Microsoft hat für die April-Sicherheitsupdates KB5083769 für Windows 11 24H2 und 25H2 sowie KB5082052 für Windows 11 23H2 ein bekanntes Problem dokumentiert: Auf bestimmten Systemen kann beim ersten Neustart nach der Installation unerwartet die Eingabe des BitLocker-Wiederherstellungsschlüssels verlangt werden. Die betroffenen Updates wurden am 14. April 2026 veröffentlicht; am selben Tag hat Microsoft den Fehler in den offiziellen KB-Artikeln als Known Issue ergänzt.
Kein Massenproblem, aber heikel für verwaltete Umgebungen
Nach Microsofts Angaben betrifft das Problem nur eine begrenzte Zahl von Systemen. Voraussetzung ist unter anderem, dass BitLocker auf dem OS-Laufwerk aktiv ist, eine explizite PCR7-Konfiguration per Gruppenrichtlinie gesetzt wurde, msinfo32 den Status „PCR7 Binding: Not Possible“ meldet, das Windows UEFI CA 2023-Zertifikat bereits vorhanden ist und der 2023-signierte Windows Boot Manager noch nicht aktiv genutzt wird. Microsoft weist ausdrücklich darauf hin, dass diese Konstellation eher in von IT-Abteilungen verwalteten Umgebungen als auf klassischen Privatgeräten anzutreffen ist.
Was für Unternehmen jetzt wichtig ist
Für IT-Teams ist vor allem relevant, dass das Verhalten nicht wahllos auftritt, sondern an eine spezifische BitLocker- und Secure-Boot-Konfiguration gekoppelt ist. Microsoft empfiehlt Unternehmen deshalb ausdrücklich, ihre BitLocker-Gruppenrichtlinien auf eine explizite PCR7-Einbindung zu prüfen und vor der Verteilung der Updates den PCR7-Bindungsstatus auf betroffenen Geräten zu kontrollieren. Tritt der Fehler auf, muss der Wiederherstellungsschlüssel laut Microsoft in diesem Szenario in der Regel nur einmal eingegeben werden; nachfolgende Neustarts lösen den Recovery-Bildschirm nicht erneut aus, solange die Richtlinienkonfiguration unverändert bleibt.
Microsoft nennt Workaround und KIR
Als bevorzugten Workaround empfiehlt Microsoft, die Richtlinie Configure TPM platform validation profile for native UEFI firmware configurations vor der Installation auf Not Configured zu setzen, die Richtlinien per gpupdate /force zu aktualisieren und BitLocker auf dem betroffenen Laufwerk kurz auszusetzen und wieder zu aktivieren. Für Unternehmen, die diese Richtlinie vor dem Rollout nicht entfernen können, stellt Microsoft zusätzlich einen Known Issue Rollback (KIR) bereit. Dieser verhindert laut Microsoft die automatische Umstellung auf den 2023er Boot Manager und damit den BitLocker-Recovery-Trigger. Eine dauerhafte Behebung sei für ein zukünftiges Windows-Update geplant.
Fachpresse bestätigt die Relevanz
Mehrere etablierte Fachmedien haben das Thema inzwischen aufgegriffen. PC-WELT berichtet, dass betroffene Nutzer nach Installation von KB5083769 beziehungsweise KB5082052 ausgesperrt werden können, wenn der BitLocker-Schlüssel abgefragt wird, und verweist ebenfalls auf Microsofts offizielle Problembeschreibung. BleepingComputer ordnet die beiden Pakete zugleich als die regulären, verpflichtenden April-Patch-Tuesday-Updates für Windows 11 ein.
Einordnung für IT-Entscheider
Für Unternehmen ist das kein genereller Grund, die April-Updates pauschal zu stoppen. Es ist aber ein klares Signal, BitLocker-, Secure-Boot- und TPM-Richtlinien vor dem Rollout enger zu prüfen als üblich. Wer größere, zentral verwaltete Windows-11-Flotten betreibt, sollte jetzt verifizieren, ob die eigene Policy-Konfiguration in die von Microsoft beschriebene Risikokombination fällt. Sonst drohen unnötige Helpdesk-Fälle und Zugriffsprobleme direkt nach dem Neustart. Stand Freitag, 17. April 2026, verweist Microsoft noch auf Workaround und KIR; ein permanenter Fix wurde noch nicht veröffentlicht.
Das muss man gelesen haben?
Behalten Sie ihr Wissen nicht für sich und teilen Sie diesen Beitrag.