TPM und BIOS-Fallen: Warum selbst funktionierende Systeme scheitern können
Quelle: Electronic Arts
Seite 4:

TPM und BIOS-Fallen: Warum selbst funktionierende Systeme scheitern können

31
Special Jacqueline Brosch Als bevorzugte Quelle auf Google hinzufügen

Wer glaubt, nach Secure Boot und UEFI sei alles geklärt, irrt. Manchmal zeigt sich, dass selbst aktuelle Systeme Probleme machen.

Fall 7: Secure Boot - aktiv, aber irgendwie doch nicht

Ein häufiger Stolperstein bei der Umstellung ist der sogenannte Custom Mode. Viele Mainboards schalten automatisch in diesen Zustand, sobald man im UEFI die Secure-Boot-Schlüssel manuell anfasst oder ein BIOS-Update einspielt. Das System zeigt dann zwar "Secure Boot: Enabled" an, Windows meldet im Gegenzug aber "Secure Boot off". Der Widerspruch ist kein Bug, sondern schlicht ein fehlender Satz gültiger Signaturschlüssel. Im Custom-Modus erwartet das UEFI, dass die Plattform- und Key-Exchange-Keys (PK und KEK) manuell eingespielt werden. Fehlen sie, ist Secure Boot formal aktiv, aber faktisch wirkungslos. Das wiederum reicht den neuen Anti-Cheat-Prüfungen nicht, die auf eine vollständige, verifizierte Kette angewiesen sind.

Im Custom-Modus lässt sich Secure Boot nicht aktivieren, solange kein Platform Key (PK) hinterlegt ist. Quelle: NZXT Im Custom-Modus lässt sich Secure Boot nicht aktivieren, solange kein Platform Key (PK) hinterlegt ist. Die Lösung ist möglicherweise einfach, aber versteckt: Im Secure-Boot-Menü des BIOS lässt sich über "Install Default Keys" oder "Factory Keys" der Originalzustand wiederherstellen. Danach erkennt Windows die Funktion korrekt und Secure Boot arbeitet wieder so, wie es gedacht war.

Fall 8: Wenn die Sperrliste selbst zum Problem wird

Mit den sogenannten DBX-Updates sollen eigentlich unsichere Bootloader blockiert werden, also solche, deren Zertifikate kompromittiert oder zurückgezogen wurden. In der Praxis läuft das aber nicht immer reibungslos. Manche Firmware-Versionen nehmen die aktualisierte Sperrliste schlicht nicht an oder brechen den Vorgang kommentarlos ab. Das Ergebnis: Ein System, das gültige Bootloader plötzlich ablehnt oder beim Start in einer Endlosschleife hängt. Das Problem betrifft vor allem ältere UEFI-Versionen, die das SBAT-Format (Secure Boot Advanced Targeting) noch nicht vollständig unterstützen. In solchen Fällen verweigert das Board die Aufnahme neuer DBX-Einträge, weil die interne Struktur inkompatibel ist. Windows oder das UEFI-Setup melden dann "Update failed", aber ohne weiteren Hinweis.

Abhilfe schafft meist nur ein BIOS- oder Firmware-Update, das die SBAT-Unterstützung nachrüstet. Erst danach lässt sich die DBX-Liste sauber aktualisieren. Ohne dieses Update bleibt das System in einem Zustand, der ironischerweise genau das Gegenteil von Sicherheit erreicht: Secure Boot ist aktiv, blockiert aber legitime Bootloader und damit im Zweifel auch das eigene Betriebssystem. TPM aktiv, Secure Boot läuft, und trotzdem will Windows den Bitlocker-Schlüssel? Warum das kein Fehler, sondern Absicht ist, erfahren Sie auf Seite 5.

31
  1. Seite 1 Übersicht und was zu unterlassen ist
  2. Seite 2 Secure Boot, CSM und GPT richtig reparieren
  3. Seite 3 Wenn Secure Boot mehr blockiert als schützt
  4. Seite 4 TPM und BIOS-Fallen: Funktionierende Systeme können scheitern
  5. Seite 5 TPM-Fallen und OEM-Sperren
  6. Seite 6 Bitlocker-Alarm nach BIOS-Update

    • Kommentare (31)

      Zur Diskussion im Forum
      • Von XT1024 Volt-Modder(in)
        Zitat von tokenrider
        Einfach den Schrott nicht kaufen, der so etwas erfordert.
        Wie ist das, wenn man den halben Tag solch gewollte "Probleme" suchen muss?
        Welche Hardware, auf der man das spielen wollen würde, hat damit ein Problem?

        Bla, sülz, TPM ist böse, laber, schwafel.
        Ja, das ist bekannt. Gibt es sonst noch irgendwas von Wert?
        Zitat von tokenrider
        Firmen leben vom Verkauf. Wenn das Zeug nicht abgenommen wird, ist man gezwungen, etwas besser zu machen.
        Wegen den 2-3 Foren-Heulsusen, die... was auch immer für obskure Probleme haben?
        Sischer dat!
        Zitieren
      • Von XT1024 Volt-Modder(in)
        Zitat von tokenrider
        Einfach den Schrott nicht kaufen, der so etwas erfordert.
        Wie ist das, wenn man den halben Tag solch gewollte "Probleme" suchen muss?
        Welche Hardware, auf der man das spielen wollen würde, hat damit ein Problem?

        Bla, sülz, TPM ist böse, laber, schwafel.
        Ja, das ist bekannt. Gibt es sonst noch irgendwas von Wert?
        Zitat von tokenrider
        Firmen leben vom Verkauf. Wenn das Zeug nicht abgenommen wird, ist man gezwungen, etwas besser zu machen.
        Wegen den 2-3 Foren-Heulsusen, die... was auch immer für obskure Probleme haben?
        Sischer dat!
        Zitieren
      • Von tokenrider Freizeitschrauber(in)
        Einfach den Schrott nicht kaufen, der so etwas erfordert.
        1–2 Jahre abwarten, danach hat sich das Problem von selbst erledigt.

        Firmen leben vom Verkauf. Wenn das Zeug nicht abgenommen wird, ist man gezwungen, etwas besser zu machen.

        Darum werde ich im Leben nicht einfach leichtfertig Windows 11 und 12 einsetzen.
        Denn damit kommt die nächste Welle BS auf uns zu …
        Zitieren
      • Von MaschineHead Schraubenverwechsler(in)
        Hallo zusammen,

        habe das aktuellste Bios für das Board drauf, auch wegen der CPU Instabilitäten. Windows 11 meldet auch keine Probleme, alles läuft wie es soll. Hat MSI hier was verbockt?

        Anbei Screenshots
        Zitieren
      • Von Tobi_bl85 Freizeitschrauber(in)
        Zitat von Jinanago
        Server Browser, hat früher auch funktioniert. 😉 Cheater wurden gleich gekickt und gebannt.
        Mit dem Unterschied, dass gute Spieler gerne mal von den Admins fälschlicherweise gebannt wurden um selbst besser dazustehen
        Zitieren
      • Von _Oskar_ Software-Overclocker(in)
        Zitat von Kondar
        Für mich nicht wirklich ein großes Thema da ich auf Bf6 / CoD versichten kann und werde.
        Cachy Os schaue ich mir erst noch weiter an.
        Bis jezt bin ich aber mit Mint sehr zufrieden, KaOs hatte auch was.....ja ist die Neugier...und Pop!_OS will auch noch getestet werden.
        Mir macht da "herumexperimentieren" mir den ganzen Distros im Moment mehr Laune als Bf / CoD zocken.
        In diesem Sinne:

        "Nenne keinen weise, ehe er nicht bewiesen hat, daß er eine Sache von wenigstens acht Seiten her beurteilen kann." -Zitat Konfuzius -

        Zitieren
      Direkt zum Diskussionsende
Hoch
  • Print / Abo
    Apps
    PCGH Magazin 07/2026 PC Games 07/2026 play5 07/2026 N-Zone 07/2026 Linux Magazin 07/2026 LinuxUser 07/2026 Raspberry Pi Geek 07/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk
Die Redaktion Datenschutz Artikel-Archiv Datenschutz-Optionen Mediadaten Impressum Utiq verwalten Abo kündigen Vertrag widerrufen AGB Inhalt melden Newsletter