Die Meldung weist meist darauf hin, dass das System zwar für einen geschützten Start eingerichtet ist, einzelne Zertifikate oder Schlüsseldateien aber nicht verfügbar sind. Dann blockiert die Prüfung den Startvorgang, obwohl die Funktion selbst eingeschaltet ist. Mit den richtigen Schritten lässt sich die Ursache eingrenzen und beheben, ohne unnötig im System herumzuprobieren.
Was hinter dem Hinweis steckt
Bei modernen Windows-Installationen prüft die Firmware beim Hochfahren, ob nur vertrauenswürdige Komponenten geladen werden. Dafür braucht das Gerät passende Zertifikate, Signaturspeicher und eine saubere Zuordnung zwischen UEFI, TPM und der Windows-Installation. Fehlen diese Bausteine, meldet das System einen Konflikt zwischen aktivem Schutzmodus und nicht vorhandenen Zertifikaten.
Häufig entsteht das Problem nach einem Mainboard-Wechsel, einem BIOS-Update, einer Änderung der Secure-Boot-Schlüssel oder nach dem Zurücksetzen von Firmware-Einstellungen. Auch ein älteres Installationsmedium, ein manuell deaktivierter TPM-Zustand oder eine unsaubere Konfiguration im UEFI kann denselben Effekt auslösen.
Die wichtigsten Punkte zuerst prüfen
Bevor du Einstellungen änderst, lohnt sich ein kurzer Blick auf die Ausgangslage. So vermeidest du unnötige Eingriffe und erkennst, ob es sich um eine reine Schlüsselverwaltung oder um ein tieferes Firmware-Problem handelt.
- Windows läuft im UEFI-Modus und nicht im klassischen Legacy-Start.
- TPM 2.0 ist im System verfügbar und aktiv.
- Secure Boot ist im Firmware-Menü eingeschaltet.
- Die Datenträgerstruktur passt zum UEFI-Start, also typischerweise GPT statt MBR.
- Keine Fremdsoftware hat Boot-Dateien oder Zertifikate ersetzt.
Wenn schon einer dieser Punkte nicht stimmt, solltest du ihn vor den eigentlichen Reparaturschritten bereinigen. Sonst kehrt die Meldung nach kurzer Zeit zurück.
UEFI- und Secure-Boot-Status kontrollieren
Der schnellste Einstieg ist die Prüfung in Windows. Öffne dafür die Systeminformationen mit msinfo32. Dort sollte bei BIOS-Modus der Eintrag UEFI erscheinen. Außerdem muss Sicherer Startzustand als aktiviert oder unterstützt angezeigt werden.
Zusätzlich kannst du in den Einstellungen unter Windows-Sicherheit den Bereich Gerätesicherheit öffnen. Dort zeigt Windows den Sicherheitsstatus des Rechners an. Weicht die Anzeige stark von den Firmware-Einstellungen ab, liegt oft eine fehlende Schlüsselzuordnung vor.
Firmware-Einstellungen sauber anpassen
Die eigentliche Reparatur beginnt im UEFI-Setup. Der Weg dorthin unterscheidet sich je nach Hersteller, liegt aber meist unter Erweiterte Startoptionen in Windows oder über eine Funktionstaste beim Einschalten.
- Starte das Gerät neu und öffne das UEFI- oder BIOS-Menü.
- Suche nach Einträgen wie Secure Boot, Trusted Computing, TPM oder Platform Trust Technology.
- Aktiviere TPM, falls es deaktiviert ist.
- Stelle Secure Boot auf Enabled.
- Falls vorhanden, lade die Standard-Schlüssel mit einer Option wie Install Default Keys oder Restore Factory Keys.
- Speichere die Einstellungen und starte neu.
Gerade der letzte Schritt ist wichtig. Ohne Standard-Schlüssel kann das System zwar einen Schutzmodus anzeigen, aber die Zertifikatsprüfung bleibt unvollständig. In diesem Fall hilft oft schon das Zurücksetzen der werkseitigen Schlüsselbasis.
Schlüsselverwaltung im UEFI richtig nutzen
Viele Mainboards bieten getrennte Menüs für Key Management oder Secure Boot Keys. Dort findest du normalerweise die Optionen für Plattformschlüssel, Austauschschlüssel und Datenbankeinträge. Wenn nach einem Firmware-Update einzelne Zertifikate fehlen, ist genau dieser Bereich entscheidend.
Prüfe dort, ob folgende Funktionen vorhanden sind:
- Werkseinstellungen für Secure-Boot-Schlüssel wiederherstellen
- Vorhandene Schlüssel löschen und Standardwerte neu laden
- PK, KEK, db und dbx neu setzen
- Custom Mode beenden und Standardmodus aktivieren
Falls das Menü eigene Schlüsselverwaltung verlangt, solltest du dort nur dann manuell eingreifen, wenn du die vorhandenen Zertifikate wirklich ersetzt hast. In allen anderen Fällen ist die werkseitige Wiederherstellung die sicherere Wahl.
Windows-Installation auf Integrität prüfen
Bleibt die Meldung bestehen, kann die Windows-Installation selbst beschädigte Startdateien enthalten. In diesem Fall helfen Systemprüfungen aus der administrativen Eingabeaufforderung.
- Öffne die Eingabeaufforderung mit Administratorrechten.
- Führe sfc /scannow aus.
- Starte danach DISM /Online /Cleanup-Image /RestoreHealth.
- Prüfe anschließend mit chkdsk das Systemlaufwerk, falls Dateifehler vermutet werden.
Diese Schritte reparieren keine Firmware-Schlüssel, aber sie schließen beschädigte Systemdateien als Ursache aus. Besonders nach Stromausfällen, abgebrochenen Updates oder einer Festplattenmigration ist das hilfreich.
Boot-Konfiguration neu aufbauen
Manchmal liegt das Problem in den Startdateien auf der EFI-Partition. Dann hilft eine Neuverknüpfung der Boot-Einträge. Das ist vor allem sinnvoll, wenn das Gerät zuvor geklont, umgebaut oder auf eine neue SSD übertragen wurde.
Der typische Weg führt über die Wiederherstellungsumgebung. Dort kannst du mit bcdboot die Bootdateien neu schreiben. Voraussetzung ist, dass die EFI-Partition korrekt erkannt und eingebunden wird. Danach sollte Windows den Startpfad wieder sauber finden und die Prüfung der Zertifikate normal abschließen.
Typische Ursachen nach Änderungen an Hardware und Firmware
Besonders oft taucht der Hinweis nach einer Anpassung an der Hardware auf. Das betrifft nicht nur Mainboards, sondern auch einzelne Firmware-Änderungen an älteren Geräten. Nach solchen Eingriffen erwartet Windows andere Signaturen als zuvor.
- Mainboard gewechselt und TPM neu initialisiert
- BIOS auf Werkseinstellungen zurückgesetzt
- Secure Boot versehentlich deaktiviert und wieder eingeschaltet
- SSD geklont und alte UEFI-Einträge übernommen
- Firmware auf eine Version aktualisiert, die neue Schlüsselverwaltung nutzt
In diesen Fällen hilft oft eine saubere Neuinitialisierung der Sicherheitskomponenten. Je älter das System ist, desto wahrscheinlicher sind Mischkonfigurationen aus alten und neuen Einstellungen.
Wann eine Neuinstallation sinnvoll sein kann
Wenn UEFI, TPM, Schlüsselverwaltung und Systemprüfung keine eindeutige Besserung bringen, bleibt als letzter technischer Schritt eine Neuinstallation im UEFI-Modus. Das ist vor allem dann sinnvoll, wenn die vorhandene Installation noch im Legacy-Stil angelegt wurde oder die EFI-Struktur mehrfach beschädigt ist.
Wichtig ist dabei, das Installationsmedium passend vorzubereiten. Es muss im UEFI-Modus starten und eine GPT-Partitionierung unterstützen. Nach der Installation sollten Secure Boot und TPM direkt wieder aktiv sein, damit die Zertifikatsprüfung von Beginn an konsistent arbeitet.
So lässt sich die Ursache nicht nur umgehen, sondern dauerhaft beseitigen, weil Systemmodus, Bootpfad und Schlüsselbasis anschließend wieder zusammenpassen.
Signaturprüfung und Zertifikatsspeicher gezielt untersuchen
Der Hinweis deutet nicht nur auf ein allgemeines Startproblem hin, sondern meist auf eine fehlende oder beschädigte Vertrauenskette zwischen Firmware und Betriebssystem. In der Praxis lohnt sich deshalb zuerst ein Blick auf die Startkomponenten, die von Secure Boot tatsächlich verwendet werden. Dazu gehören die EFI-Startdateien auf der Systempartition, die vorhandenen Zertifikate im UEFI sowie die in Windows hinterlegten Vertrauens- und Wiederherstellungsdaten.
Öffne in Windows zunächst die Systeminformationen mit msinfo32 und prüfe, ob Secure Boot-Status auf Ein steht. Danach kontrollierst du, ob die Systemplatte im GPT-Format eingerichtet ist und ob die EFI-Systempartition vorhanden ist. Fehlt diese Partition oder ist sie beschädigt, kann die Firmware zwar einen sicheren Startmodus aktiv haben, aber keine gültigen Startsignaturen finden.
- In Datenträgerverwaltung nach einer kleinen EFI-Systempartition suchen.
- Im Geräte-Manager nach Firmware- oder Speichercontrollern mit Warnsymbol prüfen.
- Im UEFI nach Menüpunkten wie Key Management, Secure Boot Keys oder Restore Factory Keys suchen.
Falls die Standard-Schlüssel fehlen oder verändert wurden, hilft oft das Zurücksetzen auf die werkseitigen Schlüssel. Wichtig ist dabei, dass du nicht nur einzelne Einträge änderst, sondern die gesamte Schlüsselbasis wieder in einen konsistenten Zustand bringst. Viele Systeme bieten dafür einen Punkt wie Install Default Secure Boot Keys oder Load Factory Default Keys.
Bootdateien und EFI-Struktur mit Bordmitteln reparieren
Ist die Firmware in Ordnung, liegt die Ursache häufig in beschädigten Startdateien auf der EFI-Partition. Dann reicht ein reiner BIOS-Reset nicht aus. Du solltest die Windows-Wiederherstellungsumgebung verwenden und die Bootumgebung neu aufbauen.
Starte dazu von einem Windows-Installationsmedium oder über die erweiterten Startoptionen in die Eingabeaufforderung. Mit diskpart findest du zuerst die EFI-Partition und weist ihr vorübergehend einen Laufwerksbuchstaben zu. Danach kannst du die Startdateien mit bcdboot neu schreiben.
- diskpart starten und mit list vol die Partitionen anzeigen.
- Die EFI-Partition auswählen und einen freien Buchstaben zuweisen.
- Mit bcdboot C:Windows /s X: /f UEFI die Startdateien neu erstellen.
- Das System neu starten und den UEFI-Start erneut prüfen.
Wenn mehrere Windows-Installationen vorhanden waren oder die Bootreihenfolge verändert wurde, kann zusätzlich ein sauberer Eintrag im Firmware-Menü nötig sein. Achte darauf, dass die richtige Windows-Startoption an erster Stelle steht und nicht ein veralteter Eintrag von einer alten SSD, einem USB-Medium oder einer Klon-Installation.
Bei Systemen mit BitLocker solltest du die Wiederherstellungsschlüssel bereithalten. Änderungen an Bootpfad, TPM oder Secure-Boot-Schlüsseln können sonst dazu führen, dass der Schutzmechanismus eine Wiederherstellung verlangt, bevor Windows startet.
Firmware-Reset, TPM und Schlüsselablage sauber zusammendenken
In vielen Fällen liegt das Problem nicht an einer einzelnen Einstellung, sondern an einer Kombination aus geänderten Firmware-Daten und gespeicherten Messwerten im TPM. Das passiert etwa nach einem BIOS-Update, nach dem Austausch des Mainboards oder nach dem Zurücksetzen bestimmter Sicherheitsoptionen. Dann passt die erwartete Signaturkette nicht mehr zu den gespeicherten Zuständen.
Gehe deshalb systematisch vor. Deaktiviere Secure Boot nicht dauerhaft, sondern verwende nur kurze Testschritte, um den Zustand einzugrenzen. Ein vollständiger Firmware-Reset auf Werkseinstellungen kann helfen, wenn die UEFI-Konfiguration stark verändert wurde. Danach werden Datum, Bootmodus, SATA- oder NVMe-Einstellungen und Secure-Boot-Schlüssel nacheinander wieder gesetzt.
- UEFI Defaults laden, wenn die Menüs unübersichtlich geworden sind.
- CSM/Legacy Boot nur aktivieren, wenn das System ausdrücklich dafür gebaut wurde.
- TPM und Secure Boot gemeinsam prüfen, besonders nach Mainboardwechseln.
- Vor dem Zurücksetzen von Sicherheitsmodulen die Wiederherstellungsdaten sichern.
Bei manchen Geräten gibt es zusätzlich eine Option zum Löschen aller Secure-Boot-Schlüssel. Das ist nur sinnvoll, wenn danach direkt die Standard-Schlüssel wieder eingespielt werden. Ein leerer Schlüsselbestand blockiert den Start vieler moderner Installationen vollständig.
Saubere Wiederherstellung, wenn die Standardwege nicht reichen
Bleibt der Fehler bestehen, solltest du die Windows-Startumgebung und die Systemintegrität tiefer prüfen. Dazu gehören die Prüfung der Systemdateien mit sfc /scannow, die Reparatur des Komponentenstores mit DISM und die Kontrolle, ob der Bootloader auf dem richtigen Datenträger liegt. Gerade nach Klonvorgängen oder Speicherumbauten landen Startdateien gelegentlich auf dem falschen Laufwerk.
Wichtig ist außerdem, externe Geräte testweise zu entfernen. USB-Sticks, externe SSDs, Kartenleser oder Dockingstationen können die Firmware dazu bringen, einen anderen Startpfad zu wählen. Wenn das Gerät danach normal startet, liegt kein Defekt der Signaturen vor, sondern eine ungünstige Bootreihenfolge.
- Alle unnötigen externen Datenträger abziehen.
- Im UEFI die feste Bootreihenfolge prüfen.
- Windows-Reparatur mit SFC und DISM durchführen.
- Bei Bedarf den Bootloader mit bcdboot neu anlegen.
- Danach Secure Boot wieder aktiv lassen und erneut testen.
Falls das System nach einem Firmware-Update plötzlich nicht mehr startet, lohnt sich auch der Blick auf eine mögliche Versionsinkompatibilität. Manche Mainboards speichern alte Schlüsselzustände oder Bootvariablen, die erst nach einem kompletten Power-Reset oder einem erneuten Einspielen der Standard-Schlüssel sauber übernommen werden. In solchen Fällen hilft es, den Rechner vollständig vom Strom zu trennen, Reststrom zu entladen und die Firmware erneut zu initialisieren.
Wird Windows schließlich wieder gestartet, kontrolliere abschließend noch einmal die Sicherheits- und Startparameter. So stellst du sicher, dass nicht nur der aktuelle Start klappt, sondern auch die Schutzfunktion wieder vollständig arbeitet. Ein dauerhaft stabiler Zustand ist erst erreicht, wenn UEFI, Schlüsselverwaltung, Bootreihenfolge und Windows-Startumgebung zusammenpassen.
FAQ
Warum meldet der Rechner fehlende Zertifikate trotz aktivierter sicherer Startfunktion?
Meist liegt das an gelöschten oder zurückgesetzten UEFI-Schlüsseln, einem Firmware-Reset oder an einer geänderten Boot-Konfiguration. Auch ein Wechsel von Legacy- auf UEFI-Betrieb oder eine neu eingebaute SSD kann dazu führen, dass die Signaturkette nicht mehr vollständig passt.
Welche Einstellung im UEFI ist dafür am wichtigsten?
Entscheidend ist, dass das System wirklich im UEFI-Modus startet und nicht im klassischen Legacy- oder CSM-Modus. Zusätzlich müssen die Standard-Schlüssel für Secure Boot geladen sein, damit die Prüfkette wieder vollständig ist.
Wie erkenne ich, ob die richtigen Schlüssel im Firmware-Menü vorhanden sind?
Im UEFI findest du dazu meist einen Bereich wie „Secure Boot“, „Key Management“ oder „Schlüsselverwaltung“. Dort sollte ein Eintrag für die werkseitigen Standard-Schlüssel vorhanden sein, häufig mit Bezeichnungen wie Platform Key, Key Exchange Key und db.
Was mache ich, wenn im UEFI keine Werksschlüssel geladen sind?
Wähle die Option zum Laden der Standard- oder Herstellerschlüssel aus und speichere die Änderung. Danach sollte Secure Boot wieder mit einer gültigen Schlüsselkette arbeiten, sofern das Betriebssystem und der Bootloader passend eingerichtet sind.
Kann ein BIOS-Update helfen?
Ja, ein Update kann sinnvoll sein, wenn die Firmware bekannte Probleme mit Secure Boot oder der Schlüsselverwaltung hat. Vorher solltest du aber prüfen, ob das Update vom Mainboard- oder Gerätehersteller ausdrücklich für dein Modell freigegeben ist.
Wie gehe ich vor, wenn Windows nicht mehr startet?
Starte vom Wiederherstellungsmedium oder von einem Installations-USB-Stick und öffne dort die Reparaturoptionen. Danach kannst du die Startdateien neu schreiben, die Datenträgerstruktur prüfen und erst anschließend die Firmware-Einstellungen erneut kontrollieren.
Welche Rolle spielt die Systempartition?
Die EFI-Systempartition enthält die Dateien, die der UEFI-Startpfad benötigt. Fehlen dort Bootloader-Dateien oder wurde die Partition beschädigt, hilft Secure Boot allein nicht weiter, weil die Kette schon vor dem Laden des Systems unterbrochen ist.
Wie prüfe ich unter Windows, ob Secure Boot aktiv ist?
Öffne die Systeminformationen und suche nach dem Eintrag für den sicheren Start. Dort siehst du, ob die Funktion eingeschaltet ist und ob das System im passenden UEFI-Betriebsmodus arbeitet.
Was ist nach Hardwareänderungen besonders wichtig?
Nach dem Austausch von Mainboard, TPM-Modul, SSD oder Grafikkarte sollte die Firmware neu kontrolliert werden. Gerade nach einem Board-Wechsel sind oft die Startreihenfolge, die Signaturschlüssel und der Modus für den Systemstart neu zu setzen.
Wann sollte ich die Bootkonfiguration lieber neu aufbauen?
Das ist sinnvoll, wenn die Startdateien beschädigt sind, die Partitionen nicht mehr sauber zusammenpassen oder Windows wiederholt in Reparaturschleifen landet. In solchen Fällen bringt ein erneutes Anlegen des Startpfads meist mehr als wiederholte Änderungen am Secure-Boot-Menü.
Wie verhindere ich, dass der Fehler nach kurzer Zeit erneut auftaucht?
Vermeide unnötige Rücksetzungen im UEFI und dokumentiere die verwendeten Einstellungen, bevor du Änderungen vornimmst. Nach Firmware-Updates oder Hardwarewechseln solltest du außerdem sofort prüfen, ob UEFI-Modus, Schlüssel und Startreihenfolge noch zusammenpassen.
Fazit
Die Lösung besteht fast immer aus zwei Teilen: Firmware sauber einstellen und den Windows-Startpfad technisch wieder passend aufbauen. Wer systematisch UEFI-Modus, Schlüsselverwaltung, Bootdateien und Partitionen prüft, kann die Ursache meist ohne Neuinstallation beheben. Erst wenn diese Schritte keinen stabilen Start ermöglichen, ist eine frische Installation die bessere Wahl.
