Microsoft hat gerade einen der mutigsten – und für manche schmerzhaftesten – Sicherheitsschritte in der Geschichte von Windows angekündigt. Ab April 2026 gelten im Herzen des Betriebssystems neue Regeln. Wer die ignoriert, könnte böse Überraschungen erleben.
Was der Kernel eigentlich ist – und warum er so wichtig ist
Stell dir Windows wie ein mehrstöckiges Gebäude vor. Oben sitzt du mit deinem Browser und deiner Textverarbeitung. Tief unten, im Keller, arbeitet der Kernel – das Herzstück des Betriebssystems.
Der Kernel hat auf deinem PC praktisch unbegrenzte Rechte. Er spricht direkt mit der Hardware, kontrolliert den Arbeitsspeicher und entscheidet, welche Programme auf welche Ressourcen zugreifen dürfen. Technisch gesehen nutzt Microsoft hierfür die VBS (Virtualization-Based Security). Dabei wird ein isolierter Bereich im Arbeitsspeicher geschaffen, der vom restlichen System getrennt ist.
Treiber – also die kleinen Programme, die dafür sorgen, dass dein Drucker, deine Grafikkarte oder dein Gamepad funktionieren – laufen ebenfalls in diesem privilegierten Bereich. Und genau das macht sie so gefährlich, wenn sie manipuliert oder fehlerhaft sind. Ein kompromittierter Treiber im Kernel ist wie ein Einbrecher, dem du den Generalschlüssel zum Haus gegeben hast.
Das Cross-Signing-Problem: Ein Sicherheitsloch aus den frühen 2000ern
Ich muss kurz in die Vergangenheit. Als Microsoft in den frühen 2000ern ein System brauchte, damit externe Entwickler ihre Treiber zertifizieren lassen konnten, erfanden sie das sogenannte Cross-Signing-Verfahren.
Microsoft führte das Cross-Signing-Programm in den frühen 2000ern ein, um Code-Integrität für Drittanbieter-Treiber zu ermöglichen – allerdings verwalteten Dritte das Programm, was bedeutete, dass die Entwickler selbst für die Sicherheit der privaten Schlüssel verantwortlich waren.
Das klingt harmloser, als es ist. Private Schlüssel können gestohlen werden. Und einmal gestohlen, lassen sie sich nutzen, um bösartige Treiber so aussehen zu lassen, als kämen sie von einem vertrauenswürdigen Hersteller.
Sicherheitsforscher haben mehrere Fälle dokumentiert, in denen Angreifer dieses Verfahren ausgenutzt haben, um bösartige Kernel-Treiber zu laden, die für Windows legitim wirkten.
„Im Jahr 2026 ist ein Windows-Kernel ohne moderne Treiber-Vertrauensregeln eigentlich nur ein offenes Scheunentor für jeden, der einen gestohlenen Zertifikat-Schlüssel in der Hand hält.“
Microsoft hat das Cross-Signing-Programm zwar offiziell bereits 2021 abgekündigt – aber alte, damit signierte Treiber liefen auf vielen Systemen weiterhin problemlos. Dieses Legacy-Vertrauensmodell aus den frühen 2000ern wurde zwar offiziell 2021 eingestellt, doch Treiber mit abgelaufenen Zertifikaten funktionierten weiterhin und erzeugten potenzielle Sicherheitsrisiken.
Jetzt ist Schluss damit.
Was Microsoft ab April 2026 konkret ändert
Ab April 2026 verschärft Microsoft die HVCI (Hypervisor-Enforced Code Integrity). Das ist quasi der digitale Türsteher im Kernel. HVCI prüft mithilfe der Hardware-Virtualisierung blitzschnell, ob ein Treiber die strengen WHCP-Kriterien erfüllt, bevor er überhaupt geladen werden darf.
Das WHCP ist Microsofts offizielles Hardware-Zertifizierungsprogramm. Wer dort einen Treiber einreicht, lässt ihn von Microsoft direkt prüfen und signieren. Kein Drittanbieter, keine losen Enden.
Hier eine Übersicht der wichtigsten Änderungen auf einen Blick:
| Änderung | Was es bedeutet | Ab wann |
|---|---|---|
| Cross-Signing blockiert | Alte Zertifikate aus Drittquellen werden nicht mehr akzeptiert | April 2026 |
| WHCP Pflicht | Neue Treiber müssen direkt über Microsoft zertifiziert werden | April 2026 |
| Evaluation Mode | Windows prüft 100 Stunden + mind. 3 Neustarts, bevor es aktiv blockiert | Mit April-Update |
| Allow List | Bekannte, vertrauenswürdige Legacy-Treiber bleiben zunächst erlaubt | Laufend |
| Vulnerable Driver Blocklist | Bekannte unsichere Treiber werden aktiv gesperrt | Sofort / laufend |
Betroffen sind: Windows 11 24H2, 25H2, 26H1 sowie Windows Server 2025 – und alle künftigen Versionen.
Zusammenfassend: Microsoft blockiert ab April 2026 alle Kernel-Treiber, die über das veraltete Cross-Signing-Programm zertifiziert wurden, und ersetzt dieses durch das strengere WHCP-Verfahren – mit einem 100-Stunden-Evaluierungsmodus als Puffer.
Die Schonfrist: So funktioniert der Evaluation Mode
Microsoft geht nicht mit dem Holzhammer vor – und das ist tatsächlich klug. Ich hab das direkt in der offiziellen Doku nachgelesen, und der Ablauf ist durchdacht.
Windows 11-Systeme durchlaufen zunächst einen 100-Stunden-Evaluierungszeitraum mit mindestens 3 Neustarts, um die Treiber-Kompatibilität zu testen, bevor die strengeren Sicherheitsmaßnahmen aktiviert werden.
Konkret läuft das so ab:
Schritt 1: Das April-Update wird installiert. Das System wechselt in den „Evaluation Mode“.
Schritt 2: Windows beobachtet still im Hintergrund, welche Treiber geladen werden – auch beim Booten, auch bei selten genutzter Hardware.
Schritt 3: Nach 100 Betriebsstunden und mindestens 3 Neustarts entscheidet das System: Sind alle geladenen Treiber WHCP-konform? Dann wird die neue Richtlinie scharf geschaltet.
Schritt 4: Taucht ein alter, nicht konformer Treiber auf? Das System bleibt im Evaluation Mode und die Frist beginnt von vorne. Ein System verbleibt im Evaluation Mode, bis alle Evaluierungskriterien erfüllt sind – und startet den Prozess neu, sobald nicht konforme Treiber erkannt werden.
Das ist clever. Niemand soll plötzlich vor einem nicht startenden System sitzen, weil ein Treiber für den Firmen-Scanner blockiert wurde.
Zusammenfassend: Der Evaluation Mode ist Microsofts Sicherheitsnetz – 100 Stunden Laufzeit plus 3 Neustarts, bevor irgendwas aktiv blockiert wird.
Was das konkret für dich bedeutet
Jetzt wird’s persönlich. Ich kenne meine Leserschaft – viele von euch haben Geräte, die schon ein paar Jahre auf dem Buckel haben. Deshalb hier meine ehrliche Einschätzung:
Für die meisten Nutzer: Kein Problem. Aktuelle Geräte von bekannten Herstellern (Drucker von HP, Logitech-Mäuse, moderne Grafikkarten) nutzen längst WHCP-konforme Treiber. Da ändert sich nichts.
Für Nutzer älterer Hardware: Aufpassen. Wenn du Geräte nutzt, für die seit Jahren keine Treiber-Updates mehr erschienen sind – alte Scanner, Spezial-Hardware, professionelle Audio-Interfaces aus der Vor-USB-C-Ära – dann könnte es eng werden.
Für Gamer: Relevant. Bestimmte Overclock- und Tuning-Tools nutzen Treiber aus dem alten Cross-Signing-Programm. Microsoft tightens one of the oldest trust paths in Windows – das betrifft auch Nischen-Software, die tief ins System eingreift.
Was du jetzt tun kannst:
Gehe in die Windows-Sicherheitseinstellungen: Start → Einstellungen → Datenschutz & Sicherheit → Windows-Sicherheit → Gerätesicherheit → Kernisolierung. Dort findest du die Einstellungen zur Treiber-Sperrliste. Microsoft empfiehlt, den Schutz aktiv zu lassen – und ich stimme dem zu.
Wenn du ein Gerät hast, das dir wichtig ist: Prüf jetzt, ob der Hersteller einen aktuellen, WHCP-signierten Treiber anbietet. Meistens reicht eine kurze Suche auf der Herstellerwebsite mit dem Suchbegriff „Windows 11 Treiber 2025″ oder „WHCP driver“.
Zusammenfassend: Moderne Hardware und Standard-Peripherie sind kaum betroffen. Wer sehr alte Spezial-Hardware nutzt, sollte jetzt aktiv prüfen, ob aktuelle Treiber verfügbar sind.
Was tun, wenn dein Gerät nicht mehr funktioniert?
Stellen wir uns vor, das April-Update ist durch – und dein alter Drum-Controller oder dein Legacy-Scanner streikt plötzlich. Keine Panik. Hier sind meine Troubleshooting-Schritte:
1. Hersteller-Website prüfen: Oft gibt es aktualisierte Treiber, die man nur nicht automatisch bekommt.
2. Windows Update manuell prüfen: Manchmal liefert Microsoft kompatible Treiber direkt über Windows Update.
3. Gerätesicherheit → Kernisolierung prüfen: Unter bestimmten Umständen (z.B. in Unternehmensumgebungen) lässt sich die Richtlinie temporär anpassen – das sollte aber die Ausnahme sein.
4. Herstellerforum: Community-Fixes sind bei Nischen-Geräten oft schneller verfügbar als offizielle Updates.
5. Hardware ersetzen: Ich weiß, das ist unbequem zu hören. Aber manchmal ist ein 15 Jahre alter Treiber tatsächlich ein Sicherheitsrisiko, das du nicht mehr tragen solltest.
Workarounds existieren, aber Microsofts Entscheidung signalisiert klar die Richtung: Letztendlich wird Microsoft jeglichen Code blockieren, der nicht den WHCP-Zertifizierungsprozess durchlaufen hat.
Mein Fazit: Schmerzhaft, aber überfällig
Kernel-level-Angriffe über manipulierte Treiber gehören zu den gefährlichsten Angriffsvektoren überhaupt, weil sie sich tief verstecken und normale Antiviren-Software sie kaum erkennt. Wenn ein WHCP-signierter Treiber Sicherheitslücken enthält, kann Microsoft dessen Zertifikat über Windows Update widerrufen und den Treiber automatisch auf allen Systemen blockieren – diese zentrale Kontrolle war mit dem alten, fragmentierten Zertifikats-Ökosystem nicht möglich.
Das ist ein echter Fortschritt. Microsoft schließt damit ein Jahrzehnte altes Loch.
Für dich als Nutzer bedeutet das: Dein Windows-PC wird ab April 2026 sicherer. Aber du solltest jetzt, nicht erst im April, prüfen, ob deine Hardware davon betroffen ist.
Die Zukunft von Windows ist weniger Wildwest im Kernel – und das ist gut so.
