Wer auf Windows VeraCrypt zur Festplattenverschlüsselung oder WireGuard als VPN-Protokoll einsetzt, sollte die aktuelle Entwicklung kennen: Microsoft hat die Entwicklerkonten beider Projekte im Windows Hardware Program gesperrt. Die Folge ist, dass keine neuen signierten Treiber und keine Windows-Updates mehr ausgeliefert werden können. Zumindest zeichnet sich seit gestern eine Lösung ab.

Was ist passiert?

Mounir Idrassi, Hauptentwickler von VeraCrypt, meldete sich Anfang April 2026 nach mehrmonatiger Funkstille auf SourceForge zu Wort. Microsoft hatte sein Partner-Center-Konto, das er seit Jahren zum Signieren von Windows-Treibern und des VeraCrypt-Bootloaders verwendet, ohne Vorwarnung gesperrt. Er erhielt keine E-Mail, keine Begründung, und das Konto bietet laut Microsoft keine Einspruchsmöglichkeit. Alle Versuche, über Support-Kanäle einen menschlichen Ansprechpartner zu erreichen, liefen ins Leere.

Kurz darauf bestätigte Jason Donenfeld, Entwickler des WireGuard-Protokolls, auf Hacker News den identischen Vorfall. Er wollte ein größeres Update für den WireGuard-Windows-Client einreichen, das erste seit fast vier Jahren, und stieß beim Login in seinen Entwickleraccount auf eine Zugriffssperre. Auch das VPN-Unternehmen Windscribe, das seinen verifizierten Account seit über acht Jahren betrieb, ist betroffen.

Technischer Hintergrund

Windows verlangt für Kernel-Treiber eine gültige digitale Signatur. Entwickler müssen dazu ein verifiziertes Konto im Windows Hardware Program (Partner Center) unterhalten. Microsoft startete ab Oktober 2025 eine verpflichtende Nachverifikation aller Partnerkonten per Lichtbildausweis. Konten, die diese Verifikation nicht bis zum Stichtag abgeschlossen haben, wurden automatisch gesperrt.

Das Problem: Die betroffenen Entwickler berichten, keine entsprechenden E-Mails erhalten zu haben. Donenfeld prüfte eigenen Angaben zufolge alle Postfächer inklusive Spam-Ordnern und Mail-Logs. Bei VeraCrypt hat die Kontensperrung noch eine besondere Brisanz: Microsoft revoziert die Zertifizierungsstelle (CA), mit der der VeraCrypt-Bootloader signiert wurde. Nutzer, die ihr System mit VeraCrypt vollverschlüsselt haben, könnten nach Juli 2026 nicht mehr starten, wenn bis dahin kein neu signierter Bootloader ausgeliefert wird.

Das Protokoll bildet für Wireguard die Grundlage zahlreicher kommerzieller VPN-Dienste, darunter Proton VPN und Tailscale. Donenfeld wies darauf hin, dass er im Falle einer kritisch ausgenutzten Schwachstelle derzeit kein Notfall-Update für Windows bereitstellen könnte.

Aktueller Stand

Am 9. April 2026 meldete sich Scott Hanselman, Vice President bei Microsoft, öffentlich auf X zu Wort. Er bestätigte, dass Microsoft die Entwickler seit Oktober 2025 per E-Mail über die Verifikationspflicht informiert hatte, und bezeichnete den Vorfall als administratives Versehen, kein gezieltes Vorgehen. Hanselman gab an, persönlich mit beiden Entwicklern gesprochen zu haben und erklärte, die Konten würden gerade wiederhergestellt. Die genaue Timeline für die vollständige Entsperrung ist noch offen.

Aktuell besteht kein unmittelbares Sicherheitsrisiko durch eine Schwachstelle in VeraCrypt oder WireGuard. Das Risiko ist dabei eher struktureller Natur. Beide Projekte können im Angriffsfall keine Patches für Windows bereitstellen. Für VeraCrypt-Nutzer mit aktivierter Systemverschlüsselung besteht ab Juli 2026 ein konkretes Betriebsrisiko, wenn die CA-Revokation wirksam wird und kein neu signierter Bootloader vorliegt.