Secure Boot aktivieren: So klappt es für die Windows-11-Installation

Der sichere Systemstart, auch Secure Boot genannt, wird für PCs immer wichtiger. Unter anderem ist ein aktivierter Secure Boot Voraussetzung für die Installation von Windows 11. Aber nicht jeder Rechner unterstützt Secure Boot und nicht überall wo das Feature unterstützt wird, ist es auch aktiviert. Wir zeigen dir, wie du Secure Boot auf deinem PC aktivieren kannst.

Bei Secure Boot handelt es sich um ein Feature innerhalb des BIOS, das für einen sicheren Start des PCs sorgt. Das Feature überprüft vor dem Bootvorgang des Betriebssystems, ob Teile der Firmware kompromittiert sind – etwa durch Viren oder anderen Schadcode. Damit das System mit aktiviertem Secure Boot starten kann, müssen die entsprechenden Systemteile über einen gültigen Sicherheitsschlüssel verfügen, also signiert sein.

Secure Boot ist also ein Sicherheitsfeature, das einen effektiven Schutz vor Hackern und Schadsoftware bietet. Gleichzeitig verhindert das Feature aber, das alternative Betriebssysteme wie Linux oder einige ältere Programme auf dem PC laufen. Für die Installation von Windows 11 schreibt Microsoft ein aktives Secure Boot sogar vor.

Secure Boot wird vor allem von neueren Rechnern unterstützt, die in den letzten Jahren auf den Markt gekommen sind. Bei älteren Modellen kann es sein, dass die Funktion fehlt. Das gleiche gilt auch für Mainboards. Neuere Modelle unterstützen Secure Boot meist, haben das Feature jedoch oft nicht ab Werk aktiviert.

Damit Secure Boot genutzt werden kann, muss das BIOS des Computers im UEFI-Modus laufen. Das ist bei den allermeisten Fertig-PCs, die nach 2012 auf den Markt gekommen sind, der Fall. Grundsätzlich ist es jedoch möglich, das BIOS eines PCs entweder im UEFI- oder in einem Legacy-Modus zu betreiben. Wenn das BIOS im Legacy-Modus läuft, steht Secure Boot nicht zur Verfügung.

Letzteres trifft vor allem auf viele Selbstbau-PCs zu. Praktisch alle aktuellen Mainboards unterstützen zwar den UEFI-Modus, aber viele Nutzer verzichten bei der Ersteinrichtung ihres Computers auf diesen Betriebsmodus und richten das System hingegen im Legacy-Modus ein. Das ist in den meisten Fällen kein Problem, dürfte aber beim Versuch, den Rechner auf Windows 11 zu updaten, zu einem Stolperstein werden.

Wenn du dir deinen Rechner selbst zusammengestellt hast, solltest du prüfen, ob das Mainboard den UEFI-Modusgrundsätzlich unterstützt. Die Information dazu findest du entweder im Handbuch oder auf der Website des Herstellers.

Bevor du Secure Boot aktivieren kannst, solltest du zunächst prüfen, ob das BIOS deines PCs im UEFI- oder im Legacy-Modus läuft.

1. Öffne dazu die App „Systeminformationen“, die du über die Windows-Suche findest.
2. Suche nach dem Eintrag „BIOS“ und prüfe, ob dort „UEFI“ oder „Legacy“ steht.

Sollte dein BIOS bereits im UEFI-Modus laufen, kannst du den nächsten Punkt überspringen und direkt zum Punkt „Secure Boot im BIOS aktivieren“ in diesem Artikel springen. Sollte es jedoch noch im Legacy-Modus laufen, musst du zuvor vom Legacy- in den UEFI-Modus wechseln.

Du kommst nicht weiter?

Das iPhone geht nicht an, der PC ist langsam, die PS4 hängt? MediaMarkt und die Deutsche Technikberatung helfen weiter. Telefonisch oder bei dir zu Hause.

Grundsätzlich ist der beste Weg, um vom Legacy- zum UEFI-Modus zu wechseln, eine komplette Neueinrichtung des Systems, inklusive der Neuinstallation von Windows. Beide Modi nutzen nämlich ein unterschiedliches Partitionsschema auf der Systemfestplatte. Während Legacy das ältere MBR-Partitionsschema verwendet, setzt UEFI auf das neuere GPT.

Da eine komplette Neueinrichtung aber für viele Nutzer nicht in Frage kommt, hat Microsoft bereits mit der Windows-10-Version 1703 das Programm MBR2GPT eingeführt. Das besitzt jedoch kein eigenes grafisches Interface, sondern lässt sich nur durch Befehle über die Eingabeaufforderung steuern.

Was du mit den folgenden Schritten machst, ist prinzipiell eine Neuformatierung der Systemfestplatte, ohne das es dabei zu Datenverlust kommt. Der Vorgang ist zwar erprobt und funktionierte auch im Test reibungslos, allerdings empfehlen wir dir, vorsichtshalber ein Sicherheits-Backup deines Systems anzulegen, bevor du fortfährst.

1. Starte den PC neu und halte, während du auf die Schaltfläche „Neu starten“ klickst, die Shift-Taste gedrückt.
2. Warte, bis der PC im abgesicherten Modus neu bootet.
3. Klicke auf „Problembehandlung > Erweiterte Optionen > Eingabeaufforderung“.
4. Melde dich mit deinem Account an und gib gegebenenfalls das Passwort ein.

Nun startet die klassische Eingabeaufforderung, über welche du den Wechsel vom MBR-Partitionsschema auf das neuere GPT-Schema anstoßen kannst. Zunächst solltest du prüfen, ob sich dein Datenträger überhaupt in das neue Partitionsschema konvertieren lässt. Tippe dazu den folgenden Befehl ein und bestätige mit Enter:

mbr2gpt/validate

Wenn die Prüfung mit der Zeile „Validation completed successfully“ endet, ist der Datenträger für die Umwandlung bereit. Sollte die Prüfung ein anderes Ergebnis liefern, solltest du den Vorgang an dieser Stelle abbrechen. In diesem Fall bleibt dir tatsächlich nur eine Neueinrichtung des PCs.

Falls der Datenträger die Prüfung allerdings bestanden hat, kannst du die Konvertierung starten mit dem Befehl:

mbr2gpt/convert

Die Umwandlung sollte insgesamt nur einige Sekunden bis hin zu wenigen Minuten dauern. Wenn die Konvertierung geklappt hat, sollte die Zeile „Conversion completed sucessfully“ erscheinen. Es kann jedoch vorkommen, das zusätzlich der Eintrag „Failed to update ReAgent.xlm, please try to manually disable and enable WinRe“ erscheint. Dies bedeutet, dass die Wiederherstellungsumgebung nicht migriert werden konnte. Diesen Fehler kannst du jedoch später in Windows beheben.

Starte den PC nach dem erfolgreichen Abschließen der Konvertierung neu, achte jedoch darauf, nach dem Start direkt ins BIOS zu wechseln, indem du kurz nach dem Anschalten die dafür notwendige Taste gedrückt hältst. Je nach Mainboard-Hersteller ist das entweder F1, F2, F8, F12, ESC oder Entf. Informiere dich vorab im Handbuch oder auf der Website des Mainboard-Herstellers, mit welcher Taste du ins BIOS kommst.

Suche im BIOS anschließend unter „Boot“ oder „Boot Options“ nach einer Option, vom Legacy- in den UEFI-Modus zu wechseln. Der genaue Menüpfad kann sich hier je nach Mainboard unterscheiden. Auch hier solltest du am besten das Handbuch oder die Website des Herstellers zu Rate ziehen. Häufig wird der Legacy-Modus im BIOS auch als Kompatibilitätsmodus oder CSM-Kompatibilitätsmodus bezeichnet.

Sobald du die Umstellung im BIOS vorgenommen hast, kannst du die Einstellungen speichern, das BIOS beenden und den PC neu starten. Öffne nach dem Neustart in Windows erneut die „Systeminformationen“ und prüfe, ob bei BIOS nun der Eintrag „UEFI“ angezeigt wird.

Sollte beim Konvertieren von MBR zu GPT die Zeile „Failed to update ReAgent.xlm, please try to manually disable and enable WinRe“ auftauchen, so kannst du dies nachträglich in Windows beheben.
Suche im Suchfeld nach „Eingabeaufforderung“
Klicke die App mit der rechten Maustaste an und wähle „Als Administrator ausführen“
Führe in der Eingabeaufforderung nacheinander die folgenden Befehle aus:

reagentc/disable
reagentc/enable

Um Secure Boot zu aktivieren, musst du ins BIOS deines Computers wechseln. Starte den Rechner dafür neu und halte direkt nach dem Einschalten die Taste gedrückt, mit der du ins BIOS gelangst. Je nach Hersteller des Mainboards kann diese unterschiedlich sein. In der Regel nutzen Hersteller entweder F1, F2, F12, ESC oder Entf. Informiere dich im Handbuch oder auf der Website des Herstellers über die korrekte Taste für dein Mainboard.

Im BIOS musst du nun nach der Einstellung für Secure Boot oder sicheren Start Ausschau halten. Die befindet sich meist unter „Sicherheit“, „Boot“, „Security“, „Boot options“, „Secure“ oder „Authentication“. Der genaue Menüpfad kann von Mainboard zu Mainboard unterschiedlich sein, weshalb du im Zweifel auch hier das Handbuch zu Rate ziehen solltest.

Sobald du den Eintrag gefunden hast, stelle Secure Boot auf „aktiviert“ oder „enabled“ und speichere die Einstellung im BIOS. Verlasse das BIOS anschließend und starte den PC neu. Secure Boot sollte jetzt aktiviert sein.

1. Secure Boot ist eine Voraussetzung, um Windows 11 auf dem PC installieren zu können.
2. Das Feature wird von den meisten aktuellen Computern und Mainboards unterstützt, ist jedoch gerade bei Selbstbau-Systemen oft deaktiviert.
3. Aktivieren kannst du Secure Boot im BIOS deines Rechners.
4. Voraussetzung ist allerdings dass das BIOS im UEFI-Modus läuft und nicht im Legacy- oder CSM-Kompatibilitätsmodus.
5. Du kannst den BIOS-Modus nachträglich über die Eingabeaufforderung von Windows umstellen.