Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreiflg2reqlmccnm5lli6ckf5ltuespghdgztvb4mpgqyrdsbfm6hsu",
    "uri": "at://did:plc:lcqnmkieaiknpxjwvmcefo6g/app.bsky.feed.post/3mfxwglg6wp72"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreidxffga3izjcuazc5d6yydomvjxewlwocp6wgt72a6wxeirswttfi"
    },
    "mimeType": "image/jpeg",
    "size": 127568
  },
  "path": "/article/3059462/ihr-windows-pc-bekommt-ab-juni-ernste-probleme-das-konnen-sie-tun.html",
  "publishedAt": "2026-02-28T08:30:00.000Z",
  "site": "https://www.pcwelt.de",
  "tags": [
    "Windows",
    "Doch im Juni 2026 laufen einige Secure-Boot-Zertifikate ab.",
    "schreibt",
    "Why Not Win",
    "Hwinfo",
    "Check-UEFI SecureBootVariables",
    "Hasleo Backup Suite Free",
    "Rufus",
    "Ventoy",
    "Hiren’s Boot CD",
    "Bootice",
    "https://aka.ms/myrecoverykey"
  ],
  "textContent": "Ein Windows-PC ist permanenten Hacker-Attacken ausgesetzt. Um davor zu schützen, ist Secure Boot ein wichtiger Baustein im Windows-Sicherheitskonzept. Doch im Juni 2026 laufen einige Secure-Boot-Zertifikate ab. Zwar startet danach der Windows-Rechner noch, doch der Sicherheitszustand des PCs wird eingeschränkt und es drohen langfristig Kompatibilitätsprobleme.\n\nMicrosoft schreibt:\n\n> Wenn ein Gerät die neuen Secure-Boot-Zertifikate nicht vor Ablauf der 2011-Zertifikate erhält, funktioniert der PC weiterhin normal und die vorhandene Software läuft weiter. Das Gerät wechselt jedoch in einen eingeschränkten Sicherheitszustand, der seine Fähigkeit zum Empfang künftiger Schutzmaßnahmen auf Boot-Ebene einschränkt.\n>\n> Wenn neue Boot-Level-Sicherheitslücken entdeckt werden, sind betroffene Systeme zunehmend gefährdet, da sie keine neuen Schutzmaßnahmen mehr installieren können. Mit der Zeit kann dies auch zu Kompatibilitätsproblemen führen, da neuere Betriebssysteme, Firmware, Hardware oder Secure-Boot-abhängige Software möglicherweise nicht mehr geladen werden können.\n\n## Das ist Secure Boot\n\nSecure Boot steckt in der PC-Firmware und sorgt dafür, dass nur zertifizierte Uefi-Dateien während des Bootvorgangs geladen werden. Das soll verhindern, dass sich Schadsoftware bereits vor dem Start des Betriebssystems und vor der Prüfung durch einen Virenscanner einnistet.\n\n> Damit Secure Boot sicherer wird, sind neue Zertifikate nötig. Prüfen Sie den Update-Stand Ihres PCs.\n\nSecure Boot hat jedoch einige konzeptionelle Mängel, die Wartung und Aktualisierung erschweren. Hinzu kommt, dass einige der zurzeit verwendeten Microsoft-Zertifikate im Juni 2026 ablaufen. Der PC wird voraussichtlich noch einige Zeit auch Uefi-Dateien starten, die mit dem dann veralteten Zertifikat signiert sind. Microsoft kann damit aber keine neuen Dateien mit gültigen Signaturen erzeugen, was für zukünftige Updates erforderlich ist. Deswegen müssen auf allen PCs neue Zertifikate in die Firmware integriert werden, damit Windows auch nach dem nächsten Update noch startet. Das gilt für Windows 11 und auch für Windows 10, wenn das System weiter mit Updates versorgt wird.\n\nDer Artikel beschreibt, wie Secure Boot genau funktioniert, welche Voraussetzungen für Updates gelten und wie Sie den Update-Status prüfen können.\n\n**Wichtig:** Lesen Sie zuerst im Kasten „Bitlocker-Schlüssel und TPM“ am Ende des Artikels, wie Sie den Bitlocker-Wiederherstellungsschlüssel sichern oder die Verschlüsselung abschalten.\n\n## Die Bedeutung von digitalen Signaturen\n\nDigitale Signaturen bestätigen die Herkunft und Integrität einer Datei. Das kryptografische Verfahren kommt etwa bei Dokumenten, Programmdateien und Treibern zum Einsatz. Der Aussteller verwendet seinen privaten Schlüssel, um einen einzigartigen digitalen Fingerabdruck (Hashwert) in der Datei zu erzeugen. Der Empfänger nutzt den zugehörigen öffentlichen Schlüssel, um die Signatur zu prüfen. Wenn die Prüfung erfolgreich ist, bestätigt dies die Herkunft und dass die Datei nicht verändert wurde.\n\nZertifikate prüfen: In den Eigenschaften einer Datei gelangt man über „Digitale Signaturen“ zu den Zertifikaten. Das Beispiel zeigt den Windows-Bootmanager mit dem 2011-Zertifikat.\n\nThorsten Eggeling\n\nDie Ausstellung des privaten und öffentlichen Schlüssels erfolgt über eine anerkannte Zertifizierungsstelle. Dabei wird das Teilnehmer-Zertifikat mit einem Zwischen-Zertifikat (Intermediate) signiert und dieses wiederum mit einem Root-Zertifikat (Stammzertifikat). Die gesamte Vertrauenskette (Chain of Trust) muss bei der Validierung gültig sein, damit die Quelle als vertrauenswürdig eingestuft wird. Wenigstens das Stammzertifikat muss dem Betriebssystem oder einer Software bekannt sein, damit eine Validierung erfolgreich sein kann.\n\nAlle Zertifikate haben ein Ablaufdatum. Danach kann der Besitzer es nicht mehr für neue Signaturen nutzen. Die zuvor signierten Dateien bleiben jedoch gültig, wenn der enthaltene Zeitstempel innerhalb des Zeitraums der Zertifikatsgültigkeit liegt und das Zertifikat nicht zurückgezogen wurde. Andernfalls müsste man jedes Programm aktualisieren, dessen Zertifikat abgelaufen ist. Welche Zertifikate in einer Datei enthalten sind, kann man über die Eigenschaften prüfen.\n\n## So läuft der Bootvorgang des PCs mit Secure Boot ab\n\nAuch bei Secure Boot kommen digitale Signaturen zum Einsatz. Die nötigen Zertifikate dafür sind im Speicher der Firmware hinterlegt. Beim Start des PCs sucht die Firmware auf der Uefi-Partition nach Bootloadern, die üblicherweise die Dateinamenerweiterung „.efi“ besitzen. Die Dateien werden gestartet, wenn sie digital signiert sind und ein Zertifikat die Signatur als gültig erklärt. Es geht auch ohne Signatur, wenn die Prüfsumme (Hash) einer Datei als vertrauenswürdig hinterlegt ist. Die Firmware verwaltet zwei Datenbanken: Die Signatur-Datenbank (DB) enthält erlaubte Zertifikate und Hashwerte, eine weitere Datenbank (DBX) enthält eine Liste mit verbotenen Zertifikaten sowie Hashwerten. Die Firmware startet nur Programme, die über „DB“ verifiziert wurden und nicht in „DBX“ enthalten sind (siehe Abbildung).\n\nUefi-Dateiprüfung: Das vereinfachte Ablaufdiagramm zeigt die Tests, die jede Efi-Datei beim Start des PCs durchlaufen muss. Schlägt die Prüfung fehl, startet das System nicht.\n\nThorsten Eggeling\n\nDie genannten Datenbanken sind bereits vor der Installation eines Betriebssystems vorhanden und können über ein Firmware-Update aktualisiert werden. Die Daten liegen in einem permanenten und beschreibbaren Speicher auf der Hauptplatine. Es ist möglich, die Inhalte auch per Software zu ändern und Zertifikate, Hashwert sowie Sperrlisteneinträge zu aktualisieren. Das darf natürlich nicht jeder, weil sich sonst Schadsoftware einfach verankern könnte. Deshalb gibt es noch zwei weitere Datenbanken: Der Plattform-Schlüssel (PK) stammt vom Hersteller der Hardware, und die KEK-Schlüssel (Key Exchange Key) legen fest, welche Zertifikate eingetragen werden dürfen. In der Zertifikatskette sind PK und KEK Stammzertifikate, einer der KEKs gehört Microsoft und ist mit dem PK signiert.\n\n## Nutzen und Schwächen von Secure Boot\n\nGrundsätzlich ist Secure Boot eine gute Idee, um die Startdateien eines Betriebssystems zu schützen. Findige Hacker haben trotzdem Wege gefunden, Schadsoftware einzuschleusen. Ein Beispiel dafür ist das Bootkit Black Lotus, das Schwachstellen in den Microsoft-Bootloadern ausnutzt und Dateien auf der Efi-Partition unterbringt, die Secure Boot aushebeln. In der Folge lässt sich ein Treiber installieren, der weitere Schadsoftware herunterlädt. Die Bitlocker-Verschlüsselung und die Antivirensoftware werden deaktiviert, weshalb der Befall unbemerkt bleibt. Die Gefahr, sich Black Lotus einzufangen, ist jedoch eher gering. Angreifer benötigen physischen Zugang zum PC und administrative Rechte, um das Bootkit zu installieren. Trotzdem ist das Problem nicht zu unterschätzen, weil es auch andere Wege geben könnte, Abwandlungen von Black Lotus einzurichten.\n\nDie Gefahren haben die Secure-Boot-Entwickler jedoch bedacht und deshalb mit der Sperrliste (DBX) eine Funktion eingebaut, die fehlerhafte oder böswillig manipulierte Dateien blockiert. Allerdings ist der Speicher für die Uefi-Datenbanken begrenzt. Meist stehen nur 32 KB zur Verfügung, es kann aber auch weniger sein. In der Uefi-Spezifikation ist die Speichergröße nicht vorgeschrieben. Deshalb kann die Situation eintreten, dass die inzwischen sehr umfangreiche Sperrliste nicht mehr hineinpasst.\n\nUefi-Datenbanken in der Firmware: In diesem Beispiel ist DBX (Forbidden Signatures) mit etwas über 23 KB schon gut gefüllt. Verfügbar sind nur 32 KB, bei einigen Geräten auch weniger.\n\nThorsten Eggeling\n\nEine nachhaltige Lösung wäre, dass Microsoft die bisherigen Zertifikate auf die Sperrliste setzt und nur noch die neuen Zertifikate zum Einsatz kommen. Der Schritt liegt nahe, insbesondere weil die Zertifikate ohnehin 2026 ablaufen. Das hätte den Vorteil, dass nur die alten Zertifikate in der DBX-Datenbank stehen müssten, die Hashwerte anfälliger Bootloader könnten entfallen.\n\nDas hätte jedoch zur Folge, dass viele Systeme nicht mehr starten würden. Betroffen wären ältere Installationsmedien und auch zuvor angelegte Rettungsmedien, etwa zur Wiederherstellung von Backups. Auch eine zweite Windows-Installation auf dem PC würde nicht mehr starten, sofern sie über eine eigene Uefi-Partition mit veralteten Startdateien verfügt. Probleme sind auch bei der Wiederherstellung von Windows auf einem anderen PC zu erwarten, etwa nach einem Hardwaredefekt. Wenn der Firmware die neuen Uefi-Zertifikate noch nicht bekannt sind, startet ein aktualisiertes Windows nicht.\n\nLinux-Systeme oder Rettungsmedien auf Linux-Basis würden ebenfalls nicht mehr booten, denn auch deren Bootloader sind in der Regel mit einem Microsoft-Zertifikat signiert. Die Sperrung des alten Zertifikats ist daher erst möglich, wenn die damit signierten Dateien in keinem unterstützten Betriebssystem mehr genutzt werden.\n\n## Folgen eines unbedachten DBX-Updates\n\nWelche Folgen ein Update der Sperrliste haben kann, zeigte sich im Jahr 2020. Eine Sicherheitslücke im Linux-Bootloader Grub konnte zum Einschleusen von Schadsoftware genutzt werden – trotz aktiviertem Secure Boot. Microsoft hat dann kurzerhand den signierten Teil des Bootloaders per Windows-Update auf die schwarze Liste gesetzt, weshalb einige parallel installierte Linux-Systeme nicht mehr starteten. Rettungsmedien von Backup-Software konnten davon ebenfalls betroffen sein, wenn sie auf Linux-Basis arbeiten.\n\nStartverhinderung I: Wenn eine Datei die Prüfung durch die Firmware nicht besteht, erzeugt diese eine Fehlermeldung, etwa mit dem Text „Secure Boot Violation“.\n\nThorsten Eggeling\n\nStartverhinderung II: Auch wenn die Firmware nichts zu beanstanden hat, kann eine Datei nachträglich noch von Windows über die Code Integrity Boot Policy blockiert werden.\n\nThorsten Eggeling\n\nEin derartiges Problem lässt sich vom Nutzer allerdings leicht beheben, indem man Secure Boot im Firmware-Setup deaktiviert und das System aktualisiert. Soweit schon verfügbar, werden dann die Startdateien durch neuere Versionen ersetzt, man kann Secure Boot erneut aktivieren, und das System bootet wieder.\n\nEinige Firmware-Setups bieten eine Rücksetzfunktion für die Secure-Boot-Datenbanken an. Damit werden die Daten des Auslieferungszustands wiederhergestellt und die neuen DBX-Einträge gelöscht. Sie sollten diese Funktion jedoch nur in Ausnahmefällen nutzen, weil Nebenwirkungen zu erwarten sind. Das betrifft vor allem Installationen mit aktiver Bitlocker-Verschlüsselung (siehe Kasten „Bitlocker und TPM“).\n\n## Zusätzliche Sperrlisten umgehen Platzprobleme\n\nMicrosoft hat wohl schon 2015 geahnt, dass man sich auf die DBX-Datenbank aufgrund des begrenzten Speichers nicht verlassen kann. Seit Windows 10 Version 1511 gibt es die Code Integrity Boot Policy. Diese wird über die Datei „SkuSiPolicy.p7b“ realisiert, die auf der Efi-Partition im Ordner „EFI\\Microsoft\\Boot“ liegt. Die gleiche Datei ist noch einmal unter „C:\\Windows\\System32\\SecureBootUpdates“ zu finden, zusammen mit anderen Update-Dateien für die Uefi-Datenbanken.\n\nDie Efi-Startdateien absolvieren zuerst die Prüfung durch die Uefi-Firmware. Schlägt diese fehl, sehen Sie die Meldung „Secure Boot Violation“ (oder ähnlich) der Firmware. Andernfalls startet der Bootloader und führt eine weitere Prüfung mit den Daten aus der Datei „SkuSiPolicy.p7b“ durch. Sollte der Hashwert einer Datei in der Sperrliste enthalten sein, erscheint die Meldung „The digital signature for this file couldn’t be verified“. Diesmal auf hellblauem Hintergrund, da es sich um eine Nachricht von Windows beziehungsweise vom Bootloader handelt.\n\nDieses Verfahren hat den Vorteil, dass andere Systeme auf dem Rechner von einer möglichen Sperrung nicht betroffen sind. Anders als bei der DBX-Sperrliste werden nur Windows-Bootloader berücksichtigt.\n\nFür Open-Source-Systeme gibt es eine ähnliche Lösung mit dem Namen Secure Boot Advanced Targeting (SBAT), die sich nur um Linux-Bootloader kümmert. In der Uefi-Variablen „SbatLevetRT“ sind Werte hinterlegt, die nur Bootloader ab einer festgelegten Generation erlauben. Der Vorteil von SBAT liegt in der Einfachheit. Statt einer umfangreichen Liste mit verbotenen Hashwerten genügen wenige Generationsnummern.\n\nWindows aktualisiert diese Variable bei einem Secure-Boot-Update ebenfalls. Schließlich sind nicht nur Nutzer von Sicherheitslücken im Linux-Bootloader betroffen, die das System neben Windows installiert haben. Einige Wiederherstellungssysteme basieren auf Linux, und Angreifer könnten anfällige Linux-Startprogramme unbemerkt auf der Efi-Partition unterbringen.\n\n## Secure-Boot-Status des Systems untersuchen\n\nWindows 10 und 11 sind standardmäßig mit aktiviertem Secure Boot installiert. Bei Windows 11 ist das sogar eine Systemvoraussetzung – allerdings nur bei der Installation. Danach kann man Secure Boot bei den meisten Rechnern in der Firmware deaktivieren, wenn man auf den Schutz verzichten möchte. Zertifikate und Signaturen spielen dann keine Rolle mehr.\n\nSecure Boot prüfen: Das Tool Msinfo32 gibt Auskunft zur Hardwarekonfiguration. Wenn hinter „Sicherer Startzustand“ der Wert „Ein“ steht, ist Secure Boot aktiviert.\n\nThorsten Eggeling\n\nOb Secure Boot aktiviert ist, erfahren Sie am schnellsten in den Systeminformationen. Drücken Sie die Tastenkombination Win-R, tippen Sie _msinfo32_ ein und klicken Sie auf „OK“. Hinter „BIOS-Modus“ steht „UEFI“, und hinter „Sicherer Startzustand“ finden Sie den Eintrag „Ein“. Ohne Uefi ist auch Secure Boot nicht verfügbar. Das Tool **Why Not Win** prüft ebenfalls den Secure-Boot-Status und auch andere Systemvoraussetzungen für Windows 11.\n\nUm Secure Boot ein- oder auszuschalten, rufen Sie kurz nach dem Einschalten des PCs das Firmware-Setup meist über Tasten wie Esc, „Entf“ („Del“) oder eine der F-Tasten auf. Das gelingt oft nicht, weil Windows zu schnell startet. In diesem Fall klicken Sie im Windows-Anmeldebildschirm rechts unten auf die „Ein/Aus“-Schaltfläche oder nach der Anmeldung auf die Schaltfläche „Ein/Aus“ im Startmenü. Halten Sie die Shift-Taste gedrückt und klicken Sie im Menü der Schaltfläche auf „Neu starten“. Gehen Sie auf „Problembehandlung > Erweiterte Optionen > UEFI-Firmwareeinstellungen“ und klicken Sie auf „Neu starten“.\n\nSecure-Boot-Einstellungen: Im Firmware-/Bios-Setup legen Sie den Secure-Boot-Status fest. Deaktivieren Sie Secure Boot nicht ohne Bitlocker-Wiederherstellungsschlüssel.\n\nThorsten Eggeling\n\nDie Einstellungen für Secure Boot finden Sie meist unter einem Menü wie „Bios Features“, „Security“, „Boot“ oder ähnlich. Setzen Sie die Option auf „Enabled“ (Aktiviert) oder „Disabled“. Bei einigen Mainboards ist der Eintrag auch unterhalb von „Advanced > Windows OS Configuration“ zu finden. Voraussetzung ist in der Regel, dass nur Uefi als Bootmodus aktiviert ist. Der CSM/Legacy-Modus (Compatibility Support Module) darf nicht eingeschaltet sein, sonst steht Secure Boot nicht zur Verfügung.\n\nWelche zusätzlichen Optionen es für Secure Boot gibt, hängt vom jeweiligen Gerät ab. Vielfach kann man die Secure-Boot-Datenbanken bearbeiten oder auf den Werkszustand zurücksetzen. Diese Einstellungen sind allerdings nur für Experten und Entwickler gedacht. Unbedachte Änderungen können den Windows-Start verhindern.\n\n## Ein Firmware-/Bios-Update durchführen\n\nMicrosoft empfiehlt, bei allen PCs und Notebooks die Firmware auf den neuesten Stand zu bringen. Das erhöht die Wahrscheinlichkeit, dass sich die Aktualisierung der Uefi-Datenbanken problemlos durchführen lässt. Außerdem gelangen die neuen Zertifikate teilweise auch über das Update vom Hersteller der Hauptplatine auf den Rechner. Für ältere Geräte steht jedoch meist kein Update mehr bereit. Informieren Sie sich im Support- oder Download-Bereich, was verfügbar ist.\n\nDas Tool **Hwinfo** hilft beim Herausfinden der genauen Modellbezeichnung. Gehen Sie im Hauptfenster im Baum auf der linken Seite auf „Hauptplatine“. Hinter „Hauptplatinen-Modell“ steht die Bezeichnung. Nach einem Klick auf den Link wählen Sie „Produktinformation“ und/oder „Treiber-Download“. Im Browser öffnet sich die Website des Herstellers, auf der Sie nach der Modellbezeichnung suchen. Wird ein Bios-Update angeboten, vergleichen Sie dessen Versionsnummer mit dem, was Hwinfo unter „Bios“ anzeigt.\n\nFirmware aktualisieren: Ein Update erfolgt meist über das Bios-Setup. Die Update-Datei wird von einem USB-Stick geladen, geprüft und angewendet.\n\nThorsten Eggeling\n\nWie das Update durchzuführen ist, hängt vom Hersteller ab. Lesen Sie dazu im Handbuch nach. Teilweise gibt es Windows-Tools für eine bequeme Aktualisierung. Meist müssen Sie die Update-Datei herunterladen und auf einen USB-Stick packen, der mit dem Dateisystem FAT32 formatiert ist. Im Firmware-Setup suchen Sie nach der Update-Funktion, die etwa bei Asus „EZ Flash“ heißt oder bei Gigabyte „Q-Flash“. Wählen Sie die Update-Datei auf dem USB-Stick, starten Sie den Vorgang und befolgen Sie die Anweisungen des Assistenten. Nach einem Neustart ist das Update abgeschlossen.\n\n## Die auf dem PC installierten Zertifikate prüfen\n\nOb Ihr PC bereits mit den aktuellen Microsoft-Zertifikaten versorgt ist, ermitteln Sie mit den Batchdateien aus dem Paket **Check-UEFI SecureBootVariables**. Starten Sie „Check UEFI PK, KEK, DB and DBX.cmd“ nach einem rechten Mausklick und Auswahl von „Als Administrator ausführen“. Das ist für alle Batchdateien aus dem Paket erforderlich. Das Script zeigt die Inhalte aller Uefi-Datenbanken an, unter „Current UEFI DB“ stehen die relevanten Zertifikate. Bei einem aktualisierten System sollten mindestens „Windows UEFI CA 2023“ und „Microsoft UEFI CA 2023“ auftauchen. Andernfalls sind nur die Zertifikate mit dem Zusatz „2011“ zu sehen. „revoked: False“ bedeutet, dass ein Zertifikat bisher nicht zurückgezogen wurde.\n\nPC ohne Secure-Boot-Updates: In diesem Beispiel sind nur die Microsoft-Zertifikate mit dem Zusatz „2011“ zu sehen. Die aktuellen Zertifikate fehlen noch.\n\nThorsten Eggeling\n\nWenn die neuen Zertifikate noch nicht enthalten sind, haben Sie zwei Möglichkeiten. Sie warten einfach ein paar Monate – Zeit ist bis Juni 2026 –, bis Microsoft die Datenbanken automatisch aktualisiert. Eine Voraussetzung dafür ist, dass Windows Diagnosedaten an Microsoft sendet. In der Einstellungen-App muss dafür unter „Datenschutz und Sicherheit > Diagnose und Feedback“ mindestens „Erforderliche Diagnosedaten senden“ aktiviert sein. Wenn nicht, haben Sie die Diagnosedaten wahrscheinlich über ein Datenschutztool deaktiviert und Sie müssen diese Maßnahme rückgängig machen.\n\nSie können die Aktualisierung auch selbst anstoßen, indem Sie „Apply 2023 KEK, DB and bootmgfw update.cmd“ als Administrator starten. Die Batchdatei setzt einen Registry-Wert, der Windows für das Update vorbereitet. Ein Eintrag in der Aufgabenplanung führt die Aktualisierung durch. Starten Sie Windows mindestens zweimal neu, damit die Einstellungen wirksam werden.\n\nMit „Check Windows state.cmd“ können Sie die Signatur der Startdateien prüfen. Bei unseren Tests im Dezember 2025 war die Datei „bootmgfw“ bereits mit Windows UEFI CA 2023 signiert, die anderen Dateien noch nicht.\n\n**Tipp:** Es ist immer sinnvoll, regelmäßig Backups des Betriebssystems zu erstellen. Online finden Sie dafür **Hasleo Backup Suite Free**. Für eventuelle Windows-Probleme sollte man außerdem einen USB-Stick für die Reparatur oder Neuinstallation des Systems bereithalten. Den erstellen Sie mit **Rufus** oder **Ventoy**. Auf dem Ventoy-Stick können Sie auch **Hiren’s Boot CD** unterbringen. Das ist ein Rettungssystem auf Windows-Basis, das bei vielen Fehlern helfen kann. Mit **Bootice** können Sie die Windows- und Uefi-Booteinträge bearbeiten und deren Reihenfolge ändern.\n\n## Bitlocker-Schlüssel und TPM\n\nBitlocker und der TPM-Sicherheitschip haben mit Secure Boot eigentlich nichts zu tun. Allerdings bemerkt Bitlocker Änderungen im Secure-Boot-Setup durch die über TPM gespeicherten Prüfsummen. Aus Sicherheitsgründen fordert Bitlocker dann den Wiederherstellungsschlüssel an, um die Integrität des Systems zu gewährleisten. Den Schlüssel benötigen Sie ebenfalls, wenn Sie Secure Boot deaktivieren.\n\nBesitzer einer Pro-Edition öffnen die Einstellungen-App, suchen nach Bitlocker und klicken auf „Bitlocker verwalten“. Wenn Bitlocker aktiviert ist, klicken Sie auf den Link „Wiederherstellungsschlüssel sichern“ und folgen den Anweisungen des Assistenten.\n\nBei der Home-Edition kann die Festplatte verschlüsselt sein, auch wenn Sie die Funktion selbst nicht aktiviert haben. Gehen Sie in der Einstellungen-App auf „Datenschutz und Sicherheit > Geräteverschlüsselung“. Wenn die Option „Geräteverschlüsselung“ aktiviert ist, öffnen Sie im Browser die Adresse _https://aka.ms/myrecoverykey _ und melden sich mit Ihrem Microsoft-Konto an. Notieren Sie die Schlüssel-ID und den Wiederherstellungsschlüssel.\n\nAchtung, Verschlüsselung! Die Geräteverschlüsselung der Home-Edition kann auch ohne Ihr Zutun aktiviert sein. Der Wiederherstellungsschlüssel ist im Microsoft-Konto gespeichert.\n\nThorsten Eggeling",
  "title": "Ihr Windows-PC bekommt ab Juni ernste Probleme – das können Sie tun"
}