Windows 11 Update KB5083769 kann BitLocker-Recovery auslösen

Microsoft hat ein bekanntes Problem im Windows 11 Update KB5083769 bestätigt. Nach dem Sicherheitsupdate vom 14. April 2026 können einige Geräte beim ersten Neustart direkt in die BitLocker-Recovery starten, statt normal auf den Desktop zu booten. Microsoft betont zugleich, dass das Problem nur eine begrenzte Zahl von Systemen betrifft und auf privaten, nicht von IT verwalteten Geräten eher unwahrscheinlich ist. Betroffen sind Windows 11 24H2 und 25H2.

Was KB5083769 bei BitLocker auslöst

Laut Microsoft tritt der Fehler nur dann auf, wenn mehrere Bedingungen gleichzeitig erfüllt sind. BitLocker muss auf dem Betriebssystemlaufwerk aktiv sein. In der Gruppenrichtlinie Configure TPM platform validation profile for native UEFI firmware configurations muss PCR7 ausdrücklich enthalten sein. In msinfo32.exe muss der Eintrag Secure Boot State PCR7 Binding auf Not Possible stehen. Zusätzlich muss das Windows UEFI CA 2023-Zertifikat bereits in der Secure-Boot-Datenbank vorhanden sein, während das System noch nicht mit dem 2023-signierten Windows Boot Manager läuft. Genau diese Kombination kann den einmaligen BitLocker-Bildschirm nach dem Windows 11 April Update KB5083769 auslösen.

Microsoft ordnet das ausdrücklich als nicht empfohlene BitLocker-Gruppenrichtlinienkonfiguration ein. Wer betroffen ist, muss den BitLocker-Wiederherstellungsschlüssel nur einmal eingeben. Danach sollen weitere Neustarts wieder normal durchlaufen, solange die Richtlinie nicht erneut geändert wird. Gleichzeitig ist der Fall besonders heikel, weil KB5083769 stark um Secure Boot und die Vorbereitung auf den Zertifikatsablauf ab Juni 2026 gebaut ist.

Was Nutzer und Administratoren jetzt tun können

Wer bereits im BitLocker-Recovery-Bildschirm hängt, braucht den passenden 48-stelligen Wiederherstellungsschlüssel. Microsoft empfiehlt, zuerst die Key ID auf dem Sperrbildschirm zu notieren. Danach kann der Schlüssel je nach Setup im Microsoft-Konto, im Arbeits- oder Schulkonto, auf einem Ausdruck oder auf einem USB-Stick liegen. Microsoft verweist für private Konten auf die Wiederherstellungsseite des Microsoft-Kontos und für Unternehmensgeräte auf den Konto- oder IT-Weg. Seit Windows 11 24H2 zeigt der BitLocker-Bildschirm außerdem einen Hinweis auf das zugehörige Microsoft-Konto an.

Wer KB5083769 noch nicht installiert hat und das Risiko vermeiden will, soll laut Microsoft die Richtlinie Configure TPM platform validation profile for native UEFI firmware configurations vor der Installation auf Not Configured setzen, danach gpupdate /force ausführen und BitLocker mit manage-bde -protectors -disable C: sowie manage-bde -protectors -enable C: neu binden. Für Unternehmen, die diese Richtlinie nicht rechtzeitig anpassen können, stellt Microsoft einen Known Issue Rollback bereit, der vor der Installation von KB5083769 angefordert und ausgerollt werden soll. Eine dauerhafte Lösung kündigt Microsoft für ein künftiges Windows-Update an.