Windows 11: „PIN aufgrund Änderung der Sicherheitseinstellungen ungültig“ – Lösung

PIN aufgrund Änderung der Sicherheitseinstellungen ungültig in Windows 11 – erfahren Sie hier, wie Sie dieses Problem schnell und effektiv selbst beheben.

Wenn Windows 11 beim Start die Meldung „Ihre PIN ist aufgrund einer Änderung an den Sicherheitseinstellungen dieses Geräts nicht mehr verfügbar“ anzeigt, sind Sie nicht allein. Dieses Problem betrifft zahlreiche Nutzer – häufig nach einem BIOS-Update, einem Windows-Update oder einer Hardwareänderung.

Dieser Artikel erklärt die Ursachen genau und zeigt Ihnen Schritt für Schritt alle bewährten Lösungen, um wieder Zugang zu Ihrem System zu erhalten.

Was bedeutet diese Fehlermeldung genau?

Windows 11 setzt auf Windows Hello als primäre Anmeldemethode. Dabei wird die PIN nicht einfach als Passwort gespeichert, sondern ist eng mit dem Trusted Platform Module (TPM) und den gerätespezifischen Sicherheitseinstellungen verknüpft. Das bedeutet: Sobald sich etwas an der Sicherheitsarchitektur des Geräts ändert, erkennt Windows die bestehende PIN als ungültig und sperrt sie vorsorglich.

Diese Verknüpfung ist eigentlich ein Sicherheitsmerkmal. Allerdings führt sie in der Praxis dazu, dass Nutzer sich nach eigentlich harmlosen Systemänderungen plötzlich nicht mehr anmelden können. Deshalb ist es wichtig, die genaue Ursache zu kennen, bevor Sie mit der Fehlerbehebung beginnen.

Die häufigsten Ursachen im Überblick

Bevor Sie zur Lösung übergehen, sollten Sie wissen, was den Fehler ausgelöst hat. Die Ursachen lassen sich in mehrere Kategorien einteilen:

BIOS- oder UEFI-Update: Nach einem Firmware-Update werden TPM-Einstellungen teils neu konfiguriert oder zurückgesetzt. Dadurch verliert Windows die kryptografische Bindung zwischen PIN und Hardware.

Windows-Updates: Insbesondere größere Feature-Updates wie Windows 11 24H2 oder kumulierte Sicherheitsupdates können die Sicherheitsrichtlinien neu schreiben und so die bestehende PIN-Konfiguration ungültig machen.

Hardwareänderungen: Der Einbau einer neuen SSD, eines anderen Mainboards oder sogar bestimmte Peripheriegeräte können die Sicherheitsarchitektur des Systems verändern.

Beschädigte NGC-Dateien: Der NGC-Ordner unter C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC speichert alle PIN-Konfigurationsdaten. Wenn dieser Ordner beschädigt wird, versagt die Anmeldung.

TPM-Status geändert: Wurde das TPM im BIOS deaktiviert, zurückgesetzt oder die TPM-Version gewechselt (z. B. von fTPM auf dTPM), erkennt Windows die hinterlegte PIN nicht mehr.

Arbeitskonto oder Schul-/Unikonto hinzugefügt: Zusätzlich können Sicherheitsrichtlinien eines hinzugefügten Organisations- oder Schulkontos erzwingen, dass die PIN neu vergeben werden muss.

Lösung 1: Mit Passwort oder Microsoft-Konto anmelden

Der einfachste erste Schritt ist, den Anmeldebildschirm zu nutzen, ohne die PIN einzugeben. Denn in den meisten Fällen bietet Windows 11 auf dem Sperrbildschirm alternative Anmeldeoptionen an.

So gehen Sie vor:

1. Klicken Sie auf dem Anmeldebildschirm unten links auf „Anmeldeoptionen“.
2. Wählen Sie das Symbol für das Passwort (Schlüsselsymbol) statt das für die PIN.
3. Geben Sie das Passwort Ihres Microsoft-Kontos oder Ihres lokalen Kontos ein.
4. Nach dem Einloggen drücken Sie Windows + I, um die Einstellungen zu öffnen.
5. Navigieren Sie zu Konten > Anmeldeoptionen.
6. Klicken Sie unter „PIN (Windows Hello)“ auf „PIN ändern“ oder „PIN entfernen und neu einrichten“.

Falls das Passwortfeld nicht angezeigt wird, halten Sie die Taste Umschalttaste (Shift) gedrückt, während Sie auf das Passwort-Symbol klicken. Außerdem kann es helfen, zunächst auf den Benutzernamen zu klicken, um weitere Optionen einzublenden.

Lösung 2: PIN direkt über die Fehlermeldung neu einrichten

Windows bietet auf dem Sperrbildschirm selbst einen direkten Hinweis: „Klicken Sie hier, um Ihre PIN erneut einzurichten.“ Dieser Weg funktioniert jedoch nur, wenn Sie eine aktive Internetverbindung haben – denn Windows muss dabei Ihre Identität über Ihr Microsoft-Konto bestätigen.

Schritt für Schritt:

1. Klicken Sie auf den Link „Klicken Sie hier, um Ihre PIN erneut einzurichten“.
2. Windows leitet Sie zur Identitätsverifizierung weiter. Geben Sie dort das Passwort Ihres Microsoft-Kontos ein.
3. Bestätigen Sie anschließend Ihre Identität per E-Mail-Code oder SMS-Code, der an Ihre hinterlegte Kontaktadresse gesendet wird.
4. Vergeben Sie danach eine neue, mindestens sechsstellige PIN.

Wichtig: Sollte die Fehlermeldung „Ihre PIN konnte nicht eingerichtet werden“ erscheinen, liegt häufig ein Problem mit dem TPM oder dem NGC-Ordner vor. In diesem Fall empfiehlt sich Lösung 3 oder 4.

Lösung 3: NGC-Ordner löschen und PIN zurücksetzen

Der NGC-Ordner enthält alle gespeicherten PIN-Daten. Wenn dieser Ordner beschädigt ist, hilft es, ihn zu löschen. Windows erstellt ihn anschließend automatisch neu. Diese Methode funktioniert sowohl unter Windows 11 als auch unter Windows 10.

Variante A: Über den Datei-Explorer (wenn Sie eingeloggt sind)

1. Öffnen Sie den Datei-Explorer und navigieren Sie zu:
   C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft
   Hinweis: Aktivieren Sie unter „Ansicht > Anzeigen“ die Option „Ausgeblendete Elemente“, da der Ordner standardmäßig versteckt ist.
2. Klicken Sie mit der rechten Maustaste auf den Ordner „NGC“ und wählen Sie „Löschen“.
   Falls Sie eine Fehlermeldung zum Zugriff erhalten, müssen Sie zunächst die Eigentumsrechte übernehmen (siehe Variante B).
3. Starten Sie den Computer neu.
4. Navigieren Sie nach dem Neustart zu Einstellungen > Konten > Anmeldeoptionen und richten Sie eine neue PIN ein.

Variante B: Über die Eingabeaufforderung als Administrator

1. Klicken Sie mit der rechten Maustaste auf das Startmenü und wählen Sie „Terminal (Administrator)“ oder „Eingabeaufforderung (Administrator)“.
2. Führen Sie nacheinander diese Befehle aus:

takeown /f "C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC" /r /d n
icacls "C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC" /T /Q /C /RESET
rd /s /q "C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC"

3. Starten Sie danach den PC neu und vergeben Sie über Einstellungen > Konten > Anmeldeoptionen eine neue PIN.

Dieser Weg funktioniert zuverlässig, wenn der NGC-Ordner beschädigt ist oder wenn die Schaltfläche „PIN entfernen“ ausgegraut ist.

Lösung 4: TPM im BIOS prüfen und ggf. zurücksetzen

Da das TPM direkt mit der PIN verknüpft ist, sollten Sie prüfen, ob es korrekt aktiviert ist – besonders nach einem BIOS-Update.

TPM-Status prüfen:

1. Drücken Sie Windows + R, geben Sie tpm.msc ein und bestätigen Sie mit Enter.
2. Prüfen Sie, ob das TPM als „Bereit zur Verwendung“ angezeigt wird und ob die Version 2.0 erkannt wird.
3. Falls das TPM als inaktiv oder nicht verfügbar erscheint, starten Sie den PC neu und rufen Sie das BIOS/UEFI auf (meist durch Drücken von F2, F10, Entf oder F12 beim Start, je nach Hersteller).
4. Suchen Sie im BIOS nach den Einträgen „TPM“, „fTPM“ (AMD) oder „Intel PTT“ und aktivieren Sie diese Option.

TPM-Daten über Windows löschen (wenn TPM aktiv ist, aber Fehler besteht):

1. Geben Sie in der Windows-Suchleiste „Sicherheitsprozessor-Fehlerbehebung“ ein und öffnen Sie diesen Eintrag.
2. Wählen Sie im Dropdown-Menü einen Grund für die TPM-Bereinigung aus.
3. Klicken Sie auf „TPM löschen“ und bestätigen Sie.
4. Der PC startet neu. Richten Sie danach die PIN neu ein.

Warnung: Das Löschen des TPM setzt es auf die Werkseinstellungen zurück. Sichern Sie daher zuvor alle wichtigen Daten und insbesondere Ihre BitLocker-Wiederherstellungsschlüssel, da verschlüsselte Laufwerke sonst nicht mehr zugänglich sein könnten.

Lösung 5: Registry-Eintrag anpassen (PIN-Pflicht deaktivieren)

In manchen Fällen erzwingt eine Gruppenrichtlinie oder ein Registry-Eintrag, dass ausschließlich Windows Hello/PIN zur Anmeldung genutzt werden darf. Deshalb erscheint die Schaltfläche „PIN entfernen“ als ausgegraut. Über den Registrierungs-Editor lässt sich das beheben.

So gehen Sie vor:

1. Drücken Sie Windows + R, geben Sie regedit ein und bestätigen Sie mit Enter.
2. Navigieren Sie zu folgendem Pfad:
   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System
3. Suchen Sie auf der rechten Seite nach dem Eintrag „AllowDomainPINLogon“.
4. Doppelklicken Sie darauf und setzen Sie den Wert auf „0″.
5. Navigieren Sie zusätzlich zu:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device
6. Setzen Sie dort den Wert „DevicePasswordLessBuildVersion“ auf „0″.
7. Schließen Sie den Registrierungs-Editor und starten Sie den PC neu.

Nach dem Neustart sollte die Option „PIN entfernen“ wieder verfügbar sein. Außerdem können Sie nun eine neue PIN über Einstellungen > Konten > Anmeldeoptionen einrichten.

Lösung 6: Im abgesicherten Modus anmelden

Falls Sie sich überhaupt nicht mehr normal anmelden können, bietet der abgesicherte Modus einen alternativen Zugang zum System. In diesem Modus werden zahlreiche Treiber und Dienste nicht geladen, was häufig die Anmeldung mit dem Passwort ermöglicht.

Abgesicherten Modus starten:

1. Starten Sie den PC und halten Sie beim Hochfahren wiederholt die Taste F8 gedrückt, alternativ drücken Sie dreimal hintereinander den Einschaltknopf, um die automatische Reparatur auszulösen.
2. Wählen Sie im Reparaturmenü „Problembehandlung“ > „Erweiterte Optionen“ > „Starteinstellungen“ > „Neu starten“.
3. Wählen Sie nach dem Neustart die Option „4 – Abgesicherten Modus aktivieren“ oder „5 – Abgesicherten Modus mit Netzwerktreibern aktivieren“.
4. Melden Sie sich im abgesicherten Modus mit Ihrem Kontopasswort an.
5. Führen Sie anschließend die Löschung des NGC-Ordners (Lösung 3) durch oder passen Sie die Registry an (Lösung 5).
6. Starten Sie den PC normal neu und richten Sie die PIN erneut ein.

Lösung 7: Problematisches Windows-Update deinstallieren

Wenn das PIN-Problem unmittelbar nach einem Windows-Update aufgetreten ist, empfiehlt es sich, dieses Update zu entfernen. Denn manchmal führen kumulierte Updates oder Feature-Updates zu Sicherheitsrichtlinienänderungen, die das Problem verursachen.

So deinstallieren Sie ein Windows-Update:

1. Öffnen Sie Einstellungen > Windows Update > Updateverlauf.
2. Scrollen Sie nach unten und klicken Sie auf „Updates deinstallieren“.
3. Wählen Sie das zuletzt installierte Update aus der Liste aus.
4. Klicken Sie auf „Deinstallieren“ und bestätigen Sie den Vorgang.
5. Starten Sie den PC neu und prüfen Sie, ob das Problem behoben ist.

Zusätzlich empfiehlt es sich, nach der Fehlerbehebung die Windows-Updates erneut zu installieren, um Sicherheitslücken zu schließen. In vielen Fällen veröffentlicht Microsoft zudem zeitnah Korrektur-Updates, die solche Kompatibilitätsprobleme beheben.

Lösung 8: Systemdateien reparieren (SFC und DISM)

Beschädigte Systemdateien können ebenfalls zur ungültigen PIN führen. Deshalb sollten Sie die integrierten Windows-Reparaturwerkzeuge nutzen, wenn andere Methoden keinen Erfolg gebracht haben.

So führen Sie die Systemreparatur durch:

1. Öffnen Sie das Terminal oder die Eingabeaufforderung als Administrator.
2. Geben Sie zunächst folgenden Befehl ein und warten Sie, bis der Vorgang abgeschlossen ist:
   sfc /scannow
3. Führen Sie anschließend den DISM-Befehl aus:
   DISM /Online /Cleanup-Image /RestoreHealth
4. Starten Sie den PC nach Abschluss beider Vorgänge neu.

Beide Tools analysieren automatisch die Windows-Systemdateien und reparieren beschädigte Einträge. Außerdem können Sie danach noch einmal versuchen, die PIN neu einzurichten.

Lösung 9: Arbeitskonto oder Schulkonto entfernen

Falls auf Ihrem privaten Gerät ein Arbeits- oder Schulkonto hinterlegt ist, kann dieses Konto Sicherheitsrichtlinien erzwingen, die die PIN-Funktion blockieren oder zurücksetzen. Deshalb sollten Sie prüfen, ob ein solches Konto vorhanden ist.

So entfernen Sie ein Organisations-Konto:

1. Öffnen Sie Einstellungen > Konten > Auf Arbeits- oder Schulkonto zugreifen.
2. Falls dort ein Konto aufgeführt ist, das Sie nicht mehr benötigen, klicken Sie darauf und wählen Sie „Trennen“.
3. Bestätigen Sie die Abfrage und starten Sie den PC neu.
4. Richten Sie anschließend Ihre PIN unter Einstellungen > Konten > Anmeldeoptionen neu ein.

Dieser Schritt ist besonders relevant, wenn Sie Windows 11 auch beruflich nutzen oder früher einmal ein Schulkonto hinzugefügt haben.

Lösung 10: Windows 11 zurücksetzen (letzter Ausweg)

Wenn alle anderen Lösungen scheitern, bleibt als letzter Schritt das Zurücksetzen von Windows 11. Dabei haben Sie die Möglichkeit, Ihre persönlichen Dateien zu behalten und nur Windows neu zu installieren. Dennoch sollten Sie zuvor unbedingt eine Datensicherung anlegen.

So setzen Sie Windows 11 zurück:

1. Navigieren Sie zu Einstellungen > System > Wiederherstellung.
2. Klicken Sie neben „PC zurücksetzen“ auf „PC zurücksetzen“.
3. Wählen Sie „Eigene Dateien beibehalten“, um persönliche Daten zu erhalten.
4. Entscheiden Sie zwischen „Cloud-Download“ (neueste Windows-Version aus dem Internet) und „Lokale Neuinstallation“ (vorhandene Windows-Dateien werden genutzt).
5. Folgen Sie dem Assistenten und warten Sie, bis die Neuinstallation abgeschlossen ist.

Zusätzlich zur Neuinstallation können Sie auch eine Reparatur-Neuinstallation mit einem Windows 11-Installationsmedium durchführen, ohne dabei Daten zu verlieren. Dazu benötigen Sie ein bootfähiges USB-Laufwerk mit Windows 11, das Sie über das Microsoft Media Creation Tool erstellen können.

PIN-Fehler dauerhaft vermeiden – empfohlene Vorgehensweisen

Um künftig zu verhindern, dass Ihre PIN nach Systemänderungen ungültig wird, empfehlen sich folgende Maßnahmen:

Immer ein Passwort als Rückfalloption hinterlegen: Stellen Sie sicher, dass Ihr Microsoft-Konto oder lokales Konto über ein starkes Passwort verfügt, das Sie kennen. Denn so sind Sie auch dann anmeldefähig, wenn die PIN ausfällt.

BitLocker-Wiederherstellungsschlüssel sichern: Notieren Sie Ihren BitLocker-Wiederherstellungsschlüssel und bewahren Sie ihn an einem sicheren Ort auf. Alternativ speichern Sie ihn in Ihrem Microsoft-Konto unter account.microsoft.com/devices/recoverykey.

Vor BIOS-Updates vorsichtig sein: Prüfen Sie vor jedem BIOS-Update, ob der Hersteller Hinweise zu TPM-Auswirkungen gibt. Außerdem empfiehlt es sich, nach einem BIOS-Update gezielt die TPM-Einstellungen im BIOS zu kontrollieren.

Windows-Updates kontrolliert installieren: Warten Sie bei großen Feature-Updates einige Wochen, bevor Sie sie installieren. In diesem Zeitraum werden häufig Nachbesserungen von Microsoft bereitgestellt.

Regelmäßige Systemsicherungen anlegen: Nutzen Sie Windows-eigene Tools wie Dateiversionsverlauf oder Systemabbild-Sicherung (unter Systemsteuerung > Sichern und Wiederherstellen), um regelmäßig Backups zu erstellen.

Häufige Fragen zur ungültigen Windows-PIN

Warum erscheint die Fehlermeldung nach einem BIOS-Update?

Nach einem BIOS- oder UEFI-Update werden TPM-Konfigurationen teils zurückgesetzt oder neu initialisiert. Da Windows 11 die PIN kryptografisch mit dem TPM verknüpft, erkennt das System die vorhandene PIN nach einer solchen Änderung als nicht mehr gültig. Deshalb erzwingt Windows die erneute Einrichtung der PIN.

Kann ich mich ohne PIN und ohne Passwort noch anmelden?

Das ist leider in den meisten Fällen nicht möglich, wenn kein Passwort gesetzt ist. Allerdings können Sie den PC dreimal beim Start absichtlich unterbrechen, um in die Windows-Wiederherstellungsumgebung (WinRE) zu gelangen. Von dort aus können Sie den abgesicherten Modus starten oder eine Systemreparatur durchführen.

Was ist der NGC-Ordner und warum hilft das Löschen?

Der NGC-Ordner unter C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC speichert alle gespeicherten PIN-Konfigurationen und die dazugehörigen kryptografischen Schlüssel. Wenn dieser Ordner beschädigt ist oder inkonsistente Daten enthält, kann Windows die PIN nicht mehr validieren. Das Löschen des Ordners zwingt Windows, die PIN-Infrastruktur neu aufzubauen.

Die Schaltfläche „PIN entfernen“ ist ausgegraut – was tun?

Das liegt häufig daran, dass die Option „Nur Windows Hello-Anmeldung zulassen“ aktiviert ist oder eine Gruppenrichtlinie die Änderung sperrt. In diesem Fall hilft die Anpassung des Registry-Eintrags DevicePasswordLessBuildVersion auf den Wert „0″ unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device. Danach ist die Schaltfläche wieder aktiv.

Verliere ich Daten, wenn ich den NGC-Ordner lösche?

Nein. Das Löschen des NGC-Ordners entfernt ausschließlich die gespeicherten PIN-Konfigurationsdaten. Ihre persönlichen Dateien, installierten Programme und Windows-Einstellungen bleiben vollständig erhalten. Einzig die hinterlegte PIN wird gelöscht, und Sie müssen eine neue vergeben.

Muss ich das TPM löschen, um die PIN zu reparieren?

Das ist in der Regel nicht notwendig. Das Löschen des TPM sollte nur als letztes Mittel eingesetzt werden, da es das TPM auf die Werkseinstellungen zurücksetzt und potenziell BitLocker-verschlüsselte Laufwerke sperren kann. Zunächst sollten Sie den NGC-Ordner löschen und die PIN neu einrichten.

Was mache ich, wenn ich kein Internetverbindung habe und die PIN einrichten will?

Windows 11 benötigt für die PIN-Einrichtung bei Microsoft-Konten eine Internetverbindung zur Identitätsprüfung. Falls keine Verbindung vorhanden ist, versuchen Sie, Ihren PC über ein Ethernet-Kabel anzubinden oder nutzen Sie einen Mobilen Hotspot über ein Smartphone. Alternativ können Sie zunächst den NGC-Ordner löschen und nach Wiederherstellung der Internetverbindung die PIN neu einrichten.

Funktioniert die Lösung auch unter Windows 10?

Ja. Der NGC-Ordner-Ansatz, die Registry-Anpassung sowie die TPM-Überprüfung funktionieren weitgehend identisch auch unter Windows 10. Lediglich die Menüpfade unterscheiden sich minimal: Unter Windows 10 finden Sie die Anmeldeoptionen ebenfalls unter Einstellungen > Konten > Anmeldeoptionen.

Warum fragt Windows 11 nach einer neuen PIN, obwohl ich nichts geändert habe?

Windows 11 überwacht kontinuierlich die Sicherheitsarchitektur des Geräts. Auch wenn Sie selbst keine Änderungen vorgenommen haben, können automatisch im Hintergrund installierte kumulierte Windows-Updates, Treiberupdates oder Firmware-Updates des Geräteherstellers die Sicherheitseinstellungen verändern. Zusätzlich kann ein hinzugefügtes Arbeitskonto Richtlinien durchsetzen, die eine PIN-Erneuerung erfordern.

Kann ich Windows Hello komplett deaktivieren, um das Problem dauerhaft zu vermeiden?

Ja, das ist möglich. Sie können Windows Hello und die PIN-Pflicht über den Registrierungs-Editor oder über die Gruppenrichtlinien (gpedit.msc, nur Windows 11 Pro und höher) deaktivieren. Allerdings verlieren Sie damit einen Sicherheitsvorteil, denn Windows Hello bietet einen stärkeren Schutz als ein herkömmliches Passwort. Empfehlenswert ist es stattdessen, sowohl PIN als auch Passwort eingerichtet zu haben.

Fazit

Die Meldung „PIN ungültig aufgrund Änderung der Sicherheitseinstellungen“ klingt dramatischer, als sie meist ist. In den meisten Fällen hilft bereits die Anmeldung mit dem Kontopasswort und die anschließende PIN-Neueinrichtung.

Sollte das nicht funktionieren, ist das Löschen des NGC-Ordners über die Eingabeaufforderung die zuverlässigste Lösung. Zudem schützen ein gesicherter BitLocker-Schlüssel und ein bekanntes Kontopasswort vor einem vollständigen Aussperren in der Zukunft.