Hinweis: Dieser Beitrag enthält Affiliate-Links (mit * gekennzeichnet). Kaufst du über einen dieser Links, erhalte ich eine kleine Provision — für dich ändert sich der Preis nicht.
SCHOCK-Nachricht für jeden, der WireGuard auf Windows nutzt: Microsoft hat das Entwicklerkonto von Jason Donenfeld — dem Schöpfer des Open-Source-VPN-Protokolls — kommentarlos abgeklemmt. Donenfeld kann seitdem keine signierten Treiber-Updates für die Windows-Installation mehr ausliefern. Das hat er TechCrunch am 8. April 2026 bestätigt; bis heute (Stand 6. Mai) ist die Sperre nicht aufgehoben.
SO funktioniert die Lockout-Falle
Windows verlangt seit Jahren signierte Treiber — Code, der im Kernelspace läuft, kommt nur über das offizielle Windows-Hardware-Compatibility-Programm rein. Genau dieses Konto hat Microsoft abgeschnitten. Ohne Signatur kein Update über die normalen Kanäle, ohne Update keine Bug-Fixes oder Security-Patches im Kernelmodul. Stillstand.
Donenfeld berichtet, dass er das Konto seit Jahren ohne Auffälligkeiten betreibt. Microsoft schweigt — das ist mittlerweile der zweite hochkarätige Fall innerhalb weniger Wochen, in dem ein Open-Source-Entwickler aus dem Programm fliegt. Das wirft brennende Fragen über Microsofts automatisierte Trust-Systeme auf.
UNGLAUBLICH: Millionen Nutzer betroffen
WireGuard ist auf Windows kein Nischenprodukt. Privat-Nutzer, Homelab-Bastler, Firmen-Setups — alle hängen am offiziellen Installer. Wer aktuell die installierte Version laufen hat, ist erstmal nicht in Gefahr. Aber: ein neuer Bug, eine Sicherheits-Lücke, ein Crypto-Update — alles bleibt liegen, solange Microsoft die Sperre nicht aufhebt.
SO machst du dein Setup SOFORT robust
- Schritt 1: Aktuelle Version (2026.04.x) installiert lassen. NICHT deinstallieren — sonst fehlt dir der Treiber komplett.
- Schritt 2: Backup-Client einrichten. Mullvad-, ProtonVPN- und NordVPN-Clients bringen ihre eigenen WireGuard-Implementierungen mit, signiert über ihre eigenen Zertifikate. Die sind nicht betroffen.
- Schritt 3: Logging aktivieren mit
wg-quick set-Optionen, damit du sehen kannst, ob der Tunnel auffällig wird. - Schritt 4: auf Linux/Macbook umsteigen, wo möglich — dort läuft WireGuard im Kernel selbst, ganz ohne Microsoft-Signaturen.
EXTRA-TIPP: Mullvad GotaTun statt blocked Treiber
Mullvad arbeitet mit dem GotaTun-Projekt an einer komplett neuen Rust-basierten WireGuard-Implementierung — und Mullvad signiert die Treiber selbst. Wer rein auf Tunnel-Stabilität schaut, kommt damit aus der Sackgasse raus, ohne auf das offizielle WireGuard-für-Windows-Update warten zu müssen. ProtonVPN baut für 2026 ähnlich um.
SCHOCK-Detail: Open Source schwankt unter Trust-Automatik
Die Lockout-Welle trifft nicht nur einen Entwickler. Microsofts automatische Trust-Systeme entscheiden ohne menschliches Auge, wer raus fliegt — und Open-Source-Maintainer, die wenig Telemetrie und keine Firma im Rücken haben, sind besonders gefährdet. Tech-Reporter und Foundation-Vertreter fordern bereits öffentlich, dass Microsoft seine Prozesse offenlegt. Politisch hat das Thema Sprengkraft: Open-Source ist Infrastruktur, nicht Hobby.
FAZIT: Backup-Plan JETZT umsetzen
Bleib ruhig — dein Tunnel läuft. Aber dass du dich mit einem Single-Point-of-Failure (Microsofts gnädiger Stempel) abgesichert hast, war von vornherein eine Wette. Hol dir parallel einen Plan-B-Client, lass den eigentlichen WireGuard-für-Windows als Backup laufen, und schau jeden Morgen kurz auf Donenfelds Mastodon-Konto, ob die Sperre fällt. Sobald sie fällt, gibt es einen Sammel-Update-Schub — und das willst du nicht verschlafen.
Mein Hardware-Tipp dazu
ProtonVPN mit eigenem WireGuard-Client* — mehr Empfehlungen findest du jederzeit unter Empfehlungen.