Also ich würde mit dem Argument mitgehen, das man deshalb Secure-Boot einrichten sollte, weil Secure-Boot zu haben ist immer noch besser als gar nichts zu haben. Und der Punkt gilt ja auch noch dann, wenn man die ganzen vorgefertigten Sachen benutzt, wo die Einrichtung ja tatsächlich kaum mehr als ein Knopfdruck ist.
Aber wie gesagt, Der Schutz von Secure-Boot ist nicht wirklich gut. Das hält den "Kleinkriminellen" ab. Wenn Du jetzt aber sagst "Staatstrojaner" und den zu platzieren ist für die behördliche Stelle offenbar so wichtig, das sie den Aufwand auf sich nehmen, mein Gerät in die Finger zu kriegen, dann würde ich mich nicht darauf verlassen, das Secure-Boot mich schützt.
Wenn mich also am Flughafen die Sicherheitsbehörden rauszerren und mein Laptop mal kurz mit ins Hinterzimmer nehmen, während sie mich befragen und mich dann irgendwie wieder gehen lassen und mir den Laptop in die Hand drücken, würde ich das Gerät eher schreddern, aber ganz sicher nicht weiter benutzen, weil ich hab ja Secure-Boot; was soll passieren.
Secure-Boot bringt mir nur in einem Fall was: Ich hab nicht mitgekriegt das sie den Laptop in den Händen hatten und sie waren obendrein zu doof den Schutz auszuhebeln.
Naja. Wenns nur darum geht jemanden irgendwas zu erzählen, dann von mir aus.
Die Leute lassen sich ja teilweise alles mögliche aufschwatzen. Wenn man so argumentiert, kann man jeglichen Unsinn rechtfertigen. Dann kann ich auch sagen: Wegen esoterisch Kunden tu ich in meine Geräte immer ein Schutzkristall und wenn ich den das dann sage, sind die alle beruhigt. :-)
Das kann man so machen, hat aber natürlich nix mit einer realen Risikobewertung zu tun.
Wenn ich nebenbei meine echten Maßnahmen setzen darf, leg ich gern den Kristall neben den Server

Diese Forensik hat aber prinzipbedingt Grenzen. Du kannst eigentlich nur nachweisen, was auch da ist. Du kannst aber darüber keine gesicherten Aussagen treffen treffen. Wenn Du also zu einer Sache keine Anhaltspunkte findest, heißt das noch lange nicht, das sie nicht passiert sind. Und selbst bei den Sachen, die Du findest ist es immer eine Frage der Wertung. Das sehen wir auch immer schön bei Behauptungen a-la "Russische Hacker haben ..." und als "Beweis" werden dann irgendwelche russischen Wörter in der Malware präsentiert, was natürlich letztlich gar nichts beweist.
Forensik funktioniert also sowieso nur in einen engen Bereich. Und wenn man dann noch sagt, das mir Secure-Boot dabei hilft ...
Also es mag Fälle geben, wo das so ist. Aber generell wirkt das erst mal etwas seltsam und ich würde eher denken: Wenn sich sowas jemand woher zieht (ziehen muss), um Secure-Boot positiv zu begründen, dann kanns nicht so dolle sein. :-)
Wie gesagt: Ich gehe mit dem Punkt mit, das es zu haben ist besser als nix zu haben. Aber man sollte es nicht versuchen es größer aufblasen, als es ist.
Sehr gängige Dinge sind halt sowas wie "Notebook in der Bahn vergessen und kommt dann nach 2 Wochen über irgendwelche Wege zurück zur Firma". Klar, alles Löschen und neues Images drüber wäre die beste Lösung. Aber wenn du immer auf Nummer Sicher gehst, sucht sich der Kunde bald nen Mitbewerber. Man muss da ein gesundes Mittelmaß finden.
Was leider auch schon mal vorkommt (nicht nur bei kleinen, auch bei großen Kunden die sich eigentlich alles leisten könnten): System darf nicht zur Analyse gestoppt werden. Ja da schreien alle Alarmglocken, aber ich muss dennoch das best mögliche daraus machen.
Und natürlich weiter oben schon beschriebene Dinge mit manipulierten Modulen wo ich keine Chance mehr hätte irgend was rauszufinden.
Aber ja - oft ist der Hauptgrund für Forensik dass jemand einen Bericht möchte wo in möglichst wichtig klingenden Worten steht: "Alles ist gut, nichts schlimmeres passiert".