßig auf BIOS- und UEFI-Updates geprüft. Das geschieht voll­stän­dig inte­griert im Patch-Manage­ment-Pro­zess, der neben Win­dows- und Anwen­dung­s­up­dates auch Firm­ware umfasst. Damit bleibt jedes Sys­tem nicht nur soft­ware­sei­tig, son­dern auch hard­ware­sei­tig auf aktu­el­lem Stand – ohne zusätz­li­chen Auf­wand für den Kun­den.

Bekann­te Fäl­le / erfolg­rei­che Boot­kits und Firm­ware-Implants

Black­Lo­tus (2023–2025)

Black­Lo­tus wur­de als moder­nes UEFI-Boot­kit ana­ly­siert (unter ande­rem durch Eclyp­si­um). Es ist in Berich­ten als leis­tungs­fä­hi­ges Werk­zeug beschrie­ben wor­den, das Secu­re Boot umge­hen kann und offen­bar als kom­mer­zi­ell ver­trie­be­nes Exploit/Implant in der Sze­ne exis­tier­te. Micro­soft und ande­re Anbie­ter haben hier­zu Gui­dance und Miti­ga­ti­ons ver­öf­fent­licht.

Offi­zi­el­ler Secu­ri­ty-Blog von Micro­soft zum The­ma “The Black­Lo­tus Cam­pain”

Moon­Boun­ce (2021/2022)

Kas­pers­ky beschrieb Moon­Boun­ce als den drit­ten bekann­ten Firm­ware-Boot­kit-Fall in der Wild­nis. Moon­Boun­ce ist ein UEFI-Implan­tat, das im SPI-Flash ver­steckt wur­de. Es erwei­ter­te Per­sis­tenz- und Tarn­fä­hig­kei­ten zeig­te. Kas­pers­ky fand Ver­bin­dun­gen zu APT-Akteu­ren (u. a. APT41 in ihren Ana­ly­sen).

KASPERSKY über das Firm­ware Boot­kit “Moon­Boun­ce”

LoJax (2018)

LoJax war der ers­te doku­men­tier­te Fall eines UEFI-Root­kits, das in ech­ten Angriffs­kam­pa­gnen ein­ge­setzt wur­de. Sicher­heits­for­scher von ESET konn­ten Kom­po­nen­ten nach­wei­sen, die in die SPI-Flash-Firm­ware lesen, patchen und über­schrei­ben konn­ten. LoJax wur­de mit der Sednit/Fancy Bear-Grup­pe in Ver­bin­dung gebracht und demons­trier­te, wie nati­on-sta­te-arti­ge Akteu­re Firm­ware-Ebe­ne als Per­sis­tenz­me­cha­nis­mus nut­zen.

Eset Anti­Vi­rus über LoJax (als PDF)

Mebro­mi (2011)

Mebro­mi gilt als einer der ers­ten BIOS-Root­kits, die in frei­er Wild­bahn beob­ach­tet wur­den. Es ziel­te auf Award BIOS ab und erlaub­te dem Angrei­fer, Schad­code in die Firm­ware zu schrei­ben, so dass eine Neu­in­stal­la­ti­on der Fest­plat­te die Infek­ti­on nicht tilg­te. Die Ent­de­ckung zeig­te sehr früh, dass Firm­ware-Per­sis­tenz real mög­lich ist.

Infor­ma­ti­on über Mebo­ri auf MITRE ATT&CK

Wir lau­fen sol­che BIOS-Angrif­fe tech­nisch ab?

Angriffs­flä­che und Ziel

  • Die Firm­ware, meist in einem SPI-Flash-Chip auf dem Main­board, ent­hält UEFI/­BI­OS-Code. Die­ser Code wird beim Sys­tem­start gela­den und initia­li­siert Hard­ware und Boot­se­quenz.
  • Angrei­fer, die per­sis­ten­te Kon­trol­le wün­schen, ver­su­chen, genau an die­ser Stel­le Code ein­zu­schleu­sen oder das Update-/Ver­tei­lungs­ver­hal­ten der Firm­ware zu mani­pu­lie­ren.

Typi­sche Vor­aus­set­zun­gen eines Angriffs (häu­fi­ge tech­ni­sche Pat­terns)

  • Loka­ler Admi­nis­tra­tor­zu­gang oder ein pri­vi­le­gier­ter Trei­ber: Vie­le Firm­ware-Mani­pu­la­tio­nen star­ten mit einem Kom­pro­miss auf Betriebs­sys­tem­ebe­ne, der es dem Angrei­fer erlaubt, signier­te Update­pfa­de oder Flash-Uti­li­ties zu ver­wen­den.
  • Unsi­che­re Update-Mecha­nis­men oder falsch kon­fi­gu­rier­te SPI-Pro­tec­tion: Wenn Schreib­schutz­me­cha­nis­men am SPI-Bus feh­len oder durch Trei­ber oder fal­sche Ein­stel­lun­gen umgan­gen wer­den kön­nen, lässt sich Flash-Spei­cher über­schrei­ben.
  • Miss­brauch legi­tim signier­ter Kom­po­nen­ten: Angrei­fer kön­nen ver­su­chen, legi­ti­me Update-Mecha­nis­men (z. B. Her­stel­ler-Tools) zu hija­cken oder signier­te Kom­po­nen­ten so zu mani­pu­lie­ren, dass die Signa­tur­prü­fung umgan­gen wird.
  • Sup­p­ly-Chain / phy­si­scher Zugang: In beson­ders schwe­ren Fäl­len kann ein Angrei­fer phy­si­sche Nähe oder mani­pu­lier­te Update-Medi­en/I­mages nut­zen, um kom­pro­mit­tier­te Firm­ware ein­zu­spie­len.

Kon­kre­te tech­ni­sche Wir­kun­gen nach erfolg­rei­chem Ein­schleu­sen

  • Per­sis­tenz vor dem OS: Das Implant wird vor dem Laden des OS aktiv, kann z. B. Boot­loa­der ver­än­dern, eige­ne Loa­der laden oder legi­ti­me Sicher­heits­funk­tio­nen unter­lau­fen.
  • Unsicht­bar­keit: EDR/A­V/Host-Moni­to­ring lau­fen spä­ter im OS und sehen nichts von Code, der schon beim Start aktiv ist.
  • Mani­pu­la­ti­on von Sicher­heits­kom­po­nen­ten: Secu­re Boot, TPM-Ver­hal­ten oder Vir­tua­liza­ti­on-Basier­te Schutz­funk­tio­nen kön­nen gezielt deak­ti­viert oder unter­wan­dert wer­den, so dass wei­te­re Mal­wa­re unge­hin­dert arbei­tet.
  • „Living off the firm­ware“: Implan­ta­te kön­nen Code nach­la­den, per­sis­ten­te Back­doors bereit­hal­ten oder sogar Daten unauf­fäl­lig exfil­trie­ren.

Brea­kout-Risi­ko für Unter­neh­men: homo­ge­ne Patch­stän­de als Schwach­stel­le

Unter­neh­men haben oft eine rela­ti­ve Homo­ge­ni­tät: glei­che Images, glei­che Hard­ware­ge­ne­ra­tio­nen, glei­che Update-Pro­zes­se. Genau die­se Gleich­heit ver­stärkt das Risi­ko eines Brea­kouts: Ein erfolg­rei­cher EFI/­BI­OS-Angriff auf ein Modell oder einen Lie­fer­weg kann sich late­ral sehr breit aus­wir­ken, weil vie­le Gerä­te den­sel­ben Firm­ware-Stand oder die­sel­ben Update-Mecha­nis­men tei­len. Firm­ware-Implan­ta­te sind hoch per­sis­tent; ein ein­mal ein­ge­schleus­ter Boot­kit kann auch nach OS-Neu­in­stal­la­tio­nen oder Fest­plat­ten­aus­tausch dort ver­blei­ben und wie­der aktiv wer­den.

In Sze­na­ri­en, in denen ein Angrei­fer gezielt in die Firm­ware­ebe­ne gelangt (z. B. über kom­pro­mit­tier­te Ven­dor-Updates, geziel­te Phis­hing-Ket­ten mit Pri­vi­le­gi­en­aus­wei­tung oder phy­si­sche Mani­pu­la­ti­on), ist die Fol­ge nicht nur die Kom­pro­mit­tie­rung ein­zel­ner End­punk­te, son­dern poten­zi­ell die sys­tem­wei­te Unter­wan­de­rung von Zugän­gen, Authen­ti­fi­zie­run­gen und Logik der Start­ket­ten.

Wie ein BIOS- oder UEFI-Update tech­nisch abläuft

Ein BIOS-Update funk­tio­niert im Kern anders als ein gewöhn­li­ches Win­dows-Update. Statt Datei­en auf der Fest­plat­te zu erset­zen, wird dabei neue Firm­ware direkt in einen Spei­cher­chip auf dem Main­board geschrie­ben. Die­ser soge­nann­te Flash-Vor­gang erfolgt über spe­zi­el­le Her­stel­ler-Tools oder über eine zen­tra­le Ver­wal­tungs­platt­form. Moder­ne Gerä­te unter­stüt­zen dabei siche­re Update-Mecha­nis­men. Sie ver­hin­dern, dass unsi­gnier­te oder feh­ler­haf­te Firm­ware instal­liert wer­den kann.

Der Pro­zess beginnt mit der Iden­ti­fi­ka­ti­on der vor­han­de­nen Ver­si­on. Anschlie­ßend wird das vom Her­stel­ler bereit­ge­stell­te Update­pa­ket her­un­ter­ge­la­den und auf Authen­ti­zi­tät über­prüft. Erst nach die­ser Prü­fung erfolgt das Schrei­ben der neu­en Firm­ware in den Spei­cher­be­reich des Main­boards. Das Gerät star­tet danach neu, initia­li­siert die neue Firm­ware und über­prüft ihre Inte­gri­tät. Die­ser Pro­zess dau­ert nur weni­ge Minu­ten, kann aber erheb­li­che Aus­wir­kun­gen auf die Sicher­heit und Sta­bi­li­tät eines Sys­tems haben.

Wäh­rend ein BIOS-Update frü­her oft ein heik­les Unter­fan­gen war, das bei Strom­aus­fall oder fal­scher Ver­si­on zu einem nicht mehr star­ten­den Gerät füh­ren konn­te, sind heu­ti­ge Ver­fah­ren deut­lich robus­ter. Her­stel­ler imple­men­tie­ren dop­pel­te Spei­cher­be­rei­che, die eine Wie­der­her­stel­lung ermög­li­chen, soll­te ein Update ein­mal fehl­schla­gen. Den­noch bleibt die Durch­füh­rung in pro­fes­sio­nel­len Hän­den die sichers­te Vari­an­te – beson­ders dann, wenn vie­le Gerä­te gleich­zei­tig ver­wal­tet wer­den.

War­um regel­mä­ßi­ge Updates Sta­bi­li­tät und Zukunfts­fä­hig­keit sichern

Ein aktu­el­les BIOS ist nicht nur siche­rer, son­dern oft auch effi­zi­en­ter. Her­stel­ler nut­zen Firm­ware-Updates, um Leis­tungs­re­ser­ven zu erschlie­ßen, Strom­ver­brauch zu opti­mie­ren oder neue Kom­po­nen­ten zu unter­stüt­zen. Gera­de im Unter­neh­mens­um­feld, wo Gerä­te oft über meh­re­re Jah­re im Ein­satz sind, kann ein aktu­el­les BIOS die Lebens­dau­er und Zuver­läs­sig­keit erheb­lich stei­gern.

Zudem sor­gen aktu­el­le Firm­ware­stän­de dafür, dass neue Sicher­heits­funk­tio­nen des Betriebs­sys­tems – etwa Vir­tua­liza­ti­on-Based Secu­ri­ty oder erwei­ter­te TPM-Funk­tio­nen – über­haupt erst voll­stän­dig nutz­bar wer­den. Ver­al­te­te Firm­ware kann dazu füh­ren, dass Win­dows-Funk­tio­nen fehl­schla­gen oder Sicher­heits­richt­li­ni­en nicht durch­ge­setzt wer­den kön­nen.

Ein moder­nes Patch-Manage­ment betrach­tet daher nicht nur Soft­ware, son­dern die gesam­te Gerä­te­schicht. Nur so ent­steht ein ganz­heit­li­cher Schutz, der vom Pro­zes­sor bis zur Cloud reicht. In Zei­ten zuneh­men­der Cyber­an­grif­fe ist die­se Tie­fe ent­schei­dend, um Angrei­fern kei­nen Raum zu geben, sich unter­halb der Betriebs­sys­tem­ebe­ne fest­zu­set­zen.

In der Pra­xis – wie COMPOSE IT Sys­te­me “BIOS up to date” hält

Im lau­fen­den Betrieb wer­den sämt­li­che ver­wal­te­ten Sys­te­me regel­mä­ßig auf Firm­ware-Updates geprüft. Sobald ein Her­stel­ler eine neue Ver­si­on ver­öf­fent­licht, wird sie über den zen­tra­len Patch-Manage­ment-Pro­zess erkannt und für die betrof­fe­nen Gerä­te frei­ge­ge­ben. Nach erfolg­rei­chem Test­lauf erfolgt die Ver­tei­lung im Rah­men der nächs­ten War­tungs­zy­klen. Auf Wunsch kann der Kun­de über die durch­ge­führ­ten Firm­ware-Updates infor­miert wer­den, ähn­lich wie über Win­dows- oder Anwen­dung­s­up­dates.

Die­ses Vor­ge­hen stellt sicher, dass BIOS- und UEFI-Updates nicht dem Zufall über­las­sen wer­den. Sie wer­den wie alle ande­ren Patches ver­sio­niert, doku­men­tiert und pro­to­kol­liert. Dadurch las­sen sich Com­pli­ance-Anfor­de­run­gen und Audit-Vor­ga­ben pro­blem­los erfül­len. Da der Pro­zess voll­stän­dig in die Ser­vice­flat­rate inte­griert ist, ent­ste­hen kei­ne Zusatz­kos­ten – ledig­lich mehr Sicher­heit und weni­ger Risi­ko.

Fazit – Klei­ne Updates, gro­ße Wir­kung

Ein aktu­el­les BIOS oder UEFI ist kei­ne Neben­sa­che, son­dern die Basis jedes siche­ren und sta­bi­len Com­pu­ter­sys­tems. Firm­ware­pfle­ge ver­hin­dert, dass Angrif­fe tief in das Sys­tem ein­drin­gen, bevor Sicher­heits­soft­ware über­haupt ein­grei­fen kann. Sie sorgt dafür, dass moder­ne Schutz­me­cha­nis­men zuver­läs­sig funk­tio­nie­ren und Hard­ware effi­zi­ent arbei­tet.

Wer sei­ne Gerä­te regel­mä­ßig auf Firm­ware-Updates prüft und die­se in ein auto­ma­ti­sier­tes Patch-Manage­ment inte­griert, mini­miert Risi­ken lang­fris­tig. BIOS- und UEFI-Updates sind damit kein exo­ti­sches IT-The­ma, son­dern ein zen­tra­ler Bestand­teil pro­fes­sio­nel­ler IT-Betreu­ung.

Ein kur­zer Neu­start kann über die Sicher­heit einer gesam­ten Infra­struk­tur ent­schei­den – und das ist ein Auf­wand, der sich immer lohnt.

In diesem Beitrag