Nach VeraCrypt hat jetzt auch WireGuard Probleme mit Microsoft, wenn es um die Signatur-Frage geht. Wir klären die aktuelle Sachlage auf.
WireGuard ist ein schlankes, modernes VPN-Protokoll, das verschlüsselte Netzwerkverbindungen besonders effizient und einfach umsetzt. Konkrete technische Probleme sind dabei bislang nicht bekannt. Die Sperrung des Microsoft-Kontos hat für den Entwickler Jason A. Donenfeld aber zur Folge, dass er in den nächsten Wochen keine Updates veröffentlichen kann. Das wäre fatal, sollten im fraglichen Zeitraum irgendwelche kritische Sicherheitslücken auftauchen.
In den vergangenen Tagen hat sein Tweet für hitzige Diskussionen gesorgt. Schnell entstand bei manchen Lesern der Eindruck, als habe Microsoft etwas an seinen Signaturmechanismen geändert – und Tools wie WireGuard müssten nun nachziehen, um weiterhin zu funktionieren. Teilweise haben manche sogar spekuliert, es gehe bereits um die neuen Secure-Boot-Zertifikate, die Microsoft bis 2026 ausrollen will.
Tatsächlich zeigt der Fall aber vor allem eines: Nämlich, wie abhängig selbst etablierte Open-Source-Projekte wie Edge Security (WireGuard) inzwischen von Microsofts Infrastruktur und ihrem Regelwerk sind.
Die Signatur-Frage – Worum geht es beim Tweet?
Der konkrete Hintergrund ist aber weniger spektakulär, als es auf den ersten Blick wirkt. Donenfeld bezieht sich nicht auf Secure Boot oder neue Firmware-Zertifikate, sondern auf die ganz klassische Windows-Treibersignierung.
WireGuard für Windows basiert auf einem Kernel-Treiber („wireguard-nt“), der – wie alle Treiber in modernen Windows-Versionen – von Microsoft signiert sein muss. Diese Signatur ist Voraussetzung dafür, dass der Code überhaupt geladen wird. Verschärft wird das Ganze durch Sicherheitsfunktionen wie HVCI (Hypervisor-Protected Code Integrity), die nur noch besonders „saubere“ Treiber zulassen.
Wenn Microsoft hier Änderungen an den Anforderungen oder Prüfmechanismen vornimmt, kann es passieren, dass Windows bestehende Treiber plötzlich nicht mehr akzeptiert. Genau in diesem Spannungsfeld bewegt sich der Vorfall. Es geht darum, dass WireGuard mit den aktuellen Signatur- und Policy-Vorgaben wieder kompatibel ist. Es geht nicht um eine neue, grundlegende Zertifikatsstruktur.
Secure Boot: Andere Baustelle, ähnliche Problematik
Die Verwirrung entsteht vor allem dadurch, dass parallel ein anderes Thema läuft: Microsoft tauscht seine Secure-Boot-Zertifikate aus, da die bisherige UEFI-CA im Jahr 2026 ausläuft.
Das betrifft jedoch eine ganz andere Ebene. Secure Boot greift früh im Systemstart und kontrolliert die Vertrauenskette von der Firmware über den Bootloader bis zum Betriebssystem. Klassische Windows-Treiber – und damit auch WireGuard – sind davon nicht direkt betroffen.
Dass beides trotzdem immer wieder in einen Topf geworfen wird, liegt auch daran, dass Microsofts Sicherheitsarchitektur zunehmend komplex und intransparent geworden ist. Für viele Nutzer verschwimmen die Grenzen zwischen Treibersignierung, Kernel-Integrität und Boot-Sicherheit.
Warum VeraCrypt eher ein Problem bekommen könnte
Spannender ist der Fall hingegen bei der Verschlüsselungssoftware VeraCrypt. Während WireGuard als Netzwerk-Treiber erst im laufenden System arbeitet, greift VeraCrypt beispielsweise bei der Systemverschlüsselung deutlich tiefer ein. Da geht es nicht nur um eine Signatur-Frage.
Die Software kann eigene Komponenten im Bootprozess platzieren und arbeitet damit näher an genau jener Vertrauenskette, die Microsoft durch Secure Boot absichert. Änderungen an dieser Kette haben deshalb potenziell direkte Auswirkungen auf VeraCrypt, während WireGuard davon weitgehend unberührt bleibt.
Das eigentliche Problem: Microsoft kontrolliert die Spielregeln
Der Fall Donenfeld ist letztlich weniger ein technisches Problem als ein strukturelles. Wer Software für den Windows-Kernel entwickelt, ist vollständig darauf angewiesen, dass Microsoft die entsprechenden Signaturen ausstellt und die Regeln nicht kurzfristig ändert.
Diese Abhängigkeit ist kein neues Phänomen, wird aber durch Features wie HVCI oder strengere Treiber-Policies immer stärker. Selbst gut gepflegte Open-Source-Projekte müssen regelmäßig nachziehen, wenn Microsoft an den Anforderungen schraubt. Für kleinere Projekte kann das schnell zum Aus führen. Ohne gültige Signatur läuft der Code schlichtweg nicht mehr – unabhängig davon, wie sicher oder sinnvoll er ist. Wer das als Entwickler nicht mehr möchte, muss sich ein offenes Betriebssystem seiner Wahl suchen.
Fazit: Entwarnung, aber kein Grund zur Entspannung
Aktuell gibt es keinen Hinweis darauf, dass WireGuard durch neue Microsoft-Zertifikate oder den Secure-Boot-Wechsel gefährdet ist. Der Tweet von Donenfeld bezieht sich auf die laufende Anpassung an bestehende Signaturanforderungen, nicht auf kommende Änderungen. Die Aufregung ist daher größtenteils unbegründet.
Gleichzeitig legt die Diskussion um die Signatur-Frage aber ein grundlegendes Problem offen. Die Kontrolle über zentrale Sicherheitsmechanismen liegt vollständig beim Windows-Hersteller in Redmond. Wer im Kernel arbeiten will, spielt nach deren Regeln – oder gar nicht.
VeraCrypt & WireGuard: Trübe Aussichten voraus?
WireGuard funktioniert erstmal einwandfrei, auch auf den Windows-Rechnern. Doch die Aufregung im Internet kommt nicht von ungefähr. Für die Entwickler bleibt nämlich die unbequeme Erkenntnis, dass die Kontrolle über zentrale Sicherheitsmechanismen nicht mehr in ihren Händen liegt. Die Macht darüber besitzt Microsoft. Der Konzern gibt sie sicher nicht mehr freiwillig her, weder jetzt noch später.
Wie gesagt, wem das nicht passt, muss das Betriebssystem wechseln. Wir haben zufällig erst vor wenigen Stunden Parrot OS als Alternative vorgestellt. Diese Linux-Distribution ist nicht nur für Pentester, sondern durchaus auch für Einsteiger geeignet.
