Die Veröffentlichung von Windows 11 hat bei vielen PC-Nutzern große Begeisterung ausgelöst. Das neue Design, verbesserte Funktionen und die Versprechen einer optimierten Leistung locken zum Upgrade. Doch die Freude wird oft getrübt, wenn die offizielle PC-Integritätsprüfung (PC Health Check) von Microsoft eine Hürde meldet: Obwohl man überzeugt ist, Secure Boot aktiviert zu haben, weigert sich die Software beharrlich, dies anzuerkennen. Dieses Szenario ist frustrierend, aber keineswegs aussichtslos. In diesem umfassenden Artikel beleuchten wir, warum dieses Problem auftritt und bieten eine detaillierte Schritt-für-Schritt-Anleitung, wie Sie diese Blockade überwinden können.
Einleitung: Windows 11 und die Systemanforderungen – Eine Hürde für viele
Microsoft hat mit Windows 11 die Systemanforderungen im Vergleich zu seinem Vorgänger deutlich verschärft. Dies geschieht vor allem im Interesse von Sicherheit und Stabilität. Zwei der prominentesten Anforderungen, die oft für Verwirrung sorgen, sind TPM 2.0 (Trusted Platform Module Version 2.0) und Secure Boot (Sicherer Start). Während das TPM 2.0 in den meisten modernen Systemen entweder bereits aktiv ist oder leicht aktiviert werden kann, stellt die korrekte Erkennung von Secure Boot die Nutzer häufig vor größere Herausforderungen. Die PC-Integritätsprüfung, die eigentlich eine Hilfestellung sein soll, kann hier schnell zur Quelle von Verzweiflung werden, wenn sie „Secure Boot nicht erkannt“ meldet, obwohl man meint, es im BIOS/UEFI aktiviert zu haben.
Warum Secure Boot und TPM 2.0 so wichtig sind
Bevor wir uns den technischen Details widmen, ist es wichtig zu verstehen, warum Microsoft diese Anforderungen stellt. Beide Technologien sind Säulen der modernen IT-Sicherheit:
- TPM 2.0: Dieses Modul ist ein spezialisierter Krypto-Prozessor, der hardwarebasierte Sicherheitsfunktionen bereitstellt. Es schützt Anmeldeinformationen, Verschlüsselungsschlüssel und andere sensible Daten vor Software-Angriffen. Windows 11 nutzt TPM 2.0, um eine sicherere Umgebung zu gewährleisten, indem es die Integrität des Betriebssystems und der Systemkomponenten überprüft.
- Secure Boot: Hierbei handelt es sich um eine Sicherheitsfunktion der UEFI (Unified Extensible Firmware Interface) Firmware, die verhindert, dass nicht signierte oder nicht autorisierte Software (wie Rootkits oder Boot-Viren) während des Systemstarts geladen wird. Secure Boot überprüft die digitale Signatur jeder Komponente im Startprozess – von der Firmware bis zum Betriebssystem-Bootloader. Nur wenn alle Signaturen gültig sind, startet das System. Dies schützt vor Manipulationsversuchen während des kritischen Startvorgangs.
Beide Funktionen tragen maßgeblich dazu bei, Windows 11 zu einem der sichersten Betriebssysteme zu machen, das Microsoft je veröffentlicht hat. Das Problem entsteht, wenn die PC-Integritätsprüfung eine dieser fundamentalen Sicherheitsfunktionen nicht korrekt erkennt, obwohl sie im Grunde vorhanden und aktiviert ist.
Die PC-Integritätsprüfung und das Secure Boot-Rätsel
Viele Nutzer berichten von folgendem Szenario: Sie rufen die BIOS/UEFI-Einstellungen auf, navigieren zum Bereich „Secure Boot” und stellen fest, dass es auf „Enabled” (Aktiviert) steht. Voller Zuversicht starten sie die PC-Integritätsprüfung erneut, nur um wieder die entmutigende Meldung zu erhalten, dass Secure Boot nicht erkannt wird. Wie kann das sein?
Der Hauptgrund für diese Diskrepanz liegt meist nicht darin, dass Secure Boot defekt ist, sondern dass es nicht in der *korrekten Betriebsumgebung* für Windows 11 läuft. Secure Boot ist eine exklusive Funktion der modernen UEFI-Firmware. Wenn Ihr System im „Legacy BIOS”-Modus oder mit aktiviertem „CSM” (Compatibility Support Module) gestartet wird, kann Secure Boot nicht vollumfänglich funktionieren oder wird vom Betriebssystem bzw. der Prüfsoftware nicht als aktiv im erforderlichen Sinne erkannt – selbst wenn eine „Secure Boot”-Option im UEFI-Menü vorhanden und scheinbar aktiviert ist.
Erste Diagnose: Ist Secure Boot wirklich nicht aktiv? (msinfo32)
Bevor Sie tiefer in die BIOS/UEFI-Einstellungen eintauchen, ist es ratsam, den aktuellen Status Ihres Systems zu überprüfen. Dies geht am einfachsten über die Systeminformationen von Windows:
- Drücken Sie die Tastenkombination Windows-Taste + R, um den Ausführen-Dialog zu öffnen.
- Geben Sie
msinfo32ein und drücken Sie Enter. - Das Fenster „Systeminformationen” wird geöffnet.
- Suchen Sie in der Liste nach den Einträgen:
- BIOS-Modus: Dieser sollte „UEFI” anzeigen. Wenn dort „Legacy” steht, haben Sie den Kern des Problems bereits gefunden.
- Sicherer Startzustand: Dieser sollte „Ein” anzeigen. Wenn dort „Aus” oder „Nicht unterstützt” steht, ist Secure Boot nicht korrekt aktiviert oder wird im aktuellen Modus nicht unterstützt.
Wenn der BIOS-Modus „Legacy” anzeigt, ist klar, dass Ihr System nicht im UEFI-Modus läuft, was für Secure Boot zwingend erforderlich ist. Dies ist der häufigste Grund für die Fehlermeldung.
Der entscheidende Unterschied: UEFI-Modus vs. Legacy BIOS
Um die Problemlösung vollständig zu verstehen, müssen wir kurz auf die Unterschiede zwischen UEFI und Legacy BIOS eingehen:
- Legacy BIOS (Basic Input/Output System): Dies ist die traditionelle Firmware-Schnittstelle, die seit Jahrzehnten in PCs verwendet wird. Sie ist relativ einfach und hat Einschränkungen, z.B. bei der Unterstützung großer Festplatten (MBR-Partitionstabelle) und modernen Sicherheitsfunktionen.
- UEFI (Unified Extensible Firmware Interface): Dies ist der moderne Nachfolger des BIOS. UEFI bietet eine grafische Oberfläche, schnellere Startzeiten, Unterstützung für größere Festplatten (GPT-Partitionstabelle) und – entscheidend für uns – erweiterte Sicherheitsfunktionen wie Secure Boot.
Wenn Ihr System im Legacy BIOS-Modus läuft, kann Secure Boot nicht aktiviert werden, selbst wenn Ihr Mainboard UEFI unterstützt. Sie müssen Ihr System in den UEFI-Modus versetzen, um Secure Boot nutzen zu können.
Schritt-für-Schritt-Anleitung: Secure Boot und UEFI aktivieren
Die Aktivierung von Secure Boot erfordert in der Regel zwei wesentliche Schritte: Das Umschalten des Systems in den UEFI-Modus und dann die tatsächliche Aktivierung von Secure Boot. Beachten Sie, dass die genauen Bezeichnungen und Menüpunkte je nach Mainboard-Hersteller (ASUS, MSI, Gigabyte, ASRock, Dell, HP etc.) variieren können.
1. Daten sichern! (Extrem wichtig)
Bevor Sie Änderungen an den Firmware-Einstellungen vornehmen, ist es ABSOLUT KRITISCH, eine vollständige Sicherung Ihrer wichtigen Daten durchzuführen. Das Umschalten zwischen BIOS-Modi kann in seltenen Fällen zu Bootproblemen oder Datenverlust führen.
2. Zugang zu den BIOS/UEFI-Einstellungen
Starten Sie Ihren PC neu und drücken Sie wiederholt eine bestimmte Taste (meist Entf, F2, F10 oder F12), um in die BIOS/UEFI-Einstellungen zu gelangen. Der genaue Zeitpunkt dafür ist oft direkt nach dem Einschalten, bevor das Betriebssystem zu laden beginnt.
3. CSM oder Legacy-Modus deaktivieren
Dies ist oft der erste und wichtigste Schritt, um in den reinen UEFI-Modus zu gelangen. Suchen Sie nach einem Abschnitt wie „Boot”, „Boot Options”, „Security” oder „Advanced”. Dort finden Sie möglicherweise Optionen wie:
- „CSM (Compatibility Support Module)”
- „Launch CSM”
- „Legacy Support”
- „Boot Mode Selection”
Deaktivieren Sie CSM oder stellen Sie den Boot Mode auf „UEFI Only” oder „Native UEFI”. Wenn Ihr System im Legacy-Modus installiert wurde, wird es nach dieser Änderung wahrscheinlich nicht mehr booten. Das ist normal, da die Festplatte in einem anderen Format (MBR) vorliegt als für UEFI (GPT) benötigt. Keine Panik, wir kümmern uns im nächsten Schritt darum.
4. UEFI-Boot-Modus aktivieren (falls nicht schon geschehen)
In einigen UEFI-Firmwares müssen Sie explizit den UEFI-Boot-Modus auswählen. Suchen Sie nach einer Option, die sich auf den „OS Type” oder „Boot Mode” bezieht und wählen Sie „Windows UEFI Mode” oder „UEFI”.
5. Secure Boot aktivieren
Sobald Sie CSM deaktiviert und den UEFI-Modus eingestellt haben, sollte die Option für Secure Boot zugänglich und funktionsfähig sein. Navigieren Sie zu den Bereichen „Security”, „Boot” oder „Authentication”. Suchen Sie nach „Secure Boot” und stellen Sie es auf „Enabled” (Aktiviert).
Manchmal müssen Sie im selben Menü zunächst die „Secure Boot Control” aktivieren und dann die „Secure Boot State” auf „Enabled” setzen. Bei manchen Mainboards müssen Sie möglicherweise auch die „Platform Key (PK)” oder „Key Management” zurücksetzen oder neu generieren, um Secure Boot korrekt zu aktivieren.
6. Wichtiger Hinweis: Die MBR2GPT-Konvertierung (bei bestehender Windows-Installation)
Wenn Sie Windows 10 oder eine ältere Version im Legacy BIOS-Modus installiert hatten (was Sie in msinfo32 als „BIOS-Modus: Legacy” gesehen haben), verwendet Ihre Festplatte wahrscheinlich die MBR-Partitionstabelle. Um im UEFI-Modus booten zu können, muss die Festplatte die GPT-Partitionstabelle verwenden. Glücklicherweise bietet Windows ein Tool namens MBR2GPT, das diese Konvertierung ohne Datenverlust durchführen kann. Dies muss vor dem Deaktivieren von CSM/Legacy erfolgen oder Sie müssen es über ein Windows-Installationsmedium im Reparaturmodus tun.
So führen Sie MBR2GPT durch:
- Starten Sie Windows ganz normal.
- Öffnen Sie die Eingabeaufforderung als Administrator (Rechtsklick auf Start-Button -> „Windows Terminal (Admin)” oder „Eingabeaufforderung (Administrator)”).
- Geben Sie den Befehl
mbr2gpt /validateein und drücken Sie Enter. Dies prüft, ob Ihre Festplatte für die Konvertierung geeignet ist. Wenn es Fehler gibt, müssen diese zuerst behoben werden. - Wenn die Validierung erfolgreich war, geben Sie
mbr2gpt /convertein und drücken Sie Enter. - Lassen Sie den Vorgang abschließen. Es wird ein paar Minuten dauern.
- Danach können Sie die Schritte 3-5 (CSM deaktivieren, UEFI-Modus wählen, Secure Boot aktivieren) in Ihrem BIOS/UEFI durchführen.
Achtung: Die Konvertierung ist in der Regel sicher, aber ein Backup ist IMMER ratsam!
7. Änderungen speichern und neu starten
Vergessen Sie nicht, Ihre Änderungen in den BIOS/UEFI-Einstellungen zu speichern („Save and Exit” oder ähnliches), bevor Sie den PC neu starten.
Häufige Stolpersteine und Problemlösungen
Auch nach der sorgfältigen Befolgung der Schritte können Probleme auftreten. Hier sind einige häufige Stolpersteine:
- Grafikkarten-Kompatibilität (GOP): Einige ältere Grafikkarten (insbesondere Modelle vor 2012-2013) verfügen möglicherweise nicht über eine UEFI-kompatible Firmware (GOP – Graphics Output Protocol). Wenn dies der Fall ist, kann Ihr System nach dem Umschalten in den reinen UEFI-Modus nicht mehr booten oder zeigt kein Bild an. In diesem Fall müssten Sie entweder eine neuere Grafikkarte verwenden oder temporär auf den CSM-Modus zurückschalten, um das System zu starten. Eine Aktualisierung der Grafikkarten-Firmware (VBIOS) kann in seltenen Fällen helfen, ist aber risikoreich.
- BIOS/UEFI-Firmware aktualisieren: Manchmal ist die auf Ihrem Mainboard installierte Firmware veraltet und unterstützt Secure Boot oder TPM 2.0 nicht vollständig oder korrekt. Überprüfen Sie die Website Ihres Mainboard-Herstellers, ob eine neuere Firmware-Version verfügbar ist. Befolgen Sie die Anweisungen des Herstellers genau, da eine fehlerhafte Firmware-Aktualisierung das Mainboard unbrauchbar machen kann.
- Mainboard-spezifische Eigenheiten: Jeder Hersteller hat seine eigene BIOS/UEFI-Oberfläche. Manchmal sind die Optionen versteckt oder haben ungewöhnliche Bezeichnungen. Ein Blick ins Handbuch Ihres Mainboards oder eine schnelle Online-Suche nach „[Ihr Mainboard-Modell] Secure Boot UEFI” kann sehr hilfreich sein.
- TPM 2.0 nicht erkannt: Stellen Sie sicher, dass TPM 2.0 auch aktiviert ist. Suchen Sie im BIOS/UEFI nach Optionen wie „Trusted Platform Module”, „Intel PTT” (Platform Trust Technology) oder „AMD fTPM” (firmware TPM) und stellen Sie sicher, dass diese aktiviert sind.
Nach der Umstellung: Erneute Prüfung mit der PC-Integritätsprüfung
Nachdem Sie die BIOS/UEFI-Einstellungen angepasst, die Änderungen gespeichert und Ihr System neu gestartet haben, sollte Windows 11 nun korrekt im UEFI-Modus mit aktiviertem Secure Boot laufen. Vergewissern Sie sich dies nochmals mit msinfo32 („BIOS-Modus: UEFI”, „Sicherer Startzustand: Ein”).
Führen Sie dann die PC-Integritätsprüfung erneut aus. Mit großer Wahrscheinlichkeit wird die Anwendung nun alle Anforderungen als erfüllt melden und Ihnen grünes Licht für das Windows 11 Upgrade geben.
Was tun, wenn alle Stricke reißen?
Sollten Sie trotz aller Bemühungen immer noch Probleme haben oder unsicher sein, gehen Sie wie folgt vor:
- Hersteller-Support kontaktieren: Ihr Mainboard-Hersteller oder PC-Hersteller ist die beste Anlaufstelle für spezifische Anweisungen zu Ihrem Modell.
- Professionelle Hilfe: Ein lokaler PC-Techniker kann Ihnen bei der Konfiguration der BIOS/UEFI-Einstellungen helfen.
- Neuinstallation in Betracht ziehen: Im äußersten Fall, wenn Ihr System zu alt ist oder die Konfiguration zu kompliziert wird, kann eine saubere Neuinstallation von Windows 11 die einfachste Lösung sein. Dabei stellen Sie sicher, dass UEFI und Secure Boot von Anfang an korrekt konfiguriert werden.
Fazit: Geduld zahlt sich aus
Die Windows 11 Systemanforderungen, insbesondere die für Secure Boot, sind nicht immer intuitiv zu erfüllen. Die Fehlermeldung der PC-Integritätsprüfung, die ein aktives Secure Boot nicht erkennt, ist ein klassisches Beispiel dafür, wie eine vermeintlich einfache Einstellung zu komplexen Problemen führen kann. Doch mit dem richtigen Verständnis der Unterschiede zwischen UEFI und Legacy BIOS, der Rolle von CSM und der korrekten Vorgehensweise bei der Umstellung, lässt sich diese Hürde erfolgreich meistern.
Denken Sie daran: Die zusätzlichen Schritte zur Aktivierung von Secure Boot und TPM 2.0 sind keine Schikane von Microsoft, sondern wichtige Maßnahmen zur Erhöhung der Sicherheit Ihres Systems. Mit etwas Geduld und den Anweisungen in diesem Artikel können auch Sie Ihr System fit für Windows 11 machen und die neuen Funktionen in vollen Zügen genießen. Die Investition in die Systemintegrität zahlt sich langfristig durch ein stabileres und sichereres Computing-Erlebnis aus.