Secure System-Prozess in Windows 11 erklärt: Erfahren Sie, was dieser Systemprozess genau ist, warum er im Task-Manager erscheint und ob er gefährlich ist.
Wenn Sie im Task-Manager von Windows 11 den Prozess „Secure System“ entdecken, fragen Sie sich vielleicht, ob es sich um Malware handelt. Die kurze Antwort: Nein.
Der Secure System-Prozess ist ein legitimer, von Microsoft signierter Systembestandteil, der zur virtualisierungsbasierten Sicherheit (VBS) gehört. Er schützt Ihren PC auf Kernel-Ebene und ist in der Regel vollkommen harmlos. Dieser Artikel erklärt alles Wissenswerte dazu.
Was genau ist der Secure System-Prozess?
Der Secure System-Prozess ist ein Kernbestandteil von Windows, der aktiv wird, sobald die virtualisierungsbasierte Sicherheit (Virtualization-Based Security, kurz VBS) auf dem System aktiviert ist. Deshalb taucht er nicht auf jedem PC auf – sondern nur dann, wenn bestimmte Sicherheitsfunktionen eingeschaltet sind.
Technisch gesehen stellt der Prozess die sichtbare Repräsentation einer isolierten, virtuellen Sicherheitsumgebung dar. Windows erschafft dabei mithilfe von VBS einen besonders geschützten Bereich im Arbeitsspeicher, den sogenannten Virtual Secure Mode (VSM). Dieser Bereich läuft vollständig getrennt vom normalen Betriebssystem und übernimmt sicherheitskritische Aufgaben, die vor externen Bedrohungen abgeschirmt werden müssen. Der Secure System-Prozess im Task-Manager ist der sichtbare Hinweis darauf, dass diese gesicherte, isolierte Umgebung auf Ihrem PC aktiv ist.
Das Konzept dahinter basiert auf sogenannten Virtual Trust Levels (VTLs). Ihre normale Software – einschließlich des Betriebssystemkernels – läuft in VTL-0, während der Secure System-Prozess und weitere sicherheitssensible Komponenten in VTL-1, der sogenannten „Secure World“, angesiedelt sind. Durch diese strikte Trennung kann selbst ein kompromittierter Kernel die in VTL-1 liegenden Daten nicht ohne weiteres lesen oder manipulieren.
Die technische Grundlage: Virtualisierungsbasierte Sicherheit (VBS)
Um den Secure System-Prozess vollständig zu verstehen, lohnt sich ein Blick auf die zugrunde liegende Technologie. VBS nutzt den Windows-Hypervisor, um eine isolierte virtuelle Umgebung zu schaffen, die als Vertrauensanker des Betriebssystems gilt – ausgehend von der Annahme, dass der Kernel kompromittiert sein könnte. Das klingt drastisch, ist jedoch eine bewusst konservative Sicherheitsstrategie.
Diese Trennung schützt das System vor Malware, fügt jedoch eine zusätzliche Verarbeitungsschicht zwischen Hardware und Software ein. Wenn das Betriebssystem eine Sicherheitsüberprüfung durchführt – etwa die Validierung einer Treibersignatur oder den Zugriff auf einen Anmeldedatenspeicher –, kommt es zu einem aufwendigen Kontextwechsel, dem sogenannten Hyper-Exit. Dieser kontinuierliche Wechsel zwischen virtuellen Vertrauensebenen erzeugt eine messbare Latenz bei Systemaufrufen und kernelnahen Operationen.
Zusammengefasst: VBS ist eine Art virtueller Sicherheitstresor innerhalb Ihres Windows-Systems, und der Secure System-Prozess ist der „Wächter“, der diesen Tresor bewacht.
Welche Sicherheitsfunktionen aktivieren den Prozess?
Der Secure System-Prozess wird gestartet, wenn bestimmte Sicherheitsfunktionen auf dem System aktiviert sind. Die wichtigsten davon sind:
Speicher-Integrität (Memory Integrity/HVCI)
Eine der zentralen Funktionen ist die Speicher-Integrität, auch als Hypervisor-geschützte Codeintegrität (HVCI) bekannt. Ist sie eingeschaltet, stellt Windows mithilfe von VBS sicher, dass ausschließlich vertrauenswürdiger Code und vertrauenswürdige Treiber im System ausgeführt werden können. Dazu wird die zuvor beschriebene sichere, isolierte VSM-Umgebung angelegt, die dann im Task-Manager als Secure System-Prozess erscheint.
Speicher-Integrität wird manchmal auch als hypervisorgeschützte Codeintegrität (HVCI) oder Hypervisor-erzwungene Codeintegrität bezeichnet und war ursprünglich Teil von Device Guard. Device Guard wird heute nicht mehr eigenständig eingesetzt, außer um Speicher-Integritäts- und VBS-Einstellungen in Gruppenrichtlinien oder der Windows-Registrierung zu lokalisieren.
Credential Guard
Credential Guard ist eine praktische Anwendung der virtualisierungsbasierten Sicherheit. Seine Aufgabe besteht darin, Windows-Anmeldedaten vor unbefugtem Zugriff zu schützen. Ist er aktiv, läuft in einer abgeschotteten virtuellen Maschine ein zusätzlicher Prozess namens lsaiso.exe, in dessen Arbeitsspeicher Kerberos-, NTLM- und Single-Sign-on-Anmeldedaten gespeichert sind. Dieser Prozess kommuniziert ausschließlich mit dem regulären lsass.exe des Host-Systems und bleibt für den Rest des Systems unerreichbar.
Windows Defender Application Guard
Zusätzlich kann auch der Windows Defender Application Guard zur Aktivierung von VBS beitragen. Dieser isoliert den Microsoft Edge-Browser in einer virtuellen Umgebung, sodass schädliche Webinhalte keinen Zugriff auf das eigentliche Betriebssystem erhalten.
Ist der Secure System-Prozess ein Virus?
Diese Frage stellen sich viele Nutzer – insbesondere, wenn der Prozess plötzlich auftaucht oder einen ungewöhnlich hohen Ressourcenverbrauch zeigt. Die Antwort ist eindeutig: Nein, der Secure System-Prozess ist kein Virus.
Es handelt sich um einen vollständig sicheren, legitimen Windows-Bestandteil, der als Teil des integrierten Sicherheits-Frameworks des Systems arbeitet. Er ist weder ein Virus noch ein verdächtiges Programm, auch wenn sein Name unvertraut klingt. Sie können dies direkt im Task-Manager überprüfen: Klicken Sie mit der rechten Maustaste auf den Prozess und wählen Sie „Eigenschaften“. Der Prozess ist mit Kernkomponenten von Windows verknüpft, wie etwa ntoskrnl.exe (Windows NT Kernel und System), und ist digital von Microsoft signiert. Das bestätigt zweifelsfrei, dass es sich um einen legitimen Systemprozess handelt.
Wenn Sie dennoch absolut sichergehen wollen, empfiehlt sich folgender Schritt: Öffnen Sie den Windows Task-Manager mit der Tastenkombination Strg + Umschalt + Esc, wechseln Sie auf den Reiter „Details“, suchen Sie den Eintrag Secure System, klicken Sie mit der rechten Maustaste darauf, und wählen Sie „Dateispeicherort öffnen“. Ein echter Microsoft-Systemprozess ist stets mit dem Windows-Kernel verknüpft – es gibt keinen separaten Dateipfad im herkömmlichen Sinne, was ein weiteres Zeichen seiner Legitimität ist.
Warum verbraucht der Prozess Arbeitsspeicher?
Der VSM benötigt dedizierten Arbeitsspeicher, um sensible Daten zu speichern und Sicherheitsprüfungen zuverlässig durchzuführen. Daher belegt der Secure System-Prozess RAM. Im Gegensatz zu regulären Prozessen führt er keine ständig sichtbaren Aufgaben aus, weshalb die CPU-Auslastung normalerweise bei 0 % liegt und weder Festplatten- noch Netzwerkaktivität zu verzeichnen ist. Der Arbeitsspeicher ist hauptsächlich reserviert, um diese sichere Umgebung aktiv und einsatzbereit zu halten. In den meisten Fällen gilt ein typischer Verbrauch von etwa 100 bis 300 MB als normal.
Sollte der Speicherverbrauch dauerhaft und deutlich über 400–500 MB liegen, kann dies auf einen inkompatiblen Treiber hindeuten. In diesem Fall empfiehlt sich eine Überprüfung der installierten Treiber über den Geräte-Manager (Tastenkombination: Windows-Taste + X, dann „Geräte-Manager“).
Ab wann ist der Prozess standardmäßig aktiv?
Speicher-Integrität ist bei einer Neuinstallation von Windows 11 standardmäßig aktiviert, bei Windows 10 war dies zuvor nur bei Neuinstallationen im S-Modus und auf kompatibler Hardware der Fall. Außerdem ist die Funktion auf allen sogenannten Secured-Core-PCs standardmäßig eingeschaltet.
VBS ist keine neue Windows-11-Funktion, sondern existiert bereits seit mehreren Jahren auch unter Windows 10. Neu ist jedoch die Durchsetzung: Während VBS unter Windows 10 optional war, begann Microsoft Ende 2019 damit, es standardmäßig auf einigen PCs zu aktivieren. Darüber hinaus empfiehlt Microsoft seinen Hardwarepartnern, VBS bei neuen PCs, die mit Windows 11 ausgeliefert werden, standardmäßig zu aktivieren.
Daher sehen viele Nutzer den Secure System-Prozess nach einem Upgrade von Windows 10 auf Windows 11 möglicherweise zum ersten Mal – was verständlicherweise Fragen aufwirft.
Leistungsauswirkungen: Wie stark bremst der Prozess?
Ein häufiger Diskussionspunkt ist die Frage, ob der Secure System-Prozess die Systemleistung beeinträchtigt. Die ehrliche Antwort lautet: Es kommt auf die Hardware an.
Speicher-Integrität funktioniert besser mit Intel-Prozessoren ab der Kaby-Lake-Generation mit Mode-Based Execution Control sowie AMD Zen 2-Prozessoren und neueren Modellen mit Guest Mode Execute Trap-Funktionen. Ältere Prozessoren sind auf eine Emulation dieser Funktionen namens Restricted User Mode angewiesen, was einen größeren Leistungseinfluss haben kann.
Besonders Fans von Videospielen berichten teilweise über eine reduzierte Rechenleistung, die mit diesen Sicherheitsfunktionen zusammenhängen kann – in einigen Fällen wird von mehr als 20 Prozent gesprochen. Besonders betroffen sollen Ryzen-CPUs der ersten Generation sowie Intel-CPUs der zehnten und älterer Generationen sein.
Für Nutzer moderner Hardware – also Intel Kaby Lake (7. Generation) oder neuer sowie AMD Ryzen Zen 2 oder neuer – ist der Leistungsunterschied dagegen in den meisten Alltagsszenarien kaum spürbar.
Soll man den Prozess deaktivieren?
Grundsätzlich sollten Sie den Secure System-Prozess nicht deaktivieren. Er existiert, um die Sicherheit Ihres Systems zu erhöhen, indem er wichtige Vorgänge in einer geschützten Umgebung isoliert.
Es gibt jedoch legitime Szenarien, in denen eine Deaktivierung sinnvoll sein kann:
- Nutzung älterer Virtualisierungssoftware (z. B. VMware Workstation oder bestimmte Versionen von VirtualBox), die Konflikte mit VBS aufweist
- Messbarer Leistungsabfall auf älterer Hardware beim Gaming
- Spezifische Unternehmensumgebungen mit anderen Sicherheitskonzepten
So deaktivieren Sie den Secure System-Prozess (VBS/Speicher-Integrität)
Falls Sie sich nach sorgfältiger Abwägung entscheiden, den Prozess zu deaktivieren, empfiehlt sich folgender Weg:
Methode 1: Über die Windows-Sicherheitseinstellungen (empfohlen)
- Drücken Sie Windows-Taste + I, um die Einstellungen zu öffnen.
- Navigieren Sie zu „Datenschutz und Sicherheit“ → „Windows-Sicherheit“.
- Klicken Sie auf „Gerätesicherheit“.
- Wählen Sie unter „Kernisolierung“ den Link „Details zur Kernisolierung“.
- Schieben Sie den Schalter bei „Speicher-Integrität“ auf „Aus“.
- Starten Sie den PC neu.
Nach dem Neustart sollte der Secure System-Prozess im Task-Manager verschwunden sein oder keine Ressourcen mehr belegen.
Methode 2: Über den Registrierungseditor (für erfahrene Nutzer)
Öffnen Sie den Registrierungseditor mit der Tastenkombination Windows-Taste + R, geben Sie regedit ein, und bestätigen Sie mit OK. Navigieren Sie anschließend zum Pfad HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard, öffnen Sie den Eintrag EnableVirtualizationBasedSecurity, und setzen Sie den Wert auf 0. Schließen Sie danach den Registrierungseditor und starten Sie den PC neu.
Wichtiger Hinweis: Beide Methoden setzen voraus, dass Sie als Administrator angemeldet sind. Zudem sollten Sie beachten, dass durch die Deaktivierung der Speicher-Integrität der Schutz vor Kernel-Angriffen, Rootkits und unsignierten Treibern entfällt.
Kompatibilitätsprobleme: Wenn Treiber den Prozess blockieren
Gelegentlich kann es vorkommen, dass Windows die Speicher-Integrität nicht aktivieren lässt oder eine Warnung über inkompatible Treiber anzeigt. Einige Anwendungen und Hardwaretreiber können mit Speicher-Integrität inkompatibel sein. Diese Inkompatibilität kann dazu führen, dass Geräte oder Software nicht mehr ordnungsgemäß funktionieren, und in seltenen Fällen kann es zu einem Startfehler (Bluescreen) kommen.
Deshalb empfiehlt sich bei solchen Fehlermeldungen folgendes Vorgehen:
- Öffnen Sie den Geräte-Manager (Windows-Taste + X → „Geräte-Manager“).
- Suchen Sie nach Treibern mit einem gelben Warndreieck.
- Aktualisieren Sie betroffene Treiber über die Website des Herstellers – nicht über Windows Update, da dort oft ältere Versionen angeboten werden.
- Starten Sie den PC neu und versuchen Sie erneut, Speicher-Integrität zu aktivieren.
Besonders ältere Grafikkartentreiber, Gaming-Peripheriegeräte und bestimmte Audio-Treiber gelten als häufige Verursacher von Inkompatibilitäten.
Secure System unter Windows 10 – Gibt es Unterschiede?
Der Secure System-Prozess ist nicht auf Windows 11 beschränkt. Speicher-Integrität und VBS sind als virtualisierungsbasierte Sicherheitsfunktionen in Windows 10, Windows 11 sowie Windows Server 2016 und neueren Versionen verfügbar.
Der wesentliche Unterschied besteht jedoch in der standardmäßigen Aktivierung: Unter Windows 10 war VBS nur auf bestimmten Geräten aktiv, während Windows 11 die Funktion bei Neuinstallationen grundsätzlich einschaltet. Deshalb taucht der Prozess unter Windows 10 seltener auf und überrascht vor allem Windows-11-Nutzer.
Auch auf Windows Server 2022 und Windows Server 2025 ist der Prozess zu finden, sobald entsprechende Sicherheitsrichtlinien aktiviert sind.
Sicherheitsfunktionen, die mit dem Secure System-Prozess zusammenarbeiten
Der Secure System-Prozess arbeitet nicht isoliert. Stattdessen ist er Teil eines umfassenden Sicherheits-Ökosystems, das aus mehreren zusammenhängenden Funktionen besteht:
Secure Boot stellt sicher, dass beim Start des Computers ausschließlich von Microsoft signierte Boot-Software geladen wird. Dies verhindert, dass Bootloader-Malware noch vor dem Betriebssystem aktiv werden kann.
TPM 2.0 (Trusted Platform Module) ist ein Sicherheitschip, der kryptografische Schlüssel sicher speichert. Er ist eine Voraussetzung für Windows 11 und arbeitet eng mit VBS zusammen.
Windows Defender profitiert von der durch VBS und den Secure System-Prozess gesicherten Umgebung, da schädlicher Code den Antivirenschutz schwerer unterwandern kann.
UEFI-Firmware bildet die Hardware-Grundlage für Secure Boot und ermöglicht erst die sichere Initialisierung der VBS-Umgebung beim Systemstart.
All diese Komponenten greifen ineinander und bilden gemeinsam das „Secured-Core“-Konzept, das Microsoft für Windows 11-Geräte propagiert.
Empfohlene Vorgehensweisen für den Umgang mit dem Secure System-Prozess
Damit Ihr System optimal geschützt und gleichzeitig leistungsfähig bleibt, sollten Sie folgende empfohlene Vorgehensweisen beachten:
Prozess grundsätzlich aktiv lassen: Sofern keine konkreten Leistungsprobleme oder Kompatibilitätskonflikte vorliegen, sollten Sie den Secure System-Prozess und die zugehörige Speicher-Integrität eingeschaltet lassen. Der Schutz vor Kernel-Rootkits und unsignierten Treibern überwiegt in den meisten Nutzungsszenarien bei Weitem den geringen Ressourcenmehrverbrauch.
Treiber regelmäßig aktualisieren: Halten Sie vor allem Grafikkarten-, Netzwerk- und Audio-Treiber stets aktuell. Veraltete Treiber sind die häufigste Ursache für Konflikte mit VBS und der Speicher-Integrität.
Systemanforderungen kennen: Prüfen Sie über msinfo32 (Windows-Taste + R → „msinfo32″ eingeben), ob VBS auf Ihrem System aktiv ist. Suchen Sie in der Systeminfo nach den Einträgen „Virtualisierungsbasierte Sicherheit“ und „Speicher-Integrität“.
Nur bei begründetem Anlass deaktivieren: Deaktivieren Sie VBS ausschließlich dann, wenn nachweisliche Leistungsprobleme auf älterer Hardware bestehen oder ein konkreter Kompatibilitätskonflikt mit spezifischer Software vorliegt.
Häufige Fragen zum Secure System-Prozess
Was ist der Secure System-Prozess in Windows 11?
Der Secure System-Prozess ist Teil des virtualisierungsbasierten Sicherheits-Frameworks von Windows 11. Er läuft in einer geschützten Umgebung, die vom Hauptbetriebssystem isoliert ist, und stellt sicher, dass kritische Sicherheitsoperationen vor Bedrohungen geschützt sind. Es handelt sich um einen legitimen Systembestandteil von Microsoft.
Ist der Secure System-Prozess gefährlich oder ein Virus?
Nein, absolut nicht. Der Secure System-Prozess ist vollständig sicher und ein integrierter Windows-Bestandteil. Er ist keine Malware und kein Virus. Wenn Sie diesen Prozess im Task-Manager sehen, bedeutet dies, dass Ihr System erweiterte Sicherheitsmaßnahmen einsetzt. Zur Verifikation können Sie im Task-Manager unter „Eigenschaften“ die digitale Microsoft-Signatur prüfen.
Warum erscheint der Prozess plötzlich nach einem Windows-Update?
Windows-Updates können VBS und die Speicher-Integrität nachträglich aktivieren. Geräte mit Windows 11 Pro/Pro Edu 22H2 oder neuer können VBS und/oder Credential Guard automatisch aktiviert haben, wenn sie die Voraussetzungen für die standardmäßige Aktivierung erfüllen. Das erklärt das plötzliche Erscheinen nach einem Update.
Kann ich den Prozess beenden oder aus dem Autostart entfernen?
Da der Prozess tief in die Windows-Sicherheit integriert ist, kann er nicht direkt wie andere Prozesse gesteuert werden. Er ist nur im Task-Manager sichtbar und lässt sich nicht manuell beenden. Um ihn zu entfernen, muss VBS über die Einstellungen deaktiviert werden.
Wie viel Arbeitsspeicher darf der Prozess verbrauchen?
In den meisten Fällen gilt ein typischer Verbrauch von etwa 100 bis 300 MB als normaler Bereich. Dauerhaft deutlich höhere Werte können auf inkompatible Treiber hinweisen und sollten überprüft werden.
Beeinflusst der Secure System-Prozess die Gaming-Leistung?
Besonders bei älteren Prozessoren – darunter Ryzen-CPUs der ersten Generation sowie Intel-CPUs der zehnten und älterer Generationen – kann die Leistungseinbuße beim Gaming spürbar sein und in manchen Fällen mehr als 20 Prozent betragen. Auf moderner Hardware ist der Unterschied hingegen marginal.
Wie deaktiviere ich den Secure System-Prozess unter Windows 11?
Der empfohlene Weg führt über Einstellungen → Datenschutz und Sicherheit → Windows-Sicherheit → Gerätesicherheit → Details zur Kernisolierung. Dort schalten Sie die Speicher-Integrität aus und starten den PC neu. Alternativ können Sie VBS über den Registrierungseditor unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard deaktivieren.
Was passiert, wenn ich VBS und den Secure System-Prozess deaktiviere?
Durch die Deaktivierung entfällt der Schutz vor unsignierten und manipulierten Kerneltreibern sowie vor bestimmten Rootkit-Angriffen. HVCI schützt beispielsweise vor verbreiteten Angriffen wie WannaCry, die auf die Möglichkeit angewiesen sind, schädlichen Code in den Kernel einzuschleusen. Das System wird damit anfälliger für bestimmte Malware-Klassen.
Existiert der Prozess auch unter Windows 10?
Ja, jedoch ist er dort seltener aktiv. VBS ist keine reine Windows-11-Funktion, sondern existiert bereits seit Jahren unter Windows 10. Neu ist die konsequentere Durchsetzung: Während VBS unter Windows 10 optional war, aktiviert Windows 11 es bei Neuinstallationen standardmäßig.
Welche Hardware wird für den Secure System-Prozess benötigt?
Speicher-Integrität funktioniert besser mit Intel-Prozessoren ab der Kaby-Lake-Generation sowie AMD Zen 2-Prozessoren und neueren Modellen. Ältere Prozessoren nutzen eine Emulation der benötigten Funktionen, was sich stärker auf die Leistung auswirken kann. Zusätzlich sind ein TPM 2.0-Chip und UEFI mit Secure Boot erforderlich.
Fazit
Der Secure System-Prozess in Windows 11 ist kein Schädling, sondern ein moderner Schutzmechanismus auf Kernel-Ebene. Er gehört zur virtualisierungsbasierten Sicherheit und bewacht sensible Systemdaten in einer isolierten Umgebung. Deshalb sollten Sie ihn grundsätzlich aktiv lassen.
Nur auf älterer Hardware mit messbaren Leistungseinbußen oder bei konkreten Kompatibilitätsproblemen mit Virtualisierungssoftware ist eine gezielte Deaktivierung über die Windows-Sicherheitseinstellungen sinnvoll. In allen anderen Fällen leistet der Prozess wertvolle, unsichtbare Arbeit für Ihre Systemsicherheit.