So aktivieren Sie Secure Boot in Windows 11

Für IT-Experten, die Secure Boot auf Windows 11-Systemen verwalten oder bereitstellen, ist die Aktivierung dieser Funktion ein Grundpfeiler einer robusten Sicherheitsstrategie. Secure Boot ist eine wichtige UEFI-Firmware-Funktion, die sicherstellt, dass Ihr PC nur mit Software startet, die vom Originalhersteller (OEM) oder vom Benutzer als vertrauenswürdig eingestuft wurde. Dieser Mechanismus bietet einen wichtigen Schutz vor Malware, die versuchen könnte, den Startvorgang zu kompromittieren, wie z. B. Rootkits oder Bootkits. 

Als zwingende Voraussetzung für Windows 11 ist es wichtig zu verstehen, wie Secure Boot überprüft und aktiviert wird. In dieser Anleitung erfahren Sie, wie Sie den Status überprüfen, Secure Boot über die Firmware-Einstellungen (BIOS/UEFI) des Systems aktivieren und häufige Probleme beheben können.

Die Aktivierung von Secure Boot unter Windows 11 ist ein wichtiger Schritt für Benutzer, die das aktuelle Betriebssystem von Microsoft in einer geschützten Umgebung ausführen möchten. Secure Boot ist ein Sicherheitsstandard, der von Unternehmen der IT-Branche entwickelt wurde, um sicherzustellen, dass Ihr Gerät nur mit Software startet, die vom PC-Hersteller als vertrauenswürdig eingestuft wurde. Es ist Teil der strengen Hardware- und Softwareanforderungen, die mit Windows 11 eingeführt wurden, neben der Notwendigkeit einer kompatiblen CPU, TPM 2.0 und ausreichend RAM und Speicherplatz.

Obwohl die meisten modernen PCs standardmäßig mit aktiviertem Secure Boot ausgeliefert werden, kann es bei einigen Konfigurationen, insbesondere bei individuell zusammengestellten Rechnern oder älteren Systemen, die für Windows 11 aufgerüstet wurden, vorkommen, dass es als inaktiv angezeigt wird. Dies hängt oft mit bestimmten BIOS- oder UEFI-Firmware-Einstellungen zusammen, z. B. wenn das Compatibility Support Module (CSM) aktiv ist. Die Aktivierung von Secure Boot erhöht zwar die Gesamtsicherheit eines Computers erheblich, aber es gibt Nischenszenarien – z. B. die Arbeit mit bestimmten älteren Linux-Distributionen oder spezieller Legacy-Hardware –, in denen eine vorübergehende Deaktivierung in Betracht gezogen werden kann, wenn auch mit erhöhten Sicherheitsrisiken.

Secure Boot für Windows 11 aktivieren

Secure Boot überprüft die digitalen Signaturen aller Boot-Software, einschließlich Firmware-Treibern (Option ROMs), UEFI-Anwendungen und dem Betriebssystem. Bevor Sie sich mit den Firmware-Einstellungen befassen, sollten Sie überprüfen, ob Secure Boot bereits aktiv ist, da der Zugriff auf und die Navigation im BIOS/UEFI je nach Hersteller unterschiedlich sein kann.

So überprüfen Sie, ob Secure Boot bereits aktiviert ist

• Klicken Sie auf Windows-Startsymbol.
• Geben Sie "Systeminformationen" in die Suchleiste ein und drücken die Eingabetaste.
• Scrollen Sie im Abschnitt "Systemübersicht" (in der Regel standardmäßig ausgewählt) durch die Liste, um "Sicherer Startzustand" zu finden.
• Wenn der Wert "Ein" lautet, ist Secure Boot bereits aktiviert. Wenn "Aus" oder "Nicht unterstützt" angezeigt wird, müssen Sie weitere Untersuchungen durchführen und es möglicherweise manuell über die Firmware-Einstellungen aktivieren.

So aktivieren Sie Secure Boot in Windows 11

Wenn Secure Boot nicht aktiviert ist, können Sie es in der Regel über die UEFI-Firmware-Einstellungen des Systems (oft als BIOS-Einstellungen bezeichnet) aktivieren:

1. Zugriff auf die UEFI/BIOS-Einstellungen:

• Die zuverlässigste Methode ist oft die Windows-Wiederherstellungsumgebung: Gehen Sie zu "Einstellungen -> System -> Wiederherstellung". Klicken Sie unter "Erweiterter Start" auf "Jetzt neu starten". Sobald der PC neu gestartet ist und der blaue Wiederherstellungsbildschirm angezeigt wird, wählen Sie "Problembehandlung  -> Erweiterte Optionen -> UEFI-Firmware-Einstellungen" und klicken dann auf "Neustart".
• Alternativ können Sie Ihren PC neu starten und auf den Begrüßungsbildschirm des Herstellers warten. Sobald dieser erscheint, drücken Sie wiederholt die entsprechende Taste, um das BIOS/UEFI-Setup aufzurufen. Häufig verwendete Tasten sind "Entf", "F2", "F10", "F12" oder "Esc". Diese Taste kann je nach Hersteller variieren (z. B. verwenden Dell, HP, Lenovo und ASUS häufig "F2" oder "Entf"). Wenn Sie sich nicht sicher sind, schlagen Sie im Handbuch Ihres PCs oder Motherboards nach.

2. Navigieren Sie zum Firmware-Menü: Suchen Sie im UEFI/BIOS nach der Registerkarte "Boot", "Security" oder "Authentication". Die genaue Bezeichnung und Position variieren je nach Hersteller des Motherboards.

3. Suchen Sie die Option "Secure Boot": Suchen Sie im entsprechenden Abschnitt die Einstellung "Secure Boot". Diese kann sich in einem Untermenü oder als direkte Umschaltfunktion befinden.

4. Aktivieren Sie "Secure Boot": Setzen Sie die Option "Secure Boot" auf "Enabled" (Aktiviert).

5. Stellen Sie den UEFI-Modus sicher: "Secure Boot" erfordert, dass sich das System im UEFI-Modus befindet, nicht im Legacy-BIOS- oder CSM-Modus (Compatibility Support Module). Wenn Sie eine Option für "CSM", "Legacy Boot" oder ähnliches sehen, muss diese deaktiviert sein, damit "Secure Boot" verfügbar ist oder korrekt funktioniert.

Hinweis: Durch den Wechsel vom Legacy-/CSM-Modus zum UEFI-Modus können vorhandene Betriebssysteminstallationen möglicherweise nicht mehr gestartet werden, wenn das Betriebssystem im Legacy-Modus installiert wurde. In diesem Fall ist häufig eine Neuinstallation des Betriebssystems oder eine Konvertierung der Startfestplatte vom MBR- zum GPT-Partitionsstil erforderlich.

Den passenden Artikel finden Sie hier: So konvertieren Sie MBR in GPT ohne Datenverlust unter Windows 10

6. Speichern und beenden: Speichern Sie die Änderungen (in der Regel über eine Taste wie F10 oder eine Option im Menü "Beenden") und starten Sie Ihren PC neu.

Sobald diese Option aktiviert ist, überprüft Ihr System mithilfe von Secure Boot die Integrität des Startvorgangs und verhindert so, dass beim Start nicht autorisierte Software ausgeführt wird.

Was ist Secure Boot und warum ist es so wichtig?

Secure Boot fungiert als wichtige Systemschutzmaßnahme, indem es die digitalen Signaturen von Firmware, Bootloadern und dem Betriebssystemkern sorgfältig überprüft, bevor diese ausgeführt werden dürfen. Wenn Ihr PC startet, stellt Secure Boot sicher, dass die UEFI-Firmware selbst signiert und vertrauenswürdig ist, und überprüft dann jede weitere wichtige Software in der Boot-Kette.

Dieser Prozess ist äußerst wirksam gegen hochentwickelte Malware wie Rootkits und Bootkits. Diese Arten von Schadsoftware versuchen, vor dem Betriebssystem geladen zu werden, und nisten sich tief im System ein, um privilegierten Zugriff zu erhalten und der Erkennung durch herkömmliche Sicherheitssoftware zu entgehen. Indem sichergestellt wird, dass während der Boot-Sequenz nur kryptografisch verifizierte und vertrauenswürdige Software ausgeführt werden kann, schützt Secure Boot die grundlegende Integrität des Betriebssystems.

Secure Boot wurde mit Windows 8 eingeführt und ist nun eine unverzichtbare Systemanforderung für Windows 11. Microsoft schreibt vor, dass alle zertifizierten x86-basierten Windows 11-Geräte standardmäßig mit aktiviertem Secure Boot ausgeliefert werden müssen, den Zertifikaten von Microsoft vertrauen und, was wichtig ist, den Benutzern die Verwaltung der Secure Boot-Einstellungen ermöglichen müssen, einschließlich der Möglichkeit, Nicht-Microsoft-Zertifikaten zu vertrauen oder die Funktion bei absoluter Notwendigkeit zu deaktivieren (obwohl dies für den allgemeinen Gebrauch dringend abgeraten wird).

Warum sollten Sie Secure Boot deaktivieren?

Obwohl Secure Boot die Systemsicherheit erheblich verbessert, gibt es bestimmte, begrenzte Szenarien, in denen eine Deaktivierung in Betracht gezogen werden könnte:

Es ist wichtig zu wissen, dass das Deaktivieren von Secure Boot den Schutz Ihres Systems vor Pre-Boot-Malware und nicht autorisierter Software verringert. Es sollte nur durchgeführt werden, wenn es für eine bestimmte Aufgabe unbedingt erforderlich ist, und idealerweise danach wieder aktiviert werden.