Der Sichere Start (Secure Boot) schützt deinen PC schon beim Hochfahren vor Schadsoftware und Manipulationen. Er sorgt dafür, dass beim Start nur signierte, vertrauenswürdige Komponenten geladen werden – eine wichtige Sicherheitsfunktion moderner UEFI-Systeme. Wenn du eine Fehlermeldung siehst wie „Sicherer Start ist deaktiviert“, kannst du ihn meist mit wenigen Klicks aktivieren. In dieser Anleitung erfährst du Schritt für Schritt, wie du Secure Boot einschaltest, welche Voraussetzungen gelten und was du beachten musst.
Was ist der sichere Start (Secure Boot)?
Secure Boot ist ein Teil der UEFI-Firmware (Nachfolger des BIOS). Er überprüft beim Start, ob Betriebssystem und Bootloader digital signiert sind.
Das verhindert, dass Schadsoftware – etwa Rootkits oder manipulierte Bootloader – sich unbemerkt einschleichen.
Kurz gesagt: Secure Boot schützt den Startvorgang deines PCs, bevor Windows überhaupt geladen wird.
Warum ist Secure Boot wichtig?
- Schutz vor Schadsoftware im Bootbereich
- Voraussetzung für Windows 11 (neben TPM 2.0)
- Höhere Systemsicherheit bei Updates und neuen Treibern
- Verhindert unautorisierte Systemänderungen
Wenn Secure Boot deaktiviert ist, gilt dein System als unsicherer – Windows zeigt das z. B. in der „Gerätesicherheit“ oder im Tool msinfo32 an.
Prüfen, ob Secure Boot aktiv ist
Bevor du etwas änderst, überprüfe den aktuellen Status:
- Drücke Windows + R → gib msinfo32 ein → Enter.
- Im Fenster Systeminformationen siehst du den Eintrag:
„Sicherer Startzustand:“- Ein: Secure Boot ist aktiv.
- Aus: Secure Boot ist deaktiviert.
- Nicht unterstützt: Dein Mainboard oder BIOS nutzt noch das alte Legacy-System (kein UEFI).
Wenn „Aus“ oder „Deaktiviert“ angezeigt wird, kannst du den sicheren Start im UEFI aktivieren.
Voraussetzungen für Secure Boot
Damit du den sicheren Start einschalten kannst, müssen folgende Bedingungen erfüllt sein:
- UEFI-Modus aktiv: Dein PC darf nicht im „Legacy“- oder „CSM“-Modus laufen.
- GPT-Partitionsstil: Die Systemfestplatte muss im GPT-Format formatiert sein (nicht MBR).
- Windows 8 oder neuer: Nur moderne Windows-Versionen unterstützen Secure Boot vollständig.
Prüfen des Partitionsstils
- Drücke Windows + X → Datenträgerverwaltung.
- Rechtsklick auf Datenträger 0 → Eigenschaften → Volumes.
- Unter „Partitionsstil“ steht:
- GUID-Partitionstabelle (GPT) ✅ → kompatibel
- Master Boot Record (MBR) ❌ → muss konvertiert werden
Falls dein System noch MBR nutzt, kannst du es mit dem Windows-Tool mbr2gpt konvertieren (siehe unten).
Schritt-für-Schritt: Sicheren Start aktivieren
1. In die UEFI-Firmware gelangen
- Klicke auf Start → Einstellungen → System → Wiederherstellung.
- Unter Erweiterter Start → klicke auf Jetzt neu starten.
- Nach dem Neustart: Problembehandlung → Erweiterte Optionen → UEFI-Firmwareeinstellungen → Neu starten.
Alternativ: Beim Start mehrfach Entf, F2, F10 oder Esc drücken (je nach Hersteller).
2. Secure Boot im UEFI aktivieren
Die Bezeichnungen unterscheiden sich leicht je nach Mainboard:
- Navigiere im Menü zu Boot / Security / Authentication.
- Suche nach Secure Boot oder Sicherer Start.
- Stelle die Option auf Enabled / Aktiviert.
- Unter Umständen musst du den CSM (Compatibility Support Module) deaktivieren, bevor du Secure Boot aktivieren kannst.
- Änderungen speichern mit F10 → Yes → Neustart.
Nach dem Neustart kannst du wieder mit msinfo32 prüfen, ob Secure Boot aktiv ist.
Wenn Secure Boot nicht aktiviert werden kann
1. CSM ist aktiviert
CSM (Compatibility Support Module) sorgt für Kompatibilität mit älteren Systemen – blockiert aber Secure Boot.
Lösung:
Im UEFI-Menü CSM / Legacy Boot → Deaktivieren.
Anschließend Secure Boot → Aktivieren und speichern.
2. Falsches Partitionsformat (MBR)
Secure Boot funktioniert nur mit GPT.
Wenn dein Laufwerk noch MBR nutzt, kannst du es mit Bordmitteln umwandeln – ohne Datenverlust:
So geht’s:
- Öffne die Eingabeaufforderung als Administrator.
- Gib ein:
mbr2gpt /convert /allowfullos - Nach erfolgreicher Konvertierung den PC neu starten.
- Im UEFI Boot-Modus von Legacy auf UEFI umstellen.
- Secure Boot aktivieren.
3. Betriebssystem nicht signiert
Bei älteren Windows-Versionen oder alternativen Systemen (Linux ohne Signatur) kann Secure Boot die Ausführung blockieren.
Hier hilft oft ein Update oder eine Neuinstallation mit aktivierter UEFI-Unterstützung.
4. Hersteller-BIOS ohne Secure-Boot-Unterstützung
Vor allem ältere PCs (Baujahr vor 2013) unterstützen Secure Boot eventuell gar nicht. In diesem Fall hilft nur ein BIOS-/UEFI-Update – sofern der Hersteller eines anbietet.
Wann Secure Boot deaktiviert werden sollte
In seltenen Fällen ist das Ausschalten sinnvoll:
- beim Installieren älterer Betriebssysteme (z. B. Windows 7)
- bei bestimmten Linux-Distributionen ohne Signatur
- bei Hardwaretests oder BIOS-Flashs
Nach Abschluss solcher Aktionen sollte Secure Boot wieder aktiviert werden, um den Schutz zu gewährleisten.
Häufige Fragen zu Secure Boot
Was bringt Secure Boot in der Praxis?
Er verhindert, dass Schadsoftware schon beim Hochfahren geladen wird. Besonders nützlich gegen Rootkits, Bootkits oder manipulierte Treiber.
Kann Secure Boot mein System langsamer machen?
Nein, die Prüfung erfolgt beim Start in Millisekunden und beeinflusst die Geschwindigkeit nicht spürbar.
Wird Secure Boot für Windows 11 zwingend benötigt?
Ja, Microsoft verlangt aktivierten Secure Boot und TPM 2.0 als Voraussetzung für Windows 11-Installationen.
Wie erkenne ich, ob mein System UEFI unterstützt?
Im Systeminformationsfenster (msinfo32) steht unter BIOS-Modus: „UEFI“. Wenn dort „Legacy“ steht, ist Secure Boot nicht verfügbar.
Was passiert, wenn Secure Boot deaktiviert bleibt?
Windows funktioniert trotzdem, aber du hast keinen Schutz vor bösartigen Bootloadern. Für maximale Sicherheit sollte die Funktion aktiv sein.
Zusammenfassung
Der sichere Start (Secure Boot) ist ein wichtiger Baustein für die PC-Sicherheit unter Windows. Wenn du ihn aktivieren möchtest, überprüfe zunächst, ob dein System im UEFI-Modus mit GPT läuft. Deaktiviere gegebenenfalls CSM, aktiviere Secure Boot im BIOS und starte den PC neu. Danach ist dein System bestens gegen Manipulationen beim Start geschützt. Hast du Secure Boot schon aktiviert oder zeigt dein PC noch den Legacy-Modus an?
