SecureBoot ist eine Sicherheitsfunktion, die jeder Windows-Computer ab 2012 enthält. Im Jahr 2026 laufen die SecureBoot-Sicherheitszertifikate ab und werden von Microsoft (hoffentlich) automatisch erneuert. Dabei kann einiges schief gehen und im schlimmsten Fall kommt man nicht mehr an seine Daten.
Hier ist eine dringende Handlungsempfehlung:
1. dass eine Datensicherung durchgeführt wird
2. warum und wie der Wiederherstellungsschlüssel gesichert wird
3. wie die automatische Zertifikats-Erneuerung ermöglicht wird.
Datensicherung
Wenn solche Systemeingriffe bevorstehen wird auf jeden Fall eine Sicherung der Benutzerdaten empfohlen, am besten auf ein externes Medium bspw. eine USB-Festplatte.
Wiederherstellungsschlüssel
Falls Bitlocker bei Windows Pro oder Geräteverschlüsselung bei Windows Home aktiviert ist (bei vielen Computern voreingestellt) sind die Daten auf der Festplatte verschlüsselt. Davon merkt man im Betrieb nichts, weil Entschlüsselung beim Start und Verschlüsselung beim Beenden im Hintergrund erfolgen.
Sobald die Sicherheitszertifikate erneuert sind, kann es sein, dass Windows beim Starten den Wiederherstellungsschlüssel verlangt. Wenn dieser Wiederherstellungsschlüssel für das Gerät nicht verfügbar ist, bleiben die Dateien verschlüsselt und können nicht mehr geöffnet werden.
Wenn Sie Ihr Benutzer-Konto als Lokal-Administrator betreiben, gibt es kein Microsoft-Konto und Sie müssen Ihren Wiederherstellungsschlüssel abrufen und speichern/dokumentieren.
Wenn Sie ihr Gerät mit einem Microsoft-Konto betreiben, ist der Wiederherstellungsschlüssel bei Microsoft unter Ihrem Konto gespeichert. Allerdings brauchen Sie zum Zugang dann ein anderes Gerät und Ihre Microsoft-Anmeldedaten. Auch hier ist es also ratsam Ihren Wiederherstellungsschlüssel abzurufen und zu speichern/dokumentieren.
Wiederherstellungsschlüssel sichern
Der Wiederherstellungsschlüssel ist eine 48-stellige Zahlenfolge.
Windows Pro nennt die Verschlüsselung Bitlocker.
Den Wiederherstellungsschlüssel findet man so:
Im Suchfeld Bitlocker eingeben > Klick auf Bitlocker verwalten > Wiederherstellungsschlüssel sichern.
Von den verschiedenen Optionen wird (vom Autor dieses Beitrags) Drucken empfohlen, am besten 2 x und an unterschiedlichen Stellen aufbewahren.
Windows Home nennt die Verschlüsselung Geräteverschlüsselung.
Den Wiederherstellungsschlüssel findet man so:
cmd als Administrator starten > eingeben
Manage-bde -protectors -get %systemdrive%
Von den verschiedenen Optionen wird (vom Autor dieses Beitrags) Drucken empfohlen, am besten 2 x und an unterschiedlichen Stellen aufbewahren.
Zertifikats-Erneuerung
Prüfung und Folgerung: Ist SecureBoot aktiv?
Tasten [Windows]+[R] gleichzeitig drücken > msinfo32 eingeben > in der Tabelle die Zeile „Sicherer Start“ suchen.
Wenn dort „Aus“ steht, hat das Gerät kein SecureBoot oder SecureBoot ist nicht aktiviert. Von der Zertifikats-Erneuerung ist das Gerät nicht betroffen, aber es verwendet diese Sicherheitsoption nicht. Wenn dort „Ein“ steht, ist SecureBoot aktiv.
Voraussetzung, damit die SecureBoot-Zertifikate erneuert werden können.
Für den Austausch ist die Übermittlung der Diagnosedaten an Microsoft erforderlich.
Prüfung und Folgerung: Übermittlung der Diagnosedaten
Start (Windows-Symbol) > Einstellungen > Datenschutz und Sicherheit > Diagnose und Feedback
Wenn dort „Ein“ steht, werden die Zertifikate automatisch erneuert. Wenn dort „Aus“ steht, ist eine ANPASSUNG erforderlich, die per Fernwartung oder am Kundenort vorgenommen werden muss.