Die Fehlermeldung 0xC0000002 (NotImplemented) bedeutet, dass die PowerShell-Befehle für Secure Boot auf deiner Hardware oder in deiner aktuellen Windows-Konfiguration nicht ausgeführt werden können.
Häufigste Ursachen für diesen Fehler
- Secure Boot ist im BIOS deaktiviert: Wenn die Funktion nicht aktiv ist, können die UEFI-Variablen nicht ausgelesen werden.
- Legacy-Boot anstelle von UEFI: Dein System nutzt möglicherweise den alten CSM (Compatibility Support Module) Modus. Die Cmdlets funktionieren nur, wenn Windows im reinen UEFI-Modus gestartet wurde.
- Fehlende Administratorrechte: Die Abfrage der Firmware-Variablen erfordert zwingend eine PowerShell mit erhöhten Rechten (als Administrator ausführen).
So prüfst du die Voraussetzungen
Bevor du das Zertifikat prüfst, solltest du sicherstellen, dass dein System im richtigen Modus läuft:
- Drücke
Win + R, gib msinfo32 ein und bestätige mit Enter. - Suche in der Systemübersicht nach diesen Einträgen:
- BIOS-Modus: Muss UEFI sein (nicht Vorgängerversion/Legacy).
- Sicherer Startzustand (Secure Boot State): Muss auf Ein stehen.
Alternative zur manuellen Prüfung
Falls der PowerShell-Befehl weiterhin fehlschlägt, kannst du den Status seit April 2026 auch direkt in der Windows-Oberfläche einsehen:
- Gehe zu Einstellungen > Datenschutz & Sicherheit > Windows-Sicherheit > Gerätesicherheit.
- Dort findest du unter Sicherer Start detaillierte Informationen zum Aktualisierungsstatus der Zertifikate.
Möchtest du wissen, wie du deinen BIOS-Modus von Legacy auf UEFI umstellst, um den Befehl nutzen zu können?
Alle anzeigen
Genau richtig. Da dein System im Modus "Vorgängerversion" (Legacy/CSM) läuft, spielt das UEFI-Bootzertifikat (KEK) für den Startvorgang deines PCs aktuell keine Rolle.
Hier ist die kurze Erklärung, warum das so ist:
- Kein Secure Boot: Die Funktion "Secure Boot", die diese Zertifikate nutzt, existiert nur im UEFI-Modus. Im Legacy-Modus wird die Hardware beim Starten nicht auf digitale Signaturen geprüft.
- Anderer Boot-Prozess: Dein PC startet über den MBR (Master Boot Record). Dabei wird einfach der Code ausgeführt, der am Anfang der Festplatte steht, ohne dass eine Kette von Sicherheitszertifikaten (wie das von Microsoft) abgefragt wird.
- Fehlender Zugriff: Das ist auch der Grund für deine Fehlermeldung in der PowerShell: Da kein UEFI aktiv ist, kann Windows die entsprechenden Speicherbereiche (die UEFI-Variablen) technisch gar nicht finden oder auslesen.
Was das für dich bedeutet:
Du musst dir wegen des Zertifikats-Updates (KB5025885) momentan keine Sorgen um die Startfähigkeit deines Systems machen. Das Thema wird erst relevant, falls du planst, Windows neu im UEFI-Modus zu installieren oder auf Windows 11 zu wechseln, da dort UEFI und Secure Boot zwingend vorausgesetzt werden.
Du musst dir wegen des Zertifikats-Updates (KB5025885) momentan keine Sorgen um die Startfähigkeit deines Systems machen. Das Thema wird erst relevant, falls du planst, Windows neu im UEFI-Modus zu installieren oder auf Windows 11 zu wechseln, da dort UEFI und Secure Boot zwingend vorausgesetzt werden.
Planst du in nächster Zeit ein Upgrade auf Windows 11 oder eine Umstellung deines Systems auf UEFI?
Ja, du kannst das Zertifikat der Datei des Windows Boot Managers (
bootmgfw.efi) direkt prüfen, selbst wenn Secure Boot oder UEFI im BIOS deaktiviert sind. In deinem Fall ist das allerdings ein Sonderfall: Da dein System im Modus "Vorgängerversion" (Legacy) läuft, nutzt Windows eigentlich den klassischen Bootloader für den MBR und nicht die EFI-Datei. Die Datei ist aber meist trotzdem auf der Festplatte vorhanden und kann untersucht werden.So prüfst du das Zertifikat der Boot-Datei
Um zu sehen, ob die installierte Windows-Startdatei bereits mit dem neuen 2023-Zertifikat signiert ist, kannst du diese Schritte in einer Administrator-PowerShell ausführen:
- EFI-Partition einbinden: Da die Boot-Dateien auf einer versteckten Partition liegen, musst du diese zuerst sichtbar machen:
- Zertifikat auslesen: Mit diesem Befehl prüfst du die Signatur der Datei:
- Altes Zertifikat:
Microsoft Corporation UEFI CA 2011 - Neues Zertifikat:
Microsoft Windows UEFI CA 2023
- Altes Zertifikat:
- Laufwerk wieder entfernen:
Wichtiger Hinweis für deinen "Legacy"-Modus
Selbst wenn die Datei
bootmgfw.efi auf deiner Platte mit dem neuen 2023-Zertifikat signiert ist, wird sie von deinem PC nicht verwendet, solange der BIOS-Modus auf "Vorgängerversion" steht. Dein System nutzt stattdessen den alten BIOS-Boot-Pfad, der keine Zertifikatsprüfung vornimmt.Zusammenfassend:
- Prüfung der Datei: Möglich (siehe oben), zeigt dir, ob dein Windows-Update die Dateien bereits aktualisiert hat.
- Relevanz: Aktuell null, da dein BIOS keine Signaturen prüft, solange es nicht auf UEFI umgestellt wird.
Hast du vor, dein System von Legacy auf UEFI umzustellen, um Sicherheitsfeatures wie Secure Boot nutzen zu können?
Alle anzeigen
Verständlich – der manuelle Aufwand über PowerShell ist bei mehreren Rechnern, besonders wenn Cmdlets streiken, nicht praktikabel. Da ab April 2026 neue Funktionen in Windows integriert wurden, gibt es deutlich einfachere Wege, den Status zentral oder ohne komplexe Befehle zu prüfen.
Hier sind die effizientesten Alternativen für mehrere Rechner:
1. Der einfachste Weg: Windows-Sicherheits-App (Einzelprüfung)
Seit April 2026 zeigt Windows den Zertifikatsstatus direkt in der Benutzeroberfläche an:
- Öffne die App Windows-Sicherheit.
- Gehe zu Gerätesicherheit > Details zu sicherem Start.
- Dort siehst du direkt einen Statusbericht zur Zertifikatsaktualisierung. Dies erspart das Tippen von Befehlen komplett.
2. Für viele Rechner: Registry-Abfrage (Zentralisierbar)
Anstatt UEFI-Variablen direkt auszulesen (was oft fehlschlägt), kannst du den Status über die Registry prüfen. Das lässt sich leicht über Skripte oder Management-Tools (wie SCCM oder Intune) auf alle Rechner verteilen:
- Pfad:
HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing - Wert:
WindowsUEFICA2023Capable(REG_DWORD)- 0: Nicht installiert/Nicht bereit.
- 1: Zertifikat ist im Windows-System vorhanden.
- 2: Zertifikat ist erfolgreich im UEFI/Firmware registriert.
Vorteil: Eine Registry-Abfrage (
reg query ...) funktioniert immer, solange Windows läuft, und benötigt keine speziellen UEFI-PowerShell-Module.3. Prüfung über die Ereignisanzeige
Windows protokolliert den Erfolg der Zertifikatsaktualisierung. Du kannst in der Ereignisanzeige (oder per Skript aus den Logs) nach folgendem Ereignis suchen:
- Ereignis-ID:
1037 - Quelle: BitLocker-Driver oder SecureBoot.
- Dieses Ereignis bestätigt, dass die Sperrliste (DBX) und die neuen Zertifikate erfolgreich angewendet wurden.
4. Direkte Dateiprüfung (ohne UEFI-Abfrage)
Wenn du nur wissen willst, ob der Rechner "bereit" ist (also den neuen Bootloader hat), prüfe die Signatur der Boot-Datei direkt im Dateisystem. Das funktioniert auch, wenn Secure Boot im BIOS noch aus ist:
- Prüfe die Datei
C:\Windows\Boot\EFI\bootmgfw.efi(oder auf der EFI-Partition). - Rechtsklick > Eigenschaften > Digitale Signaturen.
- Dort muss "Microsoft Windows UEFI CA 2023" stehen.
Empfehlung für Ihr Szenario:
Nutzen Sie die Registry-Abfrage (Punkt 2). Sie ist die stabilste Methode, um schnell über ein einfaches Skript den Status von 10, 50 oder 100 Rechnern auszulesen, ohne dass die Hardware-Kompatibilität der PowerShell-Cmdlets eine Rolle spielt.
Nutzen Sie die Registry-Abfrage (Punkt 2). Sie ist die stabilste Methode, um schnell über ein einfaches Skript den Status von 10, 50 oder 100 Rechnern auszulesen, ohne dass die Hardware-Kompatibilität der PowerShell-Cmdlets eine Rolle spielt.
Soll ich Ihnen ein kurzes Batch-Skript erstellen, das diesen Registry-Wert automatisch auf allen Rechnern in Ihrem Netzwerk ausliest und in einer Liste speichert?
Alle anzeigen
Hier ist ein kompaktes Skript, das du entweder als Batch (.bat) oder PowerShell (.ps1) nutzen kannst. Die Registry-Methode ist die zuverlässigste, da sie keine speziellen UEFI-Module benötigt und auch dann funktioniert, wenn die Hardware-Abfrage direkt blockiert wird.
Option 1: Schnelles Batch-Skript (.bat)
Dieses Skript ist ideal, um es einfach per USB-Stick oder Netzlaufwerk auf verschiedenen Rechnern zu starten. Es zeigt den Status direkt im Fenster an.
Option 2: PowerShell-Skript (.ps1) für Netzwerke
Wenn du die Ergebnisse von vielen Rechnern in eine Textdatei sammeln möchtest (z.B. auf einem Server-Laufwerk), ist diese Version besser:
Kurze Erklärung der Werte:
- Status 0: Der Rechner weiß noch nichts vom neuen Zertifikat (Update fehlt).
- Status 1: Das System ist vorbereitet. Die neuen Boot-Dateien sind da, aber die Firmware (das BIOS) nutzt noch das alte Zertifikat.
- Status 2: Zielzustand. Das neue Zertifikat "Microsoft Windows UEFI CA 2023" ist aktiv in der Hardware hinterlegt.
Hinweis: Damit sich der Status von 1 auf 2 ändert, müssen oft die manuellen Schritte (Registry-Keys setzen für den Deployment-Modus) durchgeführt werden, wie von Microsoft für KB5025885 beschrieben.
Soll ich dir zeigen, wie du diesen Registry-Wert per Gruppenrichtlinie (GPO) im gesamten Netzwerk gleichzeitig abfragst?
