Treibersignaturprüfung in Windows 11 und 10 aktivieren oder deaktivieren: So schützen Sie Ihr System oder installieren Sie unsignierte Treiber für Hardware.
Die Treibersignaturprüfung schützt Windows 10 und Windows 11 vor unsicherer oder manipulierter Treibersoftware. Jedoch benötigen manche Nutzer unsignierte Treiber für ältere Hardware oder Spezialhardware.
Dieser Artikel erklärt Ihnen Schritt für Schritt, wie Sie die Treibersignaturprüfung vorübergehend oder dauerhaft deaktivieren, wie Sie sie wieder aktivieren und welche Risiken dabei entstehen.
Was ist die Treibersignaturprüfung und warum existiert sie?
Die Treibersignierung ist der Prozess, bei dem eine digitale Signatur mit einem Treiberpaket verknüpft wird. Windows-Geräteinstallationen verwenden digitale Signaturen, um die Integrität der Treiberpakete zu überprüfen und die Identität des Anbieters zu verifizieren, der die Treiberpakete bereitstellt.
Vereinfacht gesagt: Jeder Treiber, der auf Ihrem Windows-System laden darf, muss von Microsoft oder einer anerkannten Zertifizierungsstelle digital signiert sein. In Windows 10 und 11 ist die Standardrichtlinie, dass nur Treiber mit anerkannter digitaler Signatur von Microsoft oder einer vertrauenswürdigen Zertifizierungsstelle installiert werden. Dies schützt vor einem Großteil der als Treiber getarnten Malware, erschwert aber die Verwendung älterer Hardware oder Treiber von kleinen Entwicklern, die ihre Treiber nicht ordnungsgemäß signiert haben.
Die Treibersignaturprüfung basiert auf digitalen Zertifikaten, die die Echtheit und Unverändertheit eines Treibers sicherstellen. Seit Windows Vista ist sie Pflicht und wurde in Windows 10 und 11 weiter verschärft, um Manipulationen und unsichere Treiber zu verhindern.
Außerdem spielen Kernel-Treiber eine besondere Rolle: Da sie tief im Betriebssystem verankert sind, kann ein schadhafter Treiber das gesamte System gefährden. Deshalb ist die Signaturprüfung besonders in Windows 11 – mit aktiviertem Secure Boot und UEFI – besonders robust umgesetzt.
Wann ist das Deaktivieren sinnvoll?
Trotz der wichtigen Schutzfunktion gibt es legitime Anwendungsfälle, bei denen Sie die Treibersignaturprüfung deaktivieren müssen. Die Deaktivierung der Treibersignatur-Erzwingung ist zwar nicht immer wünschenswert, manchmal aber notwendig – beispielsweise wenn Sie alte Treiber oder bestimmte Hardware installieren müssen.
Konkrete Szenarien sind zum Beispiel:
- Ältere Peripheriegeräte (Scanner, Messgeräte, Industriehardware) mit nicht mehr gepflegten Treibern
- Eigene Treiberentwicklung und Testphasen ohne vollständige Signierung
- Spezialsoftware für Audio, Musik oder Videoproduktion mit unsignierten ASIO-Treibern
- Wiederherstellungsszenarien, bei denen der Systemstart ohne bestimmte Treiber nicht möglich ist
Methode 1: Treibersignaturprüfung einmalig über die erweiterten Startoptionen deaktivieren (empfohlen)
Eine sichere Methode, unsignierte Treiber zu installieren, besteht darin, die Treibersignaturprüfung einmalig beim Systemstart zu deaktivieren. Nach dem nächsten Neustart ist die Überprüfung wieder aktiv. Diese Vorgehensweise ist daher die empfohlene Methode für die meisten Anwender, da sie keine dauerhaften Systemänderungen hinterlässt.
So gehen Sie unter Windows 11 und Windows 10 vor:
- Öffnen Sie das Startmenü und klicken Sie auf das Ein/Aus-Symbol.
- Halten Sie die Umschalttaste (Shift) gedrückt und klicken Sie gleichzeitig auf „Neu starten“.
- Windows startet nun in die Erweiterten Startoptionen (auch „WinRE“ genannt).
- Navigieren Sie zu: Problembehandlung → Erweiterte Optionen → Starteinstellungen → Neu starten.
- Nach dem Neustart erscheint eine nummerierte Liste. Drücken Sie Taste 7 oder F7: „Erzwingen der Treibersignatur deaktivieren“.
- Windows startet nun ohne Signaturprüfung. Installieren Sie in dieser Sitzung Ihren unsignierten Treiber.
Zudem können Sie die erweiterten Startoptionen alternativ über Einstellungen → System → Wiederherstellung → Erweiterter Start → Jetzt neu starten erreichen. Nach dem nächsten regulären Neustart ist die Treibersignaturprüfung automatisch wieder aktiv.
Methode 2: Treibersignaturprüfung dauerhaft per Eingabeaufforderung deaktivieren (bcdedit)
Wenn Sie die Signaturprüfung dauerhaft abschalten möchten, verwenden Sie den Boot Configuration Data Editor (bcdedit). Dabei ist jedoch zu beachten: Theoretisch lässt sich die Treibersignaturprüfung mit bcdedit dauerhaft deaktivieren, dies wird jedoch nicht empfohlen, es sei denn, der Computer ist vollständig isoliert und kontrolliert.
Wichtige Voraussetzung: Secure Boot muss im BIOS deaktiviert werden, bevor man diese Befehle anwenden kann. Andernfalls erhalten Sie die Fehlermeldung „Der Wert ist durch die Richtlinie für sicheren Start geschützt und kann nicht geändert oder gelöscht werden.“
Schritt-für-Schritt-Anleitung für Windows 11 und Windows 10:
Schritt 1 – Secure Boot im BIOS deaktivieren:
- Starten Sie Ihren PC neu und rufen Sie das BIOS/UEFI auf (je nach Hersteller durch Drücken von F2, F10, Entf oder Esc beim Start).
- Wechseln Sie in den Bereich „Security“ oder „Boot“.
- Suchen Sie den Eintrag „Secure Boot“ und setzen Sie ihn auf „Disabled“.
- Speichern Sie die Einstellung und starten Sie Windows neu.
Schritt 2 – Treibersignaturprüfung per CMD deaktivieren:
- Öffnen Sie die Eingabeaufforderung als Administrator: Drücken Sie Windows-Taste + X und wählen Sie „Terminal (Administrator)“ oder suchen Sie im Startmenü nach cmd, klicken Sie mit der rechten Maustaste und wählen Sie „Als Administrator ausführen“.
- Geben Sie beide Befehle nacheinander ein und bestätigen Sie jeweils mit Enter:
bcdedit.exe /set nointegritychecks onAlternativ oder zusätzlich:
bcdedit.exe /set testsigning on- Starten Sie Windows anschließend neu, damit die Änderungen wirksam werden.
Nach diesen Schritten ist die Integritätsprüfung dauerhaft deaktiviert und unsignierte Treiber können geladen werden. Außerdem erscheint beim Testmodus ein Wasserzeichen in der rechten unteren Ecke des Desktops mit dem Hinweis „Testmodus“.
Methode 3: Testmodus aktivieren (für Entwickler und Testtreiber)
Der Testmodus wird genutzt, um selbst signierte oder unsignierte Testtreiber zu laden. Windows zeigt dann einen Hinweis auf dem Desktop an. Entwickler können sogenannte Testsignaturen verwenden, die jedoch nur funktionieren, wenn der Testmodus des Systems aktiviert ist.
Dieser Modus eignet sich besonders für Softwareentwickler, die eigene Treiber testen, bevor sie eine vollständige WHQL-Zertifizierung (Windows Hardware Quality Labs) beantragen.
So aktivieren Sie den Testmodus:
- Öffnen Sie die Eingabeaufforderung als Administrator.
- Geben Sie folgenden Befehl ein:
bcdedit /set testsigning on- Starten Sie Windows neu.
Nach dem Neustart erscheint auf dem Desktop das Testmodus-Wasserzeichen mit der Windows-Version und dem Build-Datum – ein klares Zeichen, dass der Modus aktiv ist.
Methode 4: Treibersignaturprüfung per Gruppenrichtlinien-Editor deaktivieren (Windows Pro und Enterprise)
Für Benutzer von Windows 10/11 Pro besteht die Möglichkeit, die Gruppenrichtlinie zu ändern, die die Treibersignatur regelt. Diese Methode ist besonders in Unternehmensumgebungen oder für erfahrene Administratoren geeignet.
Schritt-für-Schritt-Anleitung:
- Drücken Sie Windows-Taste + R, geben Sie gpedit.msc ein und bestätigen Sie mit Enter.
- Navigieren Sie im linken Bereich zu: Benutzerkonfiguration → Administrative Vorlagen → System → Treiberinstallation.
- Öffnen Sie die Richtlinie „Codesignierung für Gerätetreiber“.
- Setzen Sie die Option auf „Aktiviert“ und wählen Sie im Dropdown-Menü „Ignorieren“ aus.
- Klicken Sie auf „Übernehmen“ und dann auf „OK“.
- Starten Sie Windows neu.
Deshalb ist diese Methode für viele Administratoren attraktiv: Sie lässt sich zentral ausrollen und erfordert keine BIOS-Änderungen. Jedoch steht der Gruppenrichtlinien-Editor ausschließlich in den Pro-, Education- und Enterprise-Versionen von Windows 10 und 11 zur Verfügung – nicht in der Home-Edition.
Treibersignaturprüfung wieder aktivieren
Sobald Sie den unsignierten Treiber installiert haben, sollten Sie die Treibersignaturprüfung unbedingt wieder einschalten. Ebenso wichtig ist es, Secure Boot nach der Arbeit erneut zu aktivieren, um maximalen Systemschutz zu gewährleisten.
Prüfung über bcdedit reaktivieren:
Öffnen Sie die Eingabeaufforderung als Administrator und geben Sie ein:
bcdedit.exe /set nointegritychecks offZusätzlich, falls der Testmodus aktiv war:
bcdedit.exe /set testsigning offGeben Sie im Fenster Eingabeaufforderung den Befehl bcdedit -set TESTSIGNING OFF ein und drücken Sie die Eingabetaste, um den Testmodus zu deaktivieren.
Damit eine Änderung wirksam wird, unabhängig davon ob die Option aktiviert oder deaktiviert wird, müssen Sie den Computer nach dem Ändern der Konfiguration neu starten.
Secure Boot im BIOS wieder aktivieren:
- Starten Sie Ihren PC neu und öffnen Sie das BIOS/UEFI.
- Navigieren Sie zu „Security“ oder „Boot“.
- Setzen Sie „Secure Boot“ zurück auf „Enabled“.
- Speichern und neu starten.
Fehlermeldungen und häufige Probleme
„Der Wert ist durch die Richtlinie für sicheren Start geschützt“
Diese Fehlermeldung erscheint, wenn Sie bcdedit-Befehle ausführen, obwohl Secure Boot noch aktiv ist. Wenn diese Meldung erscheint, starten Sie den Computer neu, gehen Sie ins BIOS und deaktivieren Sie die Option „Secure Boot“. Wiederholen Sie nach dem Start von Windows den Befehl.
Treiber lässt sich trotz deaktivierter Prüfung nicht installieren
Überprüfen Sie in diesem Fall folgende Punkte:
- Secure Boot ist im BIOS wirklich deaktiviert (nicht nur ausgeblendet).
- Die Eingabeaufforderung wurde tatsächlich als Administrator geöffnet.
- Der PC wurde nach den bcdedit-Befehlen vollständig neu gestartet.
- Der Treiber steht nicht auf einer gesperrten Treiberliste von Windows.
Testmodus-Wasserzeichen entfernen
Falls Sie den Testmodus nicht mehr benötigen, aber das Wasserzeichen noch sichtbar ist, deaktivieren Sie zunächst den Testmodus per Befehl und starten Sie neu. Außerdem kann ein veraltetes Wasserzeichen auch nach korrektem Deaktivieren auf manchen Systemen bestehen bleiben – in diesem Fall hilft ein vollständiger Neustart.
Risiken und Sicherheitshinweise
Das Deaktivieren der Treibersignaturprüfung ist kein triviales Vorhaben und sollte daher mit Bedacht durchgeführt werden. Folgende Risiken sind zu bedenken:
- Malware-Gefahr: Unsignierte Treiber können Schadcode enthalten, der tief im Kernel verankert ist und schwer zu entfernen ist. Deshalb sollten Sie ausschließlich Treiber aus vertrauenswürdigen Quellen verwenden.
- Systeminstabilität: Fehlerhafte Treiber können zu Bluescreens (BSOD), Abstürzen oder einem nicht mehr startfähigen System führen.
- Sicherheitsfeatures werden umgangen: Mit deaktiviertem Secure Boot und deaktivierter Signaturprüfung sind zusätzlich auch Kernel-Patch-Schutz (KPP) und andere Sicherheitsmechanismen geschwächt.
- Windows Update: Manche Windows-Updates können bcdedit-Einstellungen zurücksetzen oder bei aktiviertem Testmodus Probleme verursachen.
Zudem sollten Sie vor allen systemkritischen Änderungen einen Systemwiederherstellungspunkt erstellen: Öffnen Sie dazu die Systemsteuerung, wechseln Sie zu System → Computerschutz und klicken Sie auf „Erstellen“.
Alternativen zum Deaktivieren der Treibersignaturprüfung
Bevor Sie die Sicherheitsfunktionen Ihres Systems dauerhaft abschwächen, prüfen Sie bitte folgende Alternativen:
Aktualisierte Treiber vom Hersteller: Oft veröffentlichen Hersteller neuere, signierte Versionen. Windows-Updates installieren: Neue Signaturzertifikate werden regelmäßig nachgereicht. Kompatibilitätsmodus: Manche alten Treiber funktionieren im Windows-Kompatibilitätsmodus. Virtuelle Maschinen: Für Geräte, die keine direkte Hardwareintegration benötigen. Open-Source-Community-Treiber: Einige Projekte pflegen ältere Hardwaretreiber weiter.
Außerdem lohnt es sich, direkt beim Hersteller anzufragen – viele Firmen stellen auf Nachfrage signierte Treiberversionen bereit, die auf ihrer Website nicht öffentlich gelistet sind.
Empfohlene Vorgehensweisen im Überblick
Für den sicheren Umgang mit der Treibersignaturprüfung empfehlen sich folgende Grundsätze:
- Systemwiederherstellungspunkt vor jeder Änderung erstellen
- Den Testmodus nur für Entwicklungs- oder Laborzwecke nutzen und prüfen, ob eine aktualisierte, signierte Version des Treibers verfügbar ist
- Die Treibersignaturprüfung unmittelbar nach der Installation des benötigten Treibers wieder aktivieren
- Secure Boot nach Abschluss der Arbeiten im BIOS sofort wieder einschalten
- Unsignierte Treiber ausschließlich aus offiziellen Herstellerquellen beziehen
Häufige Fragen zur Treibersignaturprüfung in Windows
Was ist die Treibersignaturprüfung in Windows?
Die Treibersignaturprüfung ist ein Sicherheitsmechanismus in Windows, der sicherstellt, dass nur digital signierte Treiber geladen werden dürfen. Dabei prüft Windows, ob der Treiber von Microsoft oder einer anerkannten Zertifizierungsstelle signiert wurde, um Manipulationen und Malware zu verhindern.
Warum kann ich die Treibersignaturprüfung nicht deaktivieren?
Wenn bcdedit-Befehle scheitern, ist meistens Secure Boot im BIOS/UEFI noch aktiv. Deaktivieren Sie Secure Boot zuerst im BIOS, führen Sie danach die Befehle erneut aus und starten Sie Windows neu.
Ist es gefährlich, die Treibersignaturprüfung dauerhaft zu deaktivieren?
Ja, eine dauerhafte Deaktivierung birgt erhebliche Sicherheitsrisiken. Ohne Signaturprüfung können auch schadhafte Treiber geladen werden, die tief im Windows-Kernel verankert sind. Daher sollte die Prüfung nur für den Zeitraum der Installation deaktiviert und unmittelbar danach wieder aktiviert werden.
Funktioniert die einmalige Deaktivierung über die Startoptionen auch in Windows 11?
Ja, die Methode über Umschalttaste + Neu starten → Starteinstellungen → F7 funktioniert sowohl in Windows 10 als auch in Windows 11. Sie ist die sicherste Methode, da die Änderung nur für einen einzigen Startvorgang gilt.
Was ist der Unterschied zwischen „nointegritychecks“ und „testsigning“?
nointegritychecks on deaktiviert die Integritätsprüfung für alle Treiber vollständig. testsigning on aktiviert den Testmodus, der das Laden von Treibern mit Testsignaturen erlaubt. Der Testmodus ist etwas selektiver und zeigt ein Wasserzeichen auf dem Desktop an.
Warum erscheint das Testmodus-Wasserzeichen auf dem Desktop?
Das Wasserzeichen zeigt an, dass der Windows-Testmodus aktiv ist. Es dient als Sicherheitswarnung, damit Benutzer wissen, dass der Systemschutz eingeschränkt ist. Deaktivieren Sie den Testmodus per Befehl bcdedit /set testsigning off und starten Sie neu, um es zu entfernen.
Kann ich die Treibersignaturprüfung in Windows 11 Home deaktivieren?
Ja, sowohl die Methode über die erweiterten Startoptionen als auch die bcdedit-Befehle funktionieren in der Home-Edition. Lediglich der Gruppenrichtlinien-Editor (gpedit.msc) steht nur in den Pro-, Education- und Enterprise-Versionen zur Verfügung.
Was passiert, wenn ich Secure Boot nach dem Deaktivieren nicht wieder aktiviere?
Ein dauerhaft deaktiviertes Secure Boot schwächt den Systemschutz erheblich. Malware kann beim Systemstart geladen werden, bevor Windows startet. Zusätzlich kann es bei bestimmten Windows-Updates oder Sicherheitsfeatures zu Problemen kommen. Daher sollten Sie Secure Boot nach Abschluss der Treiberinstallation sofort wieder aktivieren.
Werden bcdedit-Einstellungen durch Windows-Updates zurückgesetzt?
In der Regel nicht automatisch, jedoch können größere Feature-Updates (z. B. Windows 11 24H2) gelegentlich Boot-Einstellungen überschreiben. Prüfen Sie nach größeren Updates daher, ob Ihre bcdedit-Einstellungen noch korrekt sind.
Gibt es eine Möglichkeit, unsignierte Treiber dauerhaft zu nutzen, ohne Sicherheitseinbußen?
Die sicherste Lösung ist, den Treiberhersteller um eine signierte Version zu bitten oder eine eigene Testsignierung als Entwickler durchzuführen. Alternativ kann eine virtuelle Maschine (z. B. mit VMware Workstation oder Hyper-V) genutzt werden, falls keine direkte Hardwareintegration notwendig ist – so bleibt das Hostsystem vollständig geschützt.
Fazit
Die Treibersignaturprüfung in Windows 10 und 11 ist ein zentrales Sicherheitsmerkmal, das Sie nur bei konkretem Bedarf und aus vertrauenswürdigen Quellen deaktivieren sollten. Für die meisten Fälle empfiehlt sich die einmalige Deaktivierung über die Startoptionen, da sie nach dem Neustart automatisch zurückgesetzt wird.
Aktivieren Sie die Prüfung und Secure Boot danach immer sofort wieder. So schützen Sie Ihr System dauerhaft vor Treiberbasierter Malware und Systeminstabilität.