AVG Driver Updater
powered by Engelmann Software
EN Driver Updater
Problem & Lösung

Signierte vs. unsignierte Treiber — was ist sicher?

Beim Treiber-Installieren erscheinen Warnmeldungen wie „Treiber ist nicht digital signiert" — was bedeutet das? Wir erklären WHQL-Zertifizierung, EV-Code-Signing, wann unsignierte Treiber sinnvoll sind und wann sie eine Sicherheitslücke darstellen.

Veröffentlicht: 2026-05-01 Lesedauer: 3 Min

Beim Installieren von Treibern erscheinen manchmal Warnmeldungen wie „Windows kann den Herausgeber dieser Treibersoftware nicht überprüfen" oder „Der Treiber ist nicht digital signiert". Hinter diesen Meldungen steht eines der wichtigsten Sicherheits-Konzepte moderner Betriebssysteme: digitale Signaturen. Dieser Artikel erklärt, wie sie funktionieren, warum sie wichtig sind und wann unsignierte Treiber problematisch werden.

Grundlagen: Was ist eine Treiber-Signatur?

Eine digitale Signatur ist im Wesentlichen ein kryptografischer Stempel, mit dem ein Hersteller einen Treiber „unterschreibt". Dafür wird ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (CA) verwendet — vergleichbar mit einem amtlichen Ausweis. Windows kann beim Installieren prüfen, ob:

  • der Treiber tatsächlich vom angegebenen Hersteller stammt (Authentizität)
  • der Treiber seit der Signierung nicht verändert wurde (Integrität)
  • das Hersteller-Zertifikat von einer vertrauenswürdigen CA ausgestellt ist

WHQL-zertifizierte Treiber

WHQL (Windows Hardware Quality Labs) ist Microsofts Treiber-Zertifizierungsprogramm. Wenn ein Hersteller einen Treiber bei Microsoft einreicht, wird er auf Stabilität getestet, mit verschiedener Hardware geprüft, und dann von Microsoft zusätzlich signiert. WHQL-Treiber haben damit zwei Signaturen:

  1. Die Signatur des Herstellers (Authentizität)
  2. Die Signatur von Microsoft (Qualitäts-Garantie)

Vorteile: Höchste Sicherheit, automatische Verteilung über Windows-Update möglich, keine Warnmeldungen.

EV-Code-Signing für Kernel-Treiber

Seit Windows 10 (und besonders Windows 11) verlangt Microsoft für Kernel-Mode-Treiber zusätzlich Extended Validation Code Signing Certificates (EV-Zertifikate). Diese sind teurer (200–500 € pro Jahr statt 100 €) und verlangen eine ausführliche Hersteller-Identitätsprüfung. Damit sollen die Vulnerable-Driver-Probleme der letzten Jahre eingedämmt werden — Angreifer haben deutlich höhere Hürden, um signierte Treiber zu erlangen.

Signierte Treiber automatisch im Bündel

AVG Driver Updater installiert nur signierte Versionen direkt von den Herstellern — keine zweifelhaften Quellen.

Mehr erfahren

Wann sieht man unsignierte Treiber?

  • Sehr alte Hardware — Treiber von vor 2015, als Signatur-Pflicht weniger streng war
  • Open-Source-Hardware-Projekte — Bastler-Hardware, deren Hersteller keine kommerziellen Zertifikate hat
  • Modifizierte Treiber — z. B. inoffizielle Treiber für ältere GPUs auf neuen Windows-Versionen
  • Beta-Treiber — manchmal vor WHQL-Zertifizierung verteilt
  • Treiber aus zweifelhaften Quellen — Drittanbieter-Webseiten mit „Treiber-Paketen", die manchmal Schadsoftware enthalten

Unsignierte Treiber installieren?

Windows blockiert standardmäßig unsignierte Kernel-Treiber. Die Installation ist nur über Sonder-Modi möglich:

Test Signing Mode (für Entwickler)

Für Software-Entwickler, die eigene Treiber testen wollen:

  1. Eingabeaufforderung als Administrator
  2. bcdedit /set testsigning on
  3. Reboot
  4. Auf dem Desktop erscheint dann ein „Test Mode"-Wasserzeichen

Im Test-Modus akzeptiert Windows unsignierte Treiber — aber er ist als Sicherheitsrisiko klar gekennzeichnet.

Disable Driver Signature Enforcement

Einmaliges Booten mit deaktivierter Treiber-Signatur-Erzwingung:

  1. Shift gedrückt halten beim Klick auf Neu starten
  2. Problembehandlung → Erweiterte Optionen → Starteinstellungen → Neu starten
  3. Nach dem Neustart: F7 für Treibersignatur erzwingen deaktivieren

Gilt nur für die aktuelle Sitzung — nach dem nächsten Reboot ist die Erzwingung wieder aktiv. Ist nicht für regelmäßigen Gebrauch gedacht, sondern eine Notfall-Option.

Warnung: Das dauerhafte Deaktivieren der Treiber-Signatur-Erzwingung ist eine massive Sicherheits-Schwächung. Schadsoftware kann darüber Kernel-Code installieren, was praktisch nicht mehr zu beheben ist. Nur für temporäre Diagnose oder eigene Entwicklung nutzen.

Wie prüfe ich, ob ein Treiber signiert ist?

Im Datei-Explorer:

  1. Rechtsklick auf die .sys- oder .cat-Datei → Eigenschaften
  2. Tab Digitale Signaturen
  3. Wenn vorhanden: Signatur-Inhaber, Datum und ggf. Microsoft-Zertifizierung sichtbar

Per Eingabeaufforderung als Admin: signtool verify /v /pa "C:\Pfad\zur\Datei.sys"

Zusammenfassung

Signierte Treiber sind eine wichtige Sicherheits-Maßnahme — sie stellen sicher, dass Treiber von vertrauenswürdigen Herstellern stammen und nicht manipuliert wurden. WHQL-zertifizierte Treiber sind die sicherste Variante, EV-Code-Signed-Treiber sind seit Windows 10 für Kernel-Mode Pflicht. Unsignierte Treiber sollten nur in seltenen Ausnahmefällen installiert werden — und nie aus Quellen, die nicht eindeutig dem Hersteller zuzuordnen sind.

Weiterführende Quellen

Authoritative Quellen für tiefergehende Informationen:

Häufige Fragen

Windows Hardware Quality Labs — Microsofts Zertifizierungsprogramm. WHQL-zertifizierte Treiber wurden von Microsoft auf Kompatibilität und Stabilität getestet und zusätzlich signiert.

Beta-Treiber sind oft signiert, aber nicht WHQL-zertifiziert. Sie können neuere Bugfixes oder Game-Optimierungen enthalten, sind aber weniger gründlich getestet. Für Standardanwender: WHQL bleibt die sicherere Wahl. Für Power-User in spezifischen Anwendungsfällen: Beta nutzbar.

Direkt von der Hersteller-Webseite (URL stimmt) oder über offizielle Tools (Nvidia App, Adrenalin, Windows-Update). Drittanbieter-Treiber-Aggregator-Seiten oft fragwürdig — manche bieten gefälschte oder mit Adware versehene Installer.

Nicht für Privat-Nutzer. Test Signing Mode ist für Treiber-Entwickler gedacht und schaltet einen wichtigen Sicherheits-Mechanismus aus. Wenn aktiv, kann Schadsoftware leichter Kernel-Code installieren.

Die Blocklist enthält bekannte signierte Treiber mit Sicherheitslücken (z. B. RTCore64, AsrDrv, DBUtil_2_3). Windows blockiert ihre Installation auch wenn sie korrekt signiert sind. Mehr dazu in unserer Vulnerable Driver-Übersicht.

Bei sehr alten Druckern (vor 2010) sind Original-Treiber oft nicht mehr Windows-11-tauglich, weil sie unsigniert sind oder kein WDDM-Update haben. Lösung: Generische IPP-Druckunterstützung in Windows 11 oder Hersteller-Webseite nach aktualisierten Versionen prüfen.

Lassen Sie Ihre Treiber automatisch prüfen.

AVG Driver Updater scannt Ihren PC, erkennt veraltete und vulnerable Treiber und installiert die richtigen Versionen — sicher, geprüft, von den Original-Entwicklern.

Jetzt prüfen lassen