Erfahren Sie, wie Sie die Anmeldesicherheit (ESS) in Windows 11 aktivieren und Windows Hello mit Fingerabdruckscanner oder kompatibler Kamera einrichten.
Die erweiterte Anmeldesicherheit (Enhanced Sign-in Security, ESS) in Windows 11 schützt Ihre biometrischen Daten durch spezialisierte Hardware- und Softwarekomponenten. Wer ESS aktivieren oder deaktivieren möchte, findet den entsprechenden Schalter unter Einstellungen > Konten > Anmeldeoptionen.
Dieser Artikel erklärt Schritt für Schritt, was ESS ist, welche Voraussetzungen Ihr Gerät erfüllen muss und wie Sie die Funktion zuverlässig einrichten.
Was ist Enhanced Sign-in Security (ESS) in Windows 11?
Enhanced Sign-in Security, auf Deutsch erweiterte Anmeldesicherheit, ist eine Sicherheitsfunktion von Windows Hello, die biometrische Anmeldedaten auf einem deutlich höheren Schutzniveau absichert als herkömmliche Methoden. Dabei nutzt ESS zwei zentrale Technologien gleichzeitig: Virtualization Based Security (VBS) und Trusted Platform Module 2.0 (TPM 2.0).
Zusammen isolieren und schützen diese Komponenten die Authentifizierungsdaten des Benutzers und sichern außerdem den Datenkommunikationskanal zwischen dem biometrischen Sensor und dem Betriebssystem.
Konkret bedeutet das: Wenn ESS aktiv ist, läuft der Gesichtserkennungsalgorithmus von Windows Hello in einer von Windows isolierten Umgebung, die durch den Hypervisor des Prozessors geschützt wird. Der Hypervisor definiert dabei spezielle Speicherbereiche, auf die ausschließlich Prozesse zugreifen dürfen, die innerhalb von VBS ausgeführt werden.
Zudem ermöglicht er es der Gesichtskamera, diese Speicherbereiche direkt zu beschreiben und damit einen sicheren, isolierten Übertragungsweg für Gesichtsdaten zu schaffen – vom Sensor bis zum Erkennungsalgorithmus.
Deshalb gilt ESS als einer der stärksten verfügbaren Schutzmechanismen gegen Angriffe auf die biometrische Authentifizierung. Angreifer, die versuchen, die Gesichtserkennung oder den Fingerabdrucksensor zu kompromittieren, stoßen auf mehrfach abgesicherte Hardware- und Softwaregrenzen, die ohne physische Manipulation des Chips kaum zu überwinden sind.
ESS im Vergleich zur Standard-Windows-Hello-Anmeldung
Viele Nutzer verwechseln ESS mit der regulären Windows-Hello-Anmeldung. Jedoch gibt es einen wesentlichen Unterschied: Ohne ESS werden biometrische Daten zwar verschlüsselt gespeichert, die Verarbeitung erfolgt jedoch innerhalb des normalen Windows-Betriebssystems. Mit ESS hingegen findet die gesamte Verarbeitung in einer hardware-gesicherten, vom Rest des Systems isolierten Umgebung statt. Außerdem ist ESS vollständig passwortlos – Nutzer können sich ausschließlich über Windows Hello authentifizieren, nicht über das Kennwort des Microsoft-Kontos.
Systemanforderungen: Unterstützt Ihr Gerät ESS?
Bevor Sie ESS aktivieren, sollten Sie prüfen, ob Ihr System alle Voraussetzungen erfüllt. Denn ESS erfordert eine spezifische Kombination aus Hardware und Firmware, die nicht jedes Gerät mitbringt.
Pflichtanforderungen für ESS
Folgende Komponenten sind zwingend erforderlich:
- Trusted Platform Module 2.0 (TPM 2.0): Jedes Windows-11-Gerät sollte diesen Chip besitzen, da er Mindestvoraussetzung für die Installation von Windows 11 ist. Dennoch ist er für ESS besonders zentral.
- Virtualization Based Security (VBS): VBS muss aktiv sein. Zudem muss Device Guard auf dem Gerät aktiviert sein.
- SDEV ACPI-Tabelle: Die Geräte-Firmware muss eine sogenannte Secure Devices (SDEV) ACPI-Tabelle enthalten, die vom Gerätehersteller spezifisch für die verbaute Biometriehardware konfiguriert wurde. Diese Anforderung bedeutet in der Praxis, dass ESS ab Werk durch den Gerätehersteller unterstützt werden muss.
- ESS-zertifizierter biometrischer Sensor: Die verwendete Kamera oder der Fingerabdrucksensor muss die Fähigkeit „CM_DEVCAP_SECUREDEVICE“ besitzen. Sensoren ohne diese Zertifizierung sind nicht ESS-kompatibel.
BIOS/UEFI-Einstellungen für ESS
Zusätzlich muss das BIOS ESS unterstützen. Bei manchen Herstellern ist eine spezifische BIOS-Option erforderlich. Bei Lenovo-Geräten lautet diese Option beispielsweise „Enhanced Windows Biometric Security„. Deshalb empfiehlt es sich, vor der Aktivierung von ESS in das UEFI Ihres Geräts zu wechseln und zu prüfen, ob eine entsprechende Option vorhanden und aktiviert ist.
Windows-11-Version prüfen
Die Benutzeroberfläche für ESS unterscheidet sich je nach Windows-Version. Außerdem bringt jede Version leicht unterschiedliche Funktionen:
- Windows 11 24H2 und neuer: Direkter ESS-Schalter unter „Zusätzliche Einstellungen > Erweiterte Anmeldesicherheit“
- Windows 11 23H2: Indirekter Schalter „Mit einer externen Kamera oder einem Fingerabdruckleser anmelden“ – hier bedeutet „Aus“ aktiviertes ESS und „Ein“ deaktiviertes ESS
- Copilot+ PCs: ESS ist standardmäßig aktiviert und erfordert deshalb keine manuelle Einrichtung
Das Februar-2026-Update: ESS jetzt auch für externe Geräte
Ein wichtiger Meilenstein kam im Februar 2026: Mit dem kumulativen Update KB5077181 (OS-Build 26100.7840 für 24H2 und 26200.7840 für 25H2) erweiterte Microsoft ESS auf externe Fingerabdrucksensoren. Bislang funktionierte ESS ausschließlich mit integrierten biometrischen Sensoren. Durch dieses Update können nun auch kompatible externe Fingerabdruckleser in das ESS-Ökosystem eingebunden werden.
Damit ergibt sich eine wichtige Neuerung für Desktop-PCs, die bisher keine eingebauten biometrischen Sensoren besitzen: Sofern ein ESS-zertifizierter externer Fingerabdrucksensor angeschlossen wird, kann ESS nun auch auf solchen Geräten genutzt werden. Das Rollout erfolgt jedoch gestaffelt über Microsofts Controlled Feature Rollout (CFR)-System. Deshalb kann es sein, dass das Feature zunächst nicht für alle Nutzer sichtbar ist, auch wenn das Update bereits installiert ist.
Wichtig: Nicht jeder externe USB-Fingerabdrucksensor ist automatisch ESS-kompatibel. Der Sensor muss spezifische Firmware- und Treiberanforderungen des Herstellers erfüllen und das ESS-Zertifizierungsverfahren von Microsoft durchlaufen haben.
ESS aktivieren unter Windows 11 24H2 und neuer
Wenn Sie Windows 11 in der Version 24H2 oder höher verwenden, gehen Sie folgendermaßen vor:
Schritt 1: Öffnen Sie die Einstellungen mit der Tastenkombination Windows-Taste + I.
Schritt 2: Wählen Sie in der linken Navigationsleiste Konten aus.
Schritt 3: Klicken Sie rechts auf Anmeldeoptionen.
Schritt 4: Scrollen Sie nach unten zum Abschnitt Zusätzliche Einstellungen.
Schritt 5: Suchen Sie nach dem Eintrag „Erweiterte Anmeldesicherheit“. Falls Ihr Gerät die Voraussetzungen erfüllt, sehen Sie hier einen Umschalter.
Schritt 6: Setzen Sie den Schalter auf Ein, um ESS zu aktivieren. Umgekehrt deaktivieren Sie ESS, indem Sie den Schalter auf Aus stellen.
Schritt 7: Klicken Sie anschließend auf „Jetzt neu starten“, um die Änderungen sofort zu übernehmen.
Hinweis: Nach dem Neustart werden Sie aufgefordert, sich zunächst mit Ihrem Passwort oder Ihrer PIN anzumelden. Danach müssen Sie Gesichtserkennung und Fingerabdruck neu einrichten, da ESS eine erneute Registrierung der biometrischen Daten in der gesicherten Umgebung erfordert.
Falls Sie keinen Schalter sehen, aber der Eintrag „Erweiterte Anmeldesicherheit“ mit dem Status „Einrichtung ausstehend“ angezeigt wird, bestimmt der erste registrierte Sensor den ESS-Zustand: Registrieren Sie zuerst einen ESS-fähigen Sensor, wird ESS aktiv. Registrieren Sie zuerst einen nicht-ESS-kompatiblen Sensor, bleibt ESS deaktiviert.
ESS aktivieren unter Windows 11 23H2
Unter Windows 11 23H2 ist die Steuerung von ESS invers zur neueren Version. Die Logik des Schalters ist umgekehrt, was zunächst verwirrend erscheint:
Schritt 1: Öffnen Sie Einstellungen > Konten > Anmeldeoptionen.
Schritt 2: Scrollen Sie zu Zusätzliche Einstellungen.
Schritt 3: Suchen Sie nach der Option „Mit einer externen Kamera oder einem Fingerabdruckleser anmelden“.
Schritt 4: Beachten Sie die umgekehrte Logik:
- Schalter auf „Aus“ = ESS ist aktiviert (externe Peripheriegeräte können nicht zum Anmelden verwendet werden)
- Schalter auf „Ein“ = ESS ist deaktiviert (Windows-Hello-kompatible externe Peripheriegeräte können zum Anmelden verwendet werden)
Schritt 5: Stellen Sie den Schalter entsprechend Ihrem Ziel ein und starten Sie den Computer neu.
ESS per Registrierungs-Editor konfigurieren
Erfahrene Nutzer können ESS zusätzlich über den Registrierungs-Editor steuern. Diese Methode eignet sich besonders dann, wenn der Einstellungsschalter nicht sichtbar ist oder wenn Sie die Konfiguration über Skripte automatisieren möchten.
Schritt 1: Öffnen Sie den Ausführen-Dialog mit Windows-Taste + R, geben Sie regedit ein und bestätigen Sie mit Enter.
Schritt 2: Navigieren Sie zum folgenden Pfad:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinBio
Schritt 3: Suchen Sie im rechten Bereich nach dem DWORD-Wert „SupportPeripheralsWithEnhancedSignInSecurity“.
Schritt 4: Doppelklicken Sie auf den Wert und setzen Sie ihn:
- Wert 0 = ESS ist aktiviert
- Wert 1 = ESS ist deaktiviert
Schritt 5: Falls der Wert nicht vorhanden ist, klicken Sie mit der rechten Maustaste in den rechten Bereich, wählen Sie Neu > DWORD-Wert (32-Bit), benennen Sie ihn „SupportPeripheralsWithEnhancedSignInSecurity“ und setzen Sie den Wert entsprechend.
Schritt 6: Schließen Sie den Registrierungs-Editor und starten Sie den Computer neu.
ESS über Microsoft Intune in Unternehmensumgebungen aktivieren
In professionellen Umgebungen wird ESS häufig über Microsoft Intune zentral ausgerollt. Dabei empfiehlt es sich, eine neue Richtlinie im Settings-Katalog zu erstellen oder eine vorhandene zu bearbeiten.
Die empfohlene Vorgehensweise für den Unternehmenseinsatz:
Schritt 1: Erstellen Sie im Intune Admin Center eine neue Settings Catalog Policy für Windows 10/11.
Schritt 2: Suchen Sie nach der Einstellung „Enhanced Sign-in Security“ und aktivieren Sie sie für kompatible Geräte.
Schritt 3: Weisen Sie die Richtlinie einer Gerätegruppe zu, die nur ESS-kompatible Hardware enthält. Für Windows 365 Cloud-PCs sollte ein entsprechender Filter gesetzt werden, da diese Plattform ESS nicht unterstützt.
Schritt 4: Starten Sie vor dem produktiven Rollout einen Pilottest mit einer kleinen Geräteanzahl. Es gab in der Vergangenheit Berichte über Bluescreens (BSODs) bei Fehlkonfigurationen auf bestimmten Geräten.
Schritt 5: Verwenden Sie nach dem Rollout ein Erkennungsskript, um zu überprüfen, ob ESS erfolgreich aktiviert wurde. Microsofts Dokumentation enthält außerdem manuelle Prüfschritte unter Systeminformationen > Systemzusammenfassung > Virtualisierungsbasierte Sicherheit.
ESS und externe Peripheriegeräte: Was Sie wissen müssen
Ein häufiges Missverständnis rund um ESS betrifft externe Kameras und Fingerabdruckleser. Deshalb ist dieser Punkt besonders wichtig:
Wenn ESS aktiviert ist, können nicht-ESS-kompatible externe Peripheriegeräte nicht zur Windows-Anmeldung verwendet werden. Das betrifft beispielsweise eine externe USB-Webcam, die zwar IR-Unterstützung für Gesichtserkennung hat, aber das ESS-Zertifizierungsverfahren nicht durchlaufen hat.
Allerdings gilt diese Einschränkung nur für die Anmeldung. Externe Kameras und Sensoren funktionieren weiterhin uneingeschränkt in Anwendungen wie Microsoft Teams, Zoom oder anderen Videokommunikationstools. Diese Apps verwenden keine biometrische Authentifizierung über Windows Hello und sind deshalb von ESS nicht betroffen.
Ab Windows 11 Build 26100.7705 (24H2) und Build 26200.7705 (25H2), also mit dem Februar-2026-Update, unterstützt ESS zudem periphere Fingerabdrucksensoren offiziell. Um einen solchen ESS-kompatiblen externen Fingerabdrucksensor einzurichten, gehen Sie so vor:
- Schließen Sie den unterstützten ESS-Fingerabdruckleser an Ihren PC an.
- Befolgen Sie die Installationsanweisungen des Herstellers.
- Öffnen Sie Einstellungen > Konten > Anmeldeoptionen.
- Scrollen Sie zu „Zusätzliche Einstellungen“ und suchen Sie den Schalter „Erweiterte Anmeldesicherheit“.
- Stellen Sie sicher, dass der Status „ESS ausstehend eingerichtet“ angezeigt wird.
- Folgen Sie dem Einrichtungsassistenten zur Registrierung des Fingerabdrucks.
ESS und Wake-on-Touch: Komfort und Sicherheit kombiniert
Seit Windows 11 Version 22H2 mit KB5027303 steht für ESS-Geräte die Funktion Wake-on-Touch (WoT) zur Verfügung. Diese Funktion ermöglicht es, dass der Fingerabdrucksensor das Gerät aus dem Standby weckt und den Nutzer gleichzeitig anmeldet – ohne dass der Sensor zweimal berührt werden muss.
Auf Geräten, die Modern Standby unterstützen, ist Wake-on-Touch für ESS-Sensoren standardmäßig aktiviert. Deshalb ist dies ein nützlicher Komfortvorteil gegenüber der regulären Windows-Hello-Anmeldung ohne ESS.
ESS und Passkeys: Starkes Fundament für passwortlose Zukunft
Ein weiterer Vorteil, der oft übersehen wird: ESS bildet eine hervorragende Grundlage für die Nutzung von FIDO2-Passkeys in Browsern und Anwendungen. Wenn Windows Hello biometrische Anmeldedaten in einer hardware-gesicherten Umgebung schützt, kann das Betriebssystem diese Schlüssel auch für Passkey-Flows in unterstützten Browsern wie Microsoft Edge und Google Chrome sowie in kompatiblen Apps verwenden.
Deshalb profitieren Nutzer mit ESS nicht nur von einer sichereren lokalen Anmeldung, sondern auch von einer stärker abgesicherten Basis für alle passwortlosen Anmeldeverfahren im Web und in Unternehmensanwendungen.
Häufige Probleme und empfohlene Vorgehensweisen bei ESS
Biometrische Anmeldung funktioniert nach ESS-Aktivierung nicht
Wenn nach der ESS-Aktivierung die biometrische Anmeldung nicht funktioniert, überprüfen Sie zunächst zwei Dinge:
- Läuft VBS? Öffnen Sie Systeminformationen (msinfo32) und prüfen Sie unter „Systemzusammenfassung“ den Eintrag „Virtualisierungsbasierte Sicherheit“. Dieser muss „Wird ausgeführt“ anzeigen.
- Wurde die sichere Verbindung hergestellt? Überprüfen Sie in der Gerätesicherheit unter Windows-Sicherheit, ob „Erweiterte Anmeldesicherheit“ als aktiv gemeldet wird.
Außerdem ist zu beachten: Nach der ESS-Aktivierung müssen Gesichtserkennung und Fingerabdruck zwingend neu eingerichtet werden. Deshalb ist ein erster Anmeldeversuch per Passwort oder PIN nötig, bevor die biometrischen Daten neu registriert werden können.
PIN-Reset nach ESS-Aktivierung
Falls die PIN nicht mehr funktioniert, lässt sich diese über den Sperrbildschirm unter Anmeldeoptionen zurücksetzen. Entfernen Sie die PIN und fügen Sie sie anschließend neu hinzu. Dadurch wird der PIN-Reset-Assistent gestartet, der die Funktion wiederherstellt.
Kein ESS-Schalter sichtbar
Falls unter „Zusätzliche Einstellungen“ kein ESS-Schalter angezeigt wird, liegt das in den meisten Fällen an einer der folgenden Ursachen:
- Das Gerät erfüllt die Hardwareanforderungen nicht (kein ESS-zertifizierter Sensor verbaut).
- Die entsprechende BIOS-Option ist nicht aktiviert (z. B. bei Lenovo: „Enhanced Windows Biometric Security“).
- Windows 11 läuft auf nicht unterstützter Hardware (inoffizielle Installation ohne TPM 2.0).
Zudem unterstützt Windows 365 ESS grundsätzlich nicht, unabhängig von der installierten Windows-Version.
Häufige Fragen zur erweiterten Anmeldesicherheit
Wo finde ich den ESS-Schalter in Windows 11?
Den ESS-Schalter finden Sie unter Einstellungen > Konten > Anmeldeoptionen > Zusätzliche Einstellungen. Auf Windows 11 24H2 und neuer lautet die Option „Erweiterte Anmeldesicherheit“. Auf Windows 11 23H2 heißt die Option „Mit einer externen Kamera oder einem Fingerabdruckleser anmelden“ – wobei hier die Logik invertiert ist.
Was passiert mit meinen biometrischen Daten nach dem Aktivieren von ESS?
Nach der ESS-Aktivierung werden alle bisher gespeicherten biometrischen Daten gelöscht. Deshalb müssen Sie Gesichtserkennung und Fingerabdruck nach dem Neustart neu einrichten. Die neuen biometrischen Daten werden dann in der hardware-gesicherten Umgebung von ESS gespeichert und verarbeitet.
Kann ich ESS auf jedem Windows-11-PC aktivieren?
Nein, ESS erfordert spezifische Hardware. Benötigt werden ein ESS-zertifizierter biometrischer Sensor, TPM 2.0, VBS sowie eine entsprechend konfigurierte Firmware. Zudem muss das BIOS die Funktion unterstützen. Geräte, auf denen Windows 11 inoffiziell ohne TPM 2.0 läuft, sind deshalb nicht ESS-kompatibel.
Ist ESS auf Copilot+ PCs automatisch aktiv?
Ja, Copilot+ PCs haben ESS standardmäßig aktiviert. Das liegt daran, dass Microsoft für diese Geräteklasse besonders strenge Hardwareanforderungen definiert hat, die ESS vollständig unterstützen. Eine manuelle Aktivierung ist deshalb auf Copilot+ PCs in der Regel nicht notwendig.
Kann ich externe Webcams nach ESS-Aktivierung noch in Teams nutzen?
Ja, externe Kameras und Fingerabdrucksensoren funktionieren weiterhin in Anwendungen wie Microsoft Teams oder Zoom. Die ESS-Einschränkung betrifft ausschließlich die Verwendung dieser Geräte zur Windows-Anmeldung. Für Videokonferenzen und andere Anwendungen bleibt die externe Kamera deshalb voll nutzbar.
Unterstützt ESS seit 2026 auch externe Fingerabdruckleser?
Ja, seit dem Februar-2026-Update KB5077181 unterstützt ESS in Windows 11 24H2 und 25H2 auch kompatible externe Fingerabdrucksensoren. Allerdings muss der Sensor ESS-zertifiziert sein – nicht jeder USB-Fingerabdrucksensor ist automatisch kompatibel. Das Rollout erfolgt außerdem gestaffelt über Microsofts CFR-System.
Wie kann ich prüfen, ob ESS auf meinem Gerät aktiv ist?
Öffnen Sie Windows-Sicherheit und navigieren Sie zu Gerätesicherheit. Dort zeigt der Abschnitt „Erweiterte Anmeldesicherheit“ den aktuellen Status an. Zusätzlich können Sie unter Systeminformationen > Systemzusammenfassung prüfen, ob VBS aktiv ist, was eine Voraussetzung für ESS ist.
Kann ich ESS in einer Unternehmensumgebung per Gruppenrichtlinie steuern?
Ja, in Unternehmensumgebungen empfiehlt sich die Steuerung über Microsoft Intune mit einer Settings-Catalog-Richtlinie. Eine klassische Gruppenrichtlinie (GPO) ist ebenfalls möglich. Zudem empfiehlt es sich, vor dem breiten Rollout ein Erkennungsskript zu verwenden, um die ESS-Kompatibilität der Geräte automatisch zu prüfen.
Was ist der Unterschied zwischen ESS und normalem Windows Hello?
Bei normalem Windows Hello werden biometrische Daten zwar verschlüsselt gespeichert, die Verarbeitung findet jedoch innerhalb des regulären Windows-Betriebssystems statt. Mit ESS hingegen wird die gesamte Authentifizierung in einer vom restlichen System isolierten, hardware-gesicherten Umgebung ausgeführt. Deshalb bietet ESS einen deutlich stärkeren Schutz gegen Angriffe auf die Anmeldedaten.
Warum erscheint nach der ESS-Aktivierung kein Fingerabdruck-Schalter mehr?
Wenn ein Gerät nur einen ESS-fähigen Sensor besitzt, werden nach der ESS-Aktivierung alle nicht-ESS-Sensoren blockiert. Deshalb kann es sein, dass ein zuvor funktionierender externer Fingerabdrucksensor nach der Aktivierung nicht mehr zur Anmeldung verfügbar ist. In diesem Fall müssen Sie ESS deaktivieren oder einen ESS-zertifizierten externen Sensor verwenden.
Fazit
ESS in Windows 11 bietet einen der stärksten verfügbaren Schutzmechanismen für die biometrische Anmeldung. Außerdem erweiterte Microsoft den Funktionsumfang im Februar 2026 auf externe Fingerabdrucksensoren, was ESS auch für Desktop-PCs relevant macht.
Deshalb lohnt sich die Aktivierung vor allem auf Geräten mit kompatiblem Sensor und TPM 2.0. Wer die Voraussetzungen prüft und die Schritte dieser Anleitung befolgt, richtet ESS sicher und zuverlässig ein.