Bundesamt für Sicherheit in der Informationstechnik

M 6.27 Sicheres Update des BIOS

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Viele IT-Systeme, beispielsweise PC s, benötigen für den Start bzw. für den Betrieb ein Basic Input Output System (BIOS). Dieses BIOS setzt sich aus Programmcode und Daten zusammen und dient dazu, wichtige Konfigurationseinstellungen am IT-System vorzunehmen und elementare Ein-/Ausgabe-Funktionen bereitzustellen. In vielen Fällen wird mit diesen Funktionen das eigentliche Betriebssystem geladen, das dann entweder selbst die Kontrolle über die Hardware übernimmt oder weiterhin auf BIOS-Funktionen zurückgreift. Gespeichert wird das BIOS meist in speziellen Speicherbausteinen ( z. B. EEPROM oder Flash- EPROM ), deren Inhalt auch beim Abschalten der Stromversorgung erhalten bleibt.

Insbesondere bei PCs hat die Vielfalt der Konfigurationsmöglichkeiten dazu geführt, dass das BIOS sehr komplex und damit auch fehleranfälliger geworden ist. Viele Hersteller sind daher dazu übergegangen, einen Update-Mechanismus für das BIOS zu implementieren und regelmäßig fehlerbereinigte Versionen des BIOS zur Verfügung zu stellen. Zur Durchführung des BIOS-Updates bietet der Hersteller meist auch ein spezielles Programm an, mit dem der Inhalt der entsprechenden Speicherbausteine überschrieben werden kann. Wird ein spezielles Programm zum Update des BIOS angeboten, so ist die Vertrauenswürdigkeit seiner Quelle, seine Aktualität und Virenfreiheit sicher zu stellen.

Da das BIOS direkt auf die Hardware zugreift und noch vor Betriebssystemen und Bootloadern geladen wird, sind Manipulationen am BIOS besonders schwer zu entdecken. Aus diesem Grund dürfen nur Administratoren das Recht zur Installation eines neuen BIOS haben.

Grundsätzlich sollte der Update-Mechanismus für das BIOS genutzt werden, um IT -Systeme mit möglichst fehlerfreien BIOS-Versionen auszustatten. Dabei sind jedoch folgende Hinweise zu beachten:

  • Als erstes sollte vom derzeit installierten BIOS eine Datensicherung durchgeführt werden. Hierzu bietet die vom Hersteller angebotene Software in der Regel die Möglichkeit, das installierte BIOS auszulesen und als Datei abzuspeichern. Falls sich nach dem BIOS-Update Probleme ergeben, kann diese BIOS-Version wiederhergestellt werden. Falls das Mainboard über ein redundantes BIOS auf einem getrennten Chip verfügt, kann auf die Sicherung verzichtet werden.
  • Bei zentralen IT-Systemen, beispielsweise Servern, Netzkoppelelementen und TK -Anlagen, sollten die jeweils aktuell verwendete und die davor letzte funktionsfähige BIOS-Version archiviert werden. Dabei ist darauf zu achten, dass die Datei eindeutig dem jeweiligen IT-System zugeordnet werden kann.
  • In vielen Fällen hat ein BIOS-Update Einfluss auf die gespeicherten Konfigurationsdaten. Unter Umständen werden dabei alle vorgenommenen Einstellungen auf Standardwerte zurückgesetzt und gehen somit verloren. Ein modernes BIOS für PCs ist zwar in der Lage, viele Konfigurationsdaten selbst zu ermitteln ("Auto Detect"), insbesondere bei spezielleren Geräten kann es jedoch erforderlich sein, die vorgenommenen Einstellungen vor dem BIOS-Update zu dokumentieren. Hierzu sollten die Empfehlungen des Herstellers beachtet werden.
  • Ein Angreifer könnte versuchen, eine ältere BIOS-Version wiederaufzuspielen, um deren Schwachstellen auszunutzen. BIOS-Updates sollten daher (zumindest in Bereichen mit hohem Schutzbedarf) im Rahmen des Patch- und Änderungsmanagements dokumentiert werden.
  • BIOS-Updates und Software zum Einspielen von BIOS-Updates werden vom Hersteller oft im Internet zur Verfügung gestellt. Es ist darauf zu achten, dass beides nur vom Hersteller selbst oder von offiziellen Spiegelservern bezogen wird. Im Zweifelsfall sollte beim Hersteller nachgefragt werden, ob eine bestimmte im Internet bereitgestellte Version tatsächlich vom Hersteller freigegeben wurde.
  • Inkompatibilitäten oder beschädigte Dateien können dazu führen, dass ein IT-System nach einem BIOS-Update nicht mehr funktioniert. Oft ist es nicht einmal mehr möglich, die vorhergehende, funktionsfähige BIOS-Version wiederherzustellen. In der Regel kann dann nur noch der Händler oder der Hersteller das Gerät wieder betriebsbereit machen, und das IT-System steht unter Umständen längere Zeit nicht zur Verfügung. Daher muss vor dem BIOS-Update sichergestellt werden, dass eine geeignete Ausweichlösung (z. B. ein Ersatzgerät) zur Verfügung steht, falls ein solcher Ausfall nicht toleriert werden kann.
  • Neue BIOS-Versionen sollten vor dem Einsatz möglichst getestet werden. Möglich ist dies jedoch nur, wenn mehrere IT-Systeme vorhanden sind, die alle mit dem gleichen BIOS arbeiten. In diesem Fall sollte die neue BIOS-Version zunächst nur auf einem dieser IT-Systeme installiert und dieses Gerät einige Zeit im Betrieb beobachtet werden. Wenn sich dabei keine Probleme zeigen, können die übrigen IT-Systeme nachgezogen werden.
    Hinweis: Es mag attraktiv erscheinen, diesen Test in einer virtuellen Umgebung durch zu führen. Da eine virtuelle Umgebung aber nie exakt die vorhandene Hardware der realen Maschine simuliert, kann solch einem Test nicht vertraut werden. Die Lauffähigkeit eines neuen BIOS muss daher auf einem realen System überprüft werden.
  • Einige Hersteller empfehlen für ihre Geräte nicht einfach die neueste BIOS-Version. Stattdessen gibt es Tabellen, in denen abhängig von Einsatzszenario oder Modellnummer des IT-Systems eine bestimmte BIOS-Version empfohlen wird. Dies betrifft hauptsächlich Netzkoppelelemente. Die Empfehlungen des Herstellers sollten beachtet werden.

Prüffragen:

  • Wird vor einem BIOS-Update die vorhandene, lauffähige BIOS-Version gesichert?

  • Ist sichergestellt, dass eine BIOS-Veränderung nur durch einen Administrator erfolgen kann?

  • Werden BIOS-Updates und die dafür benötigten Programme ausschließlich aus vertrauenswürdigen Quellen bezogen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK