Stellen Sie sich vor, Sie bauen einen Jenga-Turm und müssen dann plötzlich alle untersten Blöcke entfernen. Vor diesem Dilemma stehen Rechenzentren in aller Welt aufgrund einer neuen Microsoft-Richtlinie.
Mit dem Windows-Update vom April 2026 entfernt Microsoft das Standardvertrauen für alle Kernel-Treiber, die mit dem veralteten, handsignierten Root-Programm signiert wurden. Dies gilt für Windows 11 24H2, 25H2, 26H1 und Windows Server 2025. Jede künftige Windows-Version wird nach demselben Schema vorgehen.
Wenn Sie Server mit Treibern betreiben, die das Windows Hardware Compatibility Program (WHCP) von Microsoft nicht durchlaufen haben, haben Sie ein Problem. Um die Dinge noch schwieriger zu machen, dies sind in der Regel ältere Server die die Grundlage für den Betrieb aller Rechenzentren bilden.
Was Microsoft tatsächlich geändert hat und warum es auf der Kernel-Ebene wichtig ist
Diese Änderung wurde erstmals im Jahr 2021 vorgenommen, als Microsoft das Cross-Signed-Programm abschaffte. Wenn es aktiv ist, können Hardware-Drittanbieter ihre Treiber authentifizieren, ohne die Zertifizierungspipeline von Microsoft zu durchlaufen.
Der Mechanismus ist folgender: Die Hersteller signierten ihre Treiber mit Zertifikaten von Drittanbieter-Zertifizierungsstellen, die dann von Microsoft gegensigniert wurden. Diese Gegensignaturen haben das Vertrauen in den Windows-Kernel geschaffen.
Die Zertifikate liefen aus, als die Funktion veraltet war, aber Windows vertraute den Treibern weiterhin. Diese Abwärtskompatibilitätsphilosophie stellte sicher, dass Microsoft Millionen von installierten Systemen nicht den Boden unter den Füßen wegziehen würde.
Zumindest bis zum Ende der tilgungsfreien Zeit. Das ist im April 2026. .
Kernel-Treiber sind keine gewöhnliche Anwendungssoftware. Sie laufen im Ring 0: der privilegiertesten Ausführungsebene des Betriebssystems.
Ein Kernel-Treiber hat nahezu die vollständige Kontrolle über Speicher, E/A und Hardware. Wenn auf der Kernel-Ebene etwas schief geht, wird nicht nur ein Fehlerprotokoll erstellt. Er bringt den Rechner zum Absturz, beschädigt Daten oder kompromittiert stillschweigend jede Sicherheitskontrolle, die im Stapel über ihm liegt.
Der Angriffsvektor wird Bring Your Own Vulnerable Driver (BYOVD) genannt. Die Funktionsweise ist einfach: Angreifer laden einen rechtmäßig signierten, aber anfälligen Treiber, der häufig von älterer Hardwareüberwachungssoftware, Festplattenverwaltungsprogrammen oder Spieleperipheriegeräten stammt. Dann nutzen sie ihn aus, um Endpunkt-Erkennungstools zu deaktivieren, ihre Berechtigungen zu erweitern und sich seitlich zu bewegen, bevor es jemand bemerkt. Da der Treiber signiert ist, wird er von den meisten Erlaubnislisten und Antivirenprogrammen als vertrauenswürdiger Code eingestuft.
Untersuchungen von Nextgen Software gehen davon aus, dass im Jahr 2024 etwa 25% der Ransomware-Angriffe BYOVD-Techniken enthalten, die speziell darauf abzielen, EDR-Systeme vor der Verschlüsselung zu deaktivieren. Das LOLDrivers-Projekt hat über 900 signierte 64-Bit-Treiber katalogisiert, von denen bereits bekannt ist, dass sie ausnutzbar sind. Ihr alter Speichercontroller-Treiber könnte auf dieser Liste stehen. Ihr BMC-Firmware-Treiber wurde mit ziemlicher Sicherheit noch nicht daraufhin überprüft.
Der Schritt von Microsoft beseitigt BYOVD nicht vollständig. Aber er schließt die offensichtlichste Angriffsfläche: die gesamte Klasse der handsignierten Treiber, die nie den WHCP-Validierungsanforderungen unterworfen waren.
Das Legacy-Hardware-Problem, über das niemand reden will
Die Server, die am ehesten über Nicht-WHCP-Treiber verfügen, sind nicht diejenigen, die Sie 2024 aktualisiert haben. Es sind diejenigen, die Sie vergessen haben. Es könnte sein
- Integrationen in die industrielle Steuerung
- Speicher-Controller auf veralteter Hardware mit spezieller Firmware
- Hardware-Sicherheitsmodule mit herstellereigenen Kernel-Treibern.
- Netzwerkschnittstellentreiber für 10GbE-Karten, für die es seit 2019 keine neue Firmware mehr gibt
- Hypervisor-Verwaltungsagenten, die einmal installiert und nie wieder angerührt wurden.
Keines dieser Güter taucht in einem Standardinventar als ‘Sicherheitsrisiko’ auf. Sie tauchen als ‘funktionierende Infrastruktur’ auf. Zumindest bis zum Stichtag von Microsoft.
Microsoft führt die Richtlinie zunächst im Testmodus ein. Der Windows-Kernel überwacht und prüft die Treiberladungen mindestens 100 Stunden lang bei mindestens drei Systemneustarts, bevor die Durchsetzung aktiviert wird. Wenn alle während dieses Zeitraums geladenen Treiber die neue Vertrauensrichtlinie erfüllen, wird die Durchsetzung aktiviert.
Wenn ein handsignierter Treiber die Prüfung nicht besteht, bleibt das System im Evaluierungsmodus und setzt den Zähler zurück. Das ist ein absichtliches Sicherheitsventil, aber es bedeutet auch, dass Organisationen, die problematische alte Treiber einsetzen, in einem permanenten halb erzwungenen Zustand bleiben könnten. Das ist nicht dasselbe wie geschützt zu sein.
| Risikofaktor Fahrer | Was dies für Ihre Infrastruktur bedeutet |
| Kreuzsigniertes Zertifikat | Treiber wurde nie WHCP-validiert; Vertrauen wird in der Aktualisierung vom April 2026 widerrufen |
| Datum der Unterzeichnung vor 2015 | Das Zertifikat ist älter als die modernen WHCP-Anforderungen; die Wahrscheinlichkeit, dass kein zertifizierter Ersatz gefunden wird, ist höher. |
| Anbieter nicht mehr aktiv | Es wird kein WHCP-Ersatz ausgestellt; die Hardware kann nach dem Update dauerhaft beeinträchtigt sein. |
| Hardware >5 Jahre alt | Die Treiber wurden wahrscheinlich nicht erneut beim WHCP eingereicht; überprüfen Sie das LOLDrivers-Projekt auf bekannte CVEs |
| Kein Treiber-Update seit 2021 | Der Anbieter hat die Wartung eingestellt, bevor WHCP zum erzwungenen Pfad wurde; die Verfügbarkeit von Ersatz ist unbekannt. |
Die am meisten gefährdeten Hardware-Kategorien sind:
- Server mit speziellen Speicher-Controllern
- Systeme mit proprietärem BMC oder Out-of-Band-Verwaltungstreibern
- Alle Geräte von Anbietern, die ihr Geschäft aufgegeben oder ihre Produktlinien eingestellt haben, bevor WHCP zur Pflicht wurde.
Wenn der Aktualisierungszyklus Ihrer Infrastruktur länger als fünf Jahre dauert, was höchstwahrscheinlich der Fall ist, haben Sie mit ziemlicher Sicherheit ein betroffenes System. Sie müssen feststellen, wie viele Systeme betroffen sind. Entweder Sie finden es jetzt heraus oder Sie werden es auf die harte Tour durch einen längeren Ausfall lernen.
Was das WHCP tatsächlich zertifiziert und was nicht
Um einen Treiber im Rahmen des Windows-Hardwarekompatibilitätsprogramms signieren zu lassen, muss ein Hersteller den Treiber über das Hardware Dev Center-Portal von Microsoft einreichen. Anschließend muss er Kompatibilitäts- und Zuverlässigkeitstests bestehen und die aktuellen Anforderungen an die Code-Integrität erfüllen. Microsoft kontrolliert die Signierschlüssel. Der Anbieter hat nie direkt mit dem privaten Schlüssel zu tun.
Eines der hartnäckigen Probleme mit übergreifend signierten Treibern war die Schlüsselverwaltung: Die Anbieter besaßen ihre eigenen privaten Schlüssel, und gestohlene Schlüssel führten dazu, dass legitime Zertifikate zum Signieren bösartiger Treiber verwendet wurden. Das BlackLotus-Bootkit aus dem Jahr 2023 nutzte ein altes, nicht signiertes Zertifikat, um auf Unternehmenssystemen auf der Kernel-Ebene zu bestehen. Das Sicherheitsteam von Microsoft dokumentierte zwischen 2020 und 2025 47 separate Angriffe, bei denen über Kreuz signierte Zertifikate genutzt wurden, wobei in jedem Fall nachträgliche Patches und Zertifikatswiderrufe erforderlich waren.
WHCP beseitigt diese Angriffsfläche, indem es die Schlüsselverwahrung zentralisiert. Außerdem werden die Treiber durch eine Validierungspipeline gezwungen, die die aktuellen Windows-Anforderungen prüft und nicht die, die bestanden, als der Treiber zum ersten Mal geschrieben wurde.
Was WHCP nicht zertifiziert, ist die zugrunde liegende Hardware. Ein WHCP-signierter Treiber für einen fünf Jahre alten Server bedeutet, dass der Treiber die aktuellen Zertifizierungsanforderungen von Microsoft erfüllt. Das heißt aber nicht, dass der Server aktuell, sicher oder für Ihre Infrastruktur geeignet ist.
Der Treiber ist nur die Softwareschicht. Die darunter liegende Hardware hat ihren eigenen Lebenszyklus, ihre eigenen Schwachstellen in der Firmware und ihren eigenen Zeitplan für das Ende des Supports.
Einige Organisationen behandeln WHCP Compliance als ein Kontrollkästchen, mit dem alte Hardware auf unbestimmte Zeit in Betrieb bleibt. In Wirklichkeit handelt es sich nur um eine Schicht des Sicherheitsstapels. Die Hardware, die unter diesem Treiber läuft, muss immer noch gepatcht werden, sammelt bekannte Sicherheitslücken (CVEs) an und führt Firmware aus, die seit dem Wechsel des Entwicklerteams des Herstellers nicht mehr aktualisiert worden ist.
Die Refresh-Entscheidung: Wie die Mathematik tatsächlich aussieht
Veraltete Hardware birgt nicht nur ein Sicherheitsrisiko. Sie verursacht auch Kosten, die die meisten Finanzteams nicht richtig einkalkulieren.
Erweiterte Anbieter-Supportverträge für Server, die ihren Standard-Support-Lebenszyklus überschritten haben, kosten in der Regel jährlich 15-20% der ursprünglichen Hardwarekosten. Hinzu kommen die Mehrkosten für Strom und Kühlung, die ältere, weniger effiziente Hardware im Vergleich zu Geräten der neuesten Generation verursacht. Ein Dell PowerEdge R730 400 W im Vergleich zu einem R760 der aktuellen Generation, der dieselbe Arbeitslast mit 280 W ausführt, ist ein echter Posten auf der Stromrechnung. Das gilt für alle Server der gleichen Gruppe.
Und dann sind da noch die Ausfallkosten. Ein einziger ungeplanter Ausfall, der durch eine Treiberinkompatibilität verursacht wird, kostet mehr an Entwicklungszeit, Geschäftsunterbrechung und beschleunigter Hardwarebeschaffung als die meisten Unternehmen für eine geplante Aktualisierung einplanen. Der Unterschied liegt darin, wer das Timing kontrolliert.
Die Server, die am stärksten von Microsofts Kernel-Trust-Änderung im April 2026 betroffen sind, sind auch die Server, bei denen der optimale Aktualisierungszeitpunkt in jeder anderen Hinsicht am ehesten überschritten ist.
Hardware, die seit fünf oder mehr Jahren nicht mehr erneuert wurde, wurde wahrscheinlich gekauft, bevor WHCP zum durchgesetzten Standard wurde, läuft mit Treibern, die nicht mehr aktualisiert wurden, seit das Support-Fenster des Anbieters geschlossen wurde, und ist in mehrfacher Hinsicht technisch verschuldet.
Die Schlüsselfrage lautet: Ist es machbar, diese Hardware am Laufen zu halten, und was können Sie jetzt tun, da der April 2026 gekommen ist?
Was tun mit dem Microsoft April Update
Der Evaluierungsmodus von Microsoft bietet Ihnen ein Fenster. Nutzen Sie es unbedingt.
Der erste Schritt ist eine Treiberinventur. Vergessen Sie Software und Netzwerke: Sie müssen Ihre Kernel-Treiber in der Produktion bewerten. Jeder Server in Ihrem Fuhrpark muss auf Treiber überprüft werden, die sich auf quersignierte Zertifikate zurückführen lassen.
Microsofts integrierte Tools können dies aufdecken: Die Ereignisprotokolle des Windows-Kernels zeigen betroffene Treiber im Evaluierungsmodus an. Sie können auch Sigcheck von Sysinternals gegen Ihr Treiberverzeichnis laufen lassen, um Zertifikatsketteninformationen zu identifizieren, bevor das Update Ihre Systeme erreicht.
Vergleichen Sie Ihre Treiberliste mit zwei Quellen: dem LOLDrivers-Projekt (loldrivers.io), das eine von der Community kuratierte Datenbank bekannter anfälliger Treiber unterhält, und Microsofts eigener Blockliste anfälliger Treiber, die über Windows Defender aktualisiert wird. Wenn ein Treiber auf Ihrem System in einer der beiden Listen aufgeführt ist, stellt er derzeit eine aktive Angriffsfläche dar. Das ist ein anderes Problem als das des April-Updates.
Für Fahrer, die die WHCP-Prüfung nicht bestehen und für die kein zertifizierter Ersatz verfügbar ist, gibt es drei Möglichkeiten:
- Implementieren Sie Application Control for Business Policies mit UEFI Secure Boot Autorität, um den spezifischen Treiber als explizite Ausnahme zu erlauben
- Isolieren Sie die betroffene Hardware von Netzwerksegmenten, in denen eine seitliche Bewegung die Folge wäre
- Außerbetriebnahme der Hardware und den Restwert des Vermögenswerts wiederherstellen, bevor er weiter abgeschrieben wird.
Der Ausnahmepfad ist keine dauerhafte Lösung. Microsoft hat sich klar ausgedrückt: Jede zukünftige Version von Windows wird das WHCP-First-Vertrauensmodell durchsetzen. Die heute existierenden Ausnahmen in der Erlaubnisliste sind eine Kompatibilitätsbrücke und keine langfristig unterstützte Lösung. Unternehmen, die Legacy-Hardware durch manuelle Ausnahmen am Laufen halten, verwalten einen Countdown, anstatt ein Problem zu lösen.
Die Stilllegung ist der einzige Weg, der das Risiko dauerhaft beseitigt. Je nach Alter und Konfiguration der Hardware bietet die Stilllegung einen direkten Weg zu Einnahmen anstelle von Kosten.
Schlussfolgerung
Das Microsoft-Update vom April 2026 hat kein neues Problem geschaffen. Es setzte eine Frist für ein bereits bestehendes Problem. Wenn Sie in Ihrer Infrastruktur Legacy-Server mit Nicht-WHCP-Treibern haben, läuft diese Frist jetzt ab.
Diese Server mussten schließlich aus der Produktion genommen werden, so dass diese Frist auch als Lektion dienen kann. Für alles, was in Ihr Rechenzentrum kommt, muss ein Zeitplan für die Ausmusterung festgelegt werden. Hardware, die man einrichtet und dann vergisst, gehört der Vergangenheit an.
German 
English 
Spanish 
French 
Swedish 
Dutch