Computerhardware: BIOS

„BIOS“ ist die Abkürzung von „Basic Input/Output System“, deutsch: „Basis Ein-/Ausgabe-System“. Es handelt sich um das erste Programm, mit dem die CPU nach dem Einschalten die Arbeit beginnt. Gewissermaßen wird der PC mit dem BIOS-Programm „zum Leben erweckt“ und im Anschluss das Starten eines Betriebssystems eingeleitet. Das BIOS-Programm wird vom Hersteller der Hauptplatine in einem Festwertspeicherbaustein (ROM) bereitgestellt, der auf die Platine aufgelötet ist. Bei Stromausfall gehen die gespeicherten Bits nicht verloren.

Das BIOS ist ein fest eingebautes Mini-Betriebssystem, das automatisch arbeitet und nicht bedient werden kann. Es stellt einfache Treiber für die wichtigsten PC-Komponenten bereit. Das BIOS überprüft nach dem Einschalten die grundlegenden Funktionen des PC und lädt das Betriebssystem. Die meisten BIOS-Treiber werden später vom Betriebssystem-durch eigene, optimierte Treiber ersetzt.

Das BIOS nimmt eine Zwischenstellung zwischen Hardware und Software ein.

• „Normale“ Software, wie Betriebssystem und Anwendungen, wird auf Datenträgern geliefert. Man hat eine große Auswahl, welche Software man installiert und man kann sie auch deinstallieren.
• Die BIOS-Software jedoch ist in der Hardware fest eingebaut und kann nicht entfernt oder ausgewechselt werden.

Wegen dieser Zwitterstellung hat das BIOS den Namen „Firmware“ bekommen.

• Das BIOS-Programm beginnt nach dem Einschalten mit dem „POST“ (Power On Self Test). Dabei werden die grundlegenden Funktionen des PC überprüft (z. B. mit einem Speichertest). Wenn Fehler auftreten, werden sie auf dem Bildschirm angezeigt. Wenn die Bildschirmausgabe nicht möglich ist, werden Fehler durch eine unterschiedliche Anzahl von Pieptönen signalisiert. Dafür gibt es auf der Hauptplatine einen Pieper, oder es wird im Inneren des Gehäuses ein kleiner Lautsprecher angesteckt.
• Die Hardware wird konfiguriert (Plug & Play) - Stromsparfunktionen (Powermanagement). Ressourcen werden verteilt, z. B. Interrupts (so heißen die Unterbrechungsanforderungen an die CPU).
• On-Board-Komponenten (Chipsatz, Schnittstellen,...) werden mit Betriebsparametern versorgt (z. B. Anzahl Wartezyklen) und initialisiert. Datum und Uhrzeit werden verwaltet.
• Lüfterdrehzahlen und Temperaturen von Prozessor und Hauptplatine werden überwacht.
• Auf den Massenspeichern wird nach einem Betriebssystem gesucht. Das gefundene Betriebssystem wird in den Arbeitsspeicher geladen und das Betriebssystem gestartet.

Als Speicher für das BIOS werden heute Flash-EEPROMS (Flash Electrical Erasable Programmable Read Only Memory = "blitzschnell elektrisch löschbarer Nur-Lese- Speicher") verwendet. Diese Speicherbausteine können ohne Spezialgeräte gelöscht und neu beschrieben werden, dadurch kann der Benutzer ein sogenanntes BIOS-Update bei Bedarf selbst durchführen.

Das BIOS von 1981 kannte noch keine Festplatten. Eine erste Überarbeitung ermöglichte Festplatten bis 32 MB. Immer neue Modifikationen wurden nötig, um die Kapazitäts-Obergrenze schrittweise auf 504 MB, 2016 MB, 3,7 GB, 7,8 GB, 128 GB und zuletzt auf 2047,99 GB anzuheben. Nun hat die Flickschusterei ein Ende gefunden. Der Aufwand, das BIOS an neue Entwicklungen (z. B. noch größere Festplatten) anzupassen, wurde zu hoch. Das Unified Extensible Firmware Interface (UEFI) hat das klassische BIOS ersetzt. EFI wurde 2001 von Intel für die Server-CPU Itanium entwickelt, ein etwas anderes EFI wurde seit 2006 von Apple verwendet. Die PC-, Software- und Firmware-Hersteller haben sich nun auf eine vereinheitlichte (unified) Version geeinigt. Die klassischen BIOS-Funktionen werden weiter unterstützt. Die ersten Notebooks wurden seit 2010 mit frühen Versionen des UEFI-BIOS ausgestattet, und vor etwa fünf Jahren auch die Mainboards von Desktop-Computern. Inzwischen ist das UEFI-BIOS die Normalausstattung. Seit 2020 schwindet die Unterstützung für das alte BIOS: Einige, vor allem hochpreisige Mainboards, verzichten auf das Legacy BIOS.

• Das alte BIOS akzeptiert Festplatten bis 2 TB, mit UEFI sind 8 000 000 000 TB möglich (das ist ungefähr die Speicherkapazität aller Computer auf der Erde im Jahr 2008 zusammengenommen).
• Der Startvorgang wird erheblich beschleunigt, weil mehrere Prozesse parallel ablaufen.
• Ein Mini-Betriebssystem, die „UEFI-Shell“ (ähnlich zu DOS) ist integriert. Dadurch werden beispielsweise Reparaturen ermöglicht, wenn Windows nicht startet, für die man früher eine „Live Disk“ brauchte.
• Zusatzprogramme können integriert werden, z. B. ein Datensicherungsprogramm oder einfache Spiele. Die NSA (der Auslandsgeheimdienst der USA) träumt bestimmt davon, ein unauffälliges Spionageprogramm ins BIOS zu integrieren. Sie muss nur einen patriotischen BIOS-Hersteller finden. Der chinesische Geheimdienst ist da vermutlich schon weiter.

Um Programme und Daten verschiedener Art trennen zu können, wird die Festplatte in Bereiche unterteilt. Die Unterteilung der Festplatte heißt Partitionierung, die Bereiche der Festplatte werden Partitionen genannt, Microsoft nennt sie „Volumes“. Im ersten Sektor der Festplatte, genannt Master Boot Record, befindet sich eine Liste mit der aktuellen Aufteilung der Festplatte. Diese Tabelle nennt man Partitionstabelle.

Die klassische Partitionstabelle im Master Boot Record war zu klein, um Festplatten von mehr als 2200 GB verwalten zu können. Deshalb wurde zusammen mit dem UEFI-BIOS eine neue Partitionsverwaltung eingeführt: GUID Partition Table (GPT). Mit GPT können 128 Partitionen auf Festplatten bis 8 Milliarden Terabyte verwaltet werden.

Windows 11 kann nur mit dem UEFI-BIOS auf einer GPT-partitionierten Festplatte installiert werden. Windows 7 und früher funktionieren nur im Legacy-Modus auf einer MBR-partitionierten Festplatte. Bei einer Neuinstallation von Windows 8 und 10 gibt es Wahlmöglichkeiten.

Im Prinzip ist es möglich, eine MBR-partitionierte Festplatte in eine GPT-partitionierte umzu- wandeln. Aber: Ein auf einer MBR-partitionierten Festplatte installiertes Windows 10 kann man zwar auf eine GPT-Festplatte umkopieren, aber dort nicht starten.

Wenn Sie die Wahl haben, sollten Sie bei einer Neuinstallation vorzugsweise das UEFI-BIOS mit GPT-Partitionierung benutzen. UEFI mit GPT ist moderner, bootet schneller und ist durch Secure Boot besser gegen Schadsoftware geschützt. Und wenn Ihre Festplatte größer als 2,2 TB ist, führt an GPT ohnehin kein Weg vorbei. Außerdem werden MBR-partitionierte Festplatten von zukünftigen Hauptplatinen ohne Legacy-Mode möglicherweise nicht mehr erkannt.

Immer mehr Computer haben auf der Hauptplatine einen „TPM-Chip“. TPM kann auch in Mobiltelefone, Smartphones und Unterhaltungselektronik eingebaut werden. Der Trusted Platform Module Chip soll sicherstellen, dass das System nicht bereits beim Bootvorgang durch Viren manipuliert wird. Der von Intel und Microsoft festgelegte Standard regelt die Zusammenarbeit zwischen TPM-Chip und Betriebssystem. Der Anwender braucht sich um nichts zu kümmern.

Daten können so verschlüsselt werden, dass sie nur auf einem einzigen PC (dem eigenen) geöffnet werden können.

Ein Gerät mit TPM, daran angepasstem Betriebssystem und Software bildet zusammen eine „Trusted Computing Plattform“. Der Hersteller kann für seine „vertrauenswürdige Plattform“ Beschränkungen festlegen.

Etwa seit 2016 nutzt nahezu jeder Computer mit Windows 8 und höher den TPM 2.0 Standard. Die Hardware und das Betriebssystem sind aufeinander abgestimmt und der Hersteller eines Betriebssystems legt fest, welche Software sich auf einem Gerät installieren lässt, ähnlich wie es bereits auf Smartphones der Fall ist. Der Hersteller könnte das Booten von jeglicher Live-CD verhindern (eine Live-CD ist eine startfähige CD mit Betriebssystem, mit der man den PC benutzen kann, ohne auf die Festplatte zugreifen zu müssen). Dann wäre der Nutzer davor geschützt, dass Diebe die Daten von seiner Festplatte auslesen. Doch er könnte seine Daten selbst nicht mehr retten, falls Windows einmal nicht startet.

Seit 2015 müssen Notebooks, die mit dem Logo „Windows 10 Ready“ werben wollen, einen TPM-Chip haben. Wohlgemerkt: Windows 10 kann auch ohne einen solchen TPM-Chip installiert werden. Business-Notebooks haben seitdem einen separaten TPM-Chip auf der Hauptplatine. Einige ältere Hauptplatinen für PCs haben die Möglichkeit, einen TPM-Chip nachzurüsten. Seit der TPM-Version 2.0 ist es möglich, einen kleiner Microcontroller in den Chipsatz oder in die CPU zu integrieren. Das nennt sich Firmware-TPM (fTPM 2.0) und spart den separaten TPM-Chip ein.

Der Hersteller könnte auch verhindern, dass sich ältere Windows-Versionen installieren lassen, um den Anwender zum Kauf des aktuellen Betriebssystems zu zwingen. Eigentlich macht Microsoft das schon lange: Notebooks und Komplettsysteme werden mit vorinstalliertem Windows 10 verkauft. Wer Wert auf seine Privatsphäre legt und lieber Linux oder Windows 7 nutzen möchte, kann es nicht, weil der Notebook-Hersteller keine Treiber für Windows 7 oder Linux bereitstellt. Sehen Sie gegebenenfalls vor dem Kauf auf der Hersteller-Webseite unter „Support“ nach, ob es Treiber für das gewünschte Betriebssystem gibt.

TPM wird auf allen Rechnern mit Windows 8 und 10 automatisch aktiviert. Zudem übernimmt mit TPM 2.0 das Betriebssystem die Kontrolle über das Trusted Computing − und legt damit fest, was der Anwender auf dem Computer darf und was nicht.

Auf diese Weise würde sich Microsoft solch lästige Konkurrenten wie das Libre-Office-Büropaket, den Firefox-Browser oder das Betriebssystem Linux vom Hals schaffen können.

Die „Zeit“ berichtete, das Bundesamt für Sicherheit in der Informationstechnik sähe bereits heute ein Risiko beim Einsatz von Windows 8. Windows 7 sei nach Angaben des BSI bis zum Jahr 2020 „sicher zu betreiben“. Auf den Webseiten des BSI wird erklärt, wie TPM funktioniert. Suchen Sie nach „tpm bsi grundlagen“. Unter „Trusted Computing im praktischen Einsatz“ finden Sie zahlreiche TPM-Kritiker mit ihren Argumenten.

Seit Windows 11, erschienen 2011, ist TPM 2.0 zwingend erforderlich. Hat Ihr PC einen TPM-Chip? Dann wird im Gerätemanager zwischen „Prozessoren“ und „Softwaregeräte“ ein Eintrag „Sicherheitsgeräte“ mit „Trusted Platform Module 2.0“ angezeigt. Oder Sie tippen „TPM“ ins Suchfeld von Windows 10 ein oder Sie starten mit „tpm.msc“ das TPM-Management direkt.

Wenn Sie keinen TPM-Chip finden, muss er wahrscheinlich im BIOS aktiviert werden.

• Wenn Ihr PC einen Intel-Chipsatz hat, suchen Sie im BIOS unter den „Erweiterten Optionen“ nach der „PCH-FW Configuration“ (Platform Controller Hub − Firmware). Schalten Sie die „Intel Platform Trust Technology“ auf „Enabled“. Bei anderen BIOS-Versionen gehen Sie ins Menü „Security“ → „Trusted Computing“ → „Security Device Support“ → „TPM-Device“ auf „PTT“ stellen.

• Bei AMD gehen Sie über „Security“ → „Trusted Computing“ → „AMD CPU fTPM“ aktivieren, außerdem „Secure Device Support“ aktivieren. Im einem BIOS von ASUS finden Sie TPM unter „Advanced“ → „CPU Configuration“ oder „Advanced“ → „AMD fTPM Configuration“.

Notfalls können Sie mit dem Programm RUFUS ein modifiziertes Windows-11-Installationsmedium erstellen, mit dem sich Windows 11 auch auf älteren PCs installieren lässt.

Die IT-Experten der Bundesregierung halten das Betriebssystem Windows 8 für gefährlich. Durch eine Hintertür in Windows 8, die sich nicht verschließen lässt, soll es Microsoft oder auch Behörden möglich sein, das Betriebssystem aus der Ferne zu kontrollieren. Professor Rüdiger Weis, Sicherheitsexperte in Berlin, sagte dazu: Auf mindestens drei Ebenen seien die neuen Trusted-Computing-Systeme angreifbar. Man müsse davon ausgehen, dass die NSA die entsprechenden Rechner problemlos kompromittieren könnte – ebenso übrigens die Chinesen, wenn die TPM-Chips in China gefertigt würden.

Der TPM-Chip soll zukünftig durch einen verbesserten Sicherheitschip „Pluton“ ersetzt werden, der direkt in die CPUs eingebaut wird. Pluton soll nun auch das BIOS schützen, was TPM nicht kann. Dieser neue Schutz wird zuerst für Firmen-PCs und Business-Notebooks eingeführt.

Ab UEFI Version 2.3.1 gibt es „Secure Boot“. Das sichere Booten lässt sich nur durchführen, wenn alle BIOS-Komponenten von Microsoft oder einer anderen Zertifizierungsstelle genehmigt sind. Damit soll verhindert werden, dass Schadsoftware bereits vor dem Start des Betriebssystems die Kontrolle übernehmen kann, denn dann wären sämtliche Antivirenprogramme machtlos. Und wenn BIOS-Hersteller auf Anweisung des Geheimdienstes eine Spionagesoftware ins BIOS einbauen, können Antivirenprogramme diese nicht finden. Secure Boot verhindert nicht alle denkbaren Angriffe, aber es macht Angriffe so aufwendig, dass derartige Angriffe unwahrscheinlich sind.

Das UEFI Secure Boot kann man im UEFI-BIOS-Setup ausschalten. Das UEFI-BIOS startet dann mit einem CSM (Compatibility Support Module) wie ein klassisches BIOS. Diese Option wird oft als „Legacy Boot“ bezeichnet. Im CSM-Modus kann man auch von einer Live-CD booten oder ein nicht-zertifiziertes Betriebssystem nutzen, wie z. B. Linux. Doch mit diesem klassischen BIOS kann Windows auf der Boot-Festplatte nur maximal 2,2 TByte Speicherplatz nutzen.

Um die Parameter der Festplatten und andere Parameter in das CMOS-RAM einspeichern zu können, wird ein Hilfsprogramm, das sogenannte „BIOS-Setup-Programm“ benötigt. In den 80er Jahren, als ROM noch sehr teuer war, wurde dieses Programm auf Diskette beigelegt. Heute wird das BIOS-Setup-Programm im ROM untergebracht. Wenn man Veränderungen an den Einstellungen vornehmen will, muss man das BIOS-Setup-Programm starten, indem man den Startvorgang des PC im richtigen Moment mit einer Taste oder Tastenkombination unterbricht. Meist wird die Taste Del bzw. Entf oder die Taste F2 dafür verwendet, in seltenen Fällen auch F12, F10, F8, F1, Esc, Strg-Einfg oder Strg-Esc. Beobachten Sie den PC beim Booten genau. Bei einigen PCs wird am unteren Bildschirmrand eine Meldung angezeigt, mit welcher Taste man ins Setup kommt, z. B. „Press Del for Setup“. Wenn Sie so eine Meldung sehen, haben Sie einige Sekundenbruchteile Zeit, die Entf-Taste zu drücken. Wenn Sie den Moment verpasst haben, müssen Sie Windows hochfahren, herunterfahren und es erneut versuchen. Beachten Sie, dass Windows 10 normalerweise nicht völlig herunterfährt, um schneller neu starten zu können. In diesem Fall drücken Sie die Windows-Taste plus „r“ und tippen Sie shutdown /s /f /t 0 ein, gefolgt von Enter. Dann fährt Windows „richtig“ herunter und beim nächsten Start können Sie es erneut versuchen.

Wenn Sie im BIOS-Setup sind, seien Sie vorsichtig. Das Anschauen der Einstellungen ist völlig ungefährlich, aber bitte nicht planlos die Einstellungen verändern und dann speichern, denn falsche Einstellungen können den PC ausbremsen oder stilllegen. Deshalb verfügt fast jedes BIOS über einen Selbstschutz: Wenn das Booten mehrmals nicht gelingt (weil Sie den Startvorgang absichtlich unterbrochen haben oder weil einer der eingestellten Parameter nicht funktioniert), werden Sie beim Start gefragt, ob Sie die Standardeinstellungen zurückhaben möchten. Meist müssen Sie dann die Taste F1 drücken und daran anschließend die zurückgesetzten Einstellungen abspeichern.

Welche BIOS-Einstellungen müssen Sie kennen?

• Im Hauptmenü „Main“ können Sie Datum und Uhrzeit einstellen.
• Im letzten Menüpunkt gibt es eine Einstellung, „Load Setup Defaults“, um alle Werte auf Standard zu setzen. Das hilft manchmal bei Hardware-Problemen.
• Im Abschnitt „Boot Sequence“ oder „Boot Device Priority“ können Sie einstellen, ob der PC von DVD oder USB-Stick booten darf oder nicht. Wenn Sie ein UEFI-BIOS haben, werden manche DVD-Laufwerke doppelt aufgeführt: einmal als UEFI-kompatibel, einmal als „klassisches“. Welches davon beim Booten funktioniert, kann je nach DVD-Inhalt verschieden sein.
• Unter dem Menüpunkt „Power“ ist meist ein „Hardware Monitor“ zu finden, manchmal unter „Health“ (Gesundheit). Dort können Sie die Drehzahl der Lüfter und die CPU-Temperatur kontrollieren (in Celsius und Fahrenheit, wobei °C = (°F-32) × 5/9 ist). Die Drehzahl der Lüfter (Fan Speed) wird in RPM (rotations per minute, deutsch: Umdrehungen pro Minute) angegeben. N/A bedeutet „nicht angeschlossen“.
• Im Menü „Integrated Peripherals“ oder „Onboard Devices“ können Sie Komponenten auf der Hauptplatine deaktivieren. Die seriellen Anschlüsse (COM1 und COM2), den parallelen Druckeranschluss LPT1 sowie Firewire (IEEE 1394) brauchen Sie bestimmt nicht. Falls Sie eine hochwertige Soundkarte gekauft haben, sollten Sie den auf der Hauptplatine integrierten Soundchip deaktivieren. „S.M.A.R.T. Monitoring“ bzw. „S.M.A.R.T. Protection“ sollte unbedingt „enabled“ sein. Dann haben Sie eine Chance von etwa 60 %, eine Warnung zu bekommen, kurz bevor Ihre Festplatte „stirbt“ und Sie Ihre Daten verlieren.
• Bei den Exit-Optionen gibt es eine Einstellung „Load Setup Defaults“ (Default = Standard), um alle Werte auf Standard zu setzen. Das hilft manchmal bei Hardware-Problemen. Manchmal gibt es zwei Einstellmöglichkeiten: Optimale Einstellungen für den Normalbetrieb und die „gebremste“ Einstellung „Fail-Safe“, mit der ein gehäuft abstürzender PC vielleicht noch eine Weile funktioniert.

Am rechten oder unteren Bildrand finden sie eine Erläuterung, mit welchen Tasten Sie Einstellungen vornehmen können. Oft sind es die Tasten „PgUp“ und „PgDn“ (Page Up und Page Down = Bild auf- oder abwärts) oder die Tasten „+“ und „-“ am rechten Rand der Tastatur.

Bei manchem (vorwiegend älteren) BIOS werden Sie aufgefordert, das Speichern mit der Taste „y“ (yes) zu bestätigen. Wenn das nicht klappt, nehmen Sie die Taste „z“, weil das BIOS eine amerikanische Tastatur erwartet, auf der die Tasten y und z im Vergleich zur deutschen Tastatur vertauscht sind.