Microsoft verbannt unsichere Treiber aus dem Windows-Kern. Ab dem April-Update 2026 müssen alle Kernel-Treiber ein strenges Zertifizierungsprogramm durchlaufen. Das soll jahrelang ausgenutzte Einfallstore für Schadsoftware schließen.

Die Maßnahme betrifft Windows 11 ab Version 24H2 und Windows Server 2025. Sie markiert einen fundamentalen Kurswechsel: Microsoft setzt dem laxen Vertrauen in Treiber von Drittanbietern ein Ende. Künftig gilt nur noch, was das hauseigene Windows Hardware Compatibility Program (WHCP) absegnet.

Anzeige

Microsoft verschärft die Sicherheitsregeln für das neue Betriebssystem massiv, um Nutzer besser vor Schadsoftware zu schützen. Wie Sie den Umstieg auf das sicherere Windows 11 ohne Stress und Datenverlust meistern, erfahren Sie in diesem kostenlosen PDF-Report. Windows 11 Starterpaket jetzt gratis anfordern

Das Ende einer veralteten Schwachstelle

Das Problem wurzelt im alten Cross-Signed Root-Programm aus den frühen 2000ern. Es erlaubte externen Zertifizierungsstellen, Treiber für den sensiblen Kernel zu signieren – oft mit minimalen Sicherheitschecks. Microsoft stellte das Programm 2021 ein, ließ die bereits signierten Treiber aber weiterlaufen.

Ein fataler Fehler, wie sich zeigte. Die schwachen Kontrollen führten zu Missbrauch und Diebstahl von Signatur-Zertifikaten. Angreifer nutzten sie, um Schadcode tief im System zu verankern. Analysen von Milliarden Treiber-Ladevorgängen der letzten zwei Jahre bestätigten das anhaltende Risiko. Jetzt zieht Microsoft die Notbremse.

WHCP wird zur Pflicht

Ab April gilt: Nur noch WHCP-zertifizierte Treiber, die über das Hardware Dev Center von Microsoft signiert wurden, laden standardmäßig. Dieses Programm unterzieht Treiber strengen Tests auf Sicherheit, Qualität und Kompatibilität – inklusive Malware-Scans.

Für Microsoft ist dies ein "grundlegender Reset" der Vertrauensannahme für Code auf der höchsten Privilegienstufe (Ring 0). Das Ziel: Angreifern soll es erheblich schwerer gemacht werden, über manipulierte Treiber die Kontrolle über das System zu erlangen.

Übergangsphase mit Evaluierungsmodus

Microsoft rollt die Neuerung behutsam aus, um Kompatibilitätsprobleme zu vermeiden. Mit dem April-Update startet ein Evaluierungsmodus. Über mindestens 100 Betriebsstunden und drei Neustarts prüft Windows, ob alle Treiber den neuen Regeln entsprechen.

Wird ein inkompatibler Treiber gefunden, bleibt das System im Diagnosemodus. Die strenge Policy wird nicht aktiviert. Zudem plant Microsoft eine Allow-List für einige weit verbreitete und vertrauenswürdige Alt-Treiber, um kritische Systeme am Laufen zu halten.

Anzeige

Die neuen Sicherheitsfunktionen in Windows 11 werfen bei vielen Anwendern Fragen zum richtigen Zeitpunkt für den Wechsel auf. Dieser Gratis-Leitfaden bietet Ihnen einen kompakten Überblick über die wichtigsten Neuerungen und praktische Tipps für einen reibungslosen Start. Kostenlosen Überblick zu Windows 11 sichern

Flexibilität für Unternehmen

Unternehmen mit speziellen Anforderungen erhalten Spielraum. Administratoren können über die Application Control for Business-Richtlinie weiterhin eigene Kernel-Treiber zulassen – etwa für interne Entwicklungen. Voraussetzung ist eine Signatur durch eine Autorität innerhalb der Secure Boot-Schlüssel des Geräts.

Dies gewährleistet, dass Ausnahmen streng kontrolliert und an die firmeneigene Sicherheitsinfrastruktur gebunden sind. Es geht um gemanagtes Vertrauen, nicht um pauschales Akzeptieren veralteter Signaturwege.

Die Umstellung auf ein reines WHCP-Ökosystem festigt die Sicherheitsarchitektur von Windows nachhaltig. Sie dürfte die Angriffsfläche für komplexe Malware deutlich verkleinerern. Nutzer und IT-Abteilungen sollten ihre Systeme aktualisieren und Treiberbestände überprüfen, um reibungslos in die sicherere Ära zu starten.