Microsoft verbannt unsichere Treiber aus dem Windows-Kern. Ab April müssen alle Gerätetreiber ein strenges Zertifizierungsprogramm durchlaufen. Das beendet eine jahrzehntealte Praxis, die Hackern Tür und Tor öffnete.

Anzeige

Der Umstieg auf ein modernes und sicheres Betriebssystem wie Windows 11 ist der beste Schutz gegen veraltete Sicherheitslücken im Systemkern. Dieser kostenlose Ratgeber zeigt Ihnen Schritt für Schritt, wie Sie den Wechsel ohne Datenverlust und Stress meistern. Stressfrei zu Windows 11 – mit all Ihren Programmen und Dateien

Das Ende einer Ära: Kein Vertrauen mehr in alte Treiber

Der Software-Riese schließt ein Sicherheitsloch, das Angreifer seit über 20 Jahren nutzen. Ab dem kumulativen Update im April 2026 akzeptiert Windows nur noch Treiber mit WHCP-Zertifizierung. Das "Cross-Signed Root"-Programm aus den frühen 2000ern verliert damit endgültig seine Gültigkeit.

Bisher konnten Drittanbieter Treiber signieren, ohne dass Microsoft sie prüfte. Diese Lücke nutzten Kriminelle für sogenannte BYOVD-Angriffe. Dabei missbrauchen sie legitime, aber unsichere Treiber, um Sicherheitssoftware auszuschalten. "Das schließt eine 20 Jahre alte Sicherheitslücke", bestätigt David Shipley von Beauceron Security.

Evaluation Mode: Sanfter Übergang statt Systemabsturz

Doch was passiert mit alter Hardware, deren Hersteller nicht mehr existieren? Microsoft setzt auf einen sanften Übergang. Statt sofortiger Blockade führt das Unternehmen einen Evaluation Mode ein.

Das System überwacht mindestens 100 Betriebsstunden und drei Neustarts. Wird ein nicht-konformer Treiber geladen, bleibt Windows im Überwachungsmodus. Administratoren erhalten Warnungen über die Windows-Sicherheits-App. Bewährte alte Treiber landen auf einer Allow-List, die Microsoft fortlaufend aktualisiert.

Enterprise-Lösungen: Flexibilität für Unternehmen

Für Unternehmen mit spezieller Hardware bietet Microsoft Ausnahmen. Über Application Control for Business können IT-Administratoren eigene Richtlinien erstellen. Voraussetzung: Die Policies müssen mit Secure Boot-Keys signiert sein.

"Für verwaltete Umgebungen bleibt Flexibilität erhalten", erklärt ein Microsoft-Sprecher. Doch der Standard ist klar: Höchste Sicherheit geht vor rückwärtsgewandter Kompatibilität. Diese Haltung unterstreicht auch das März-Update, das 84 Schwachstellen schloss – viele mit Kernel-Bezug.

Anzeige

Während Microsoft die Systemarchitektur härtet, sollten Nutzer den Wechsel auf die neueste Windows-Generation nicht länger aufschieben. Erfahren Sie im Gratis-Report, welche drei Neuheiten von Windows 11 Ihren PC-Alltag nicht nur sicherer, sondern auch effizienter machen. Diese 3 Windows-11-Neuheiten überraschen selbst langjährige Nutzer

Historische Zäsur für Windows-Sicherheit

Die Abschaffung des Cross-Signed-Programms markiert eine Zeitenwende. In der Ära vor Cloud und allgegenwärtigen Cyberangriffen war dezentrale Signierung praktisch. Heute wird sie zum Risiko.

Microsoft hatte das Programm bereits 2021 offiziell eingestellt. Doch aus Kompatibilitätsgründen akzeptierte der Kernel die Signaturen weiter. Nun ist Schluss. Diese Entscheidung folgt auf frühere Härtungsmaßnahmen wie die Vulnerable Driver Blocklist (2022) und verpflichtende HVCI-Aktivierung.

Ausblick: Rust und ein widerstandsfähigerer Kernel

Die Treiber-Reform ist Teil einer größeren Sicherheitsoffensive. Microsoft integriert zunehmend die Programmiersprache Rust in den Windows-Kernel. Sie verhindert Speichersicherheitslücken bereits im Code.

Gleichzeitig steht im Juni 2026 der nächste große Schritt an: Secure Boot-Zertifikate laufen aus. Die erste Jahreshälfte 2026 wird damit zur Nagelprobe für Windows-Sicherheit. Die Botschaft ist klar: Ungeprüfter Code hat im Kern des Betriebssystems keine Zukunft mehr.