Am 14. Oktober 2025 endete der Support für Windows 10 – damit erhalten Millionen PCs und Notebooks in KMU keine kostenlosen Sicherheitsupdates mehr. Für IT-Verantwortliche geht es jetzt um eine klare Bestandsaufnahme: Welche Geräte sind Windows-11-fähig und können direkt migriert werden? Welche Geräte brauchen ESU-Lizenzen als Überbrückung? Und wo lohnt sich ein Neukauf oder der Wechsel zu Linux? Diese Anleitung führt dich Schritt für Schritt durch die Inventur, den Entscheidungsbaum und die konkrete Umsetzung – mit realen Kostenzahlen und einer ehrlichen Einschätzung der Compliance-Risiken.

Voraussetzungen

Windows 10 auf allen Zielgeräten auf Version 22H2 (Build 19045) aktualisiert – Pflichtvoraussetzung für ESU
Erhöhte PowerShell-Session (Admin-Rechte) auf den Zielgeräten für die Inventur-Befehle
Microsoft Volume-Licensing-Vertrag oder CSP-Partner für den kommerziellen ESU-Kauf (ab 1 Lizenz)
Bestandsliste der eingesetzten Applikationen (für Linux-Migrationscheck und Kompatibilitätsprüfung)
Internet-Zugang auf den Geräten für ESU-Aktivierung per MAK oder Windows Update
Optional: HardwareReadiness.ps1 von Microsoft für automatisierte Flotteninventur
Budget-Planung: ESU-Kosten (61/122/244 USD/Gerät/Jahr) vs. Hardware-Neubeschaffungskosten

Schritt 1: TPM-Status und Hardware-Kompatibilität per PowerShell prüfen

Bevor du eine Entscheidung pro Gerät triffst, brauchst du verlässliche Daten. Führe folgende Befehle auf jedem Gerät in einer erhöhten PowerShell-Session aus – oder rolle das offizielle Microsoft-Skript per Gruppenrichtlinie oder Intune aus:

# TPM-Version prüfen (Admin-Session erforderlich)
Get-Tpm
# Relevante Felder: TpmPresent, TpmEnabled, TpmReady, ManufacturerVersion
# ManufacturerVersion '2.0' = Windows-11-kompatibel

# Alternativ via WMI (auch ohne Admin, gut für Inventur-Skripte)
Get-CimInstance -Namespace 'root\cimv2\Security\MicrosoftTpm' -ClassName 'Win32_Tpm' |
  Select-Object IsActivated_InitialValue, IsEnabled_InitialValue, SpecVersion

# Secure Boot Status prüfen
Confirm-SecureBootUEFI
# $true = aktiv und kompatibel; $false = deaktiviert; Fehler = kein UEFI-System

# Firmware-Typ prüfen (UEFI vs. Legacy BIOS)
$env:firmware_type
# 'UEFI' = kompatibel; 'Legacy' = kein Windows 11 ohne Umbau

# CPU-Modell und Generation abfragen
Get-CimInstance -ClassName Win32_Processor |
  Select-Object Name, Caption, NumberOfCores, MaxClockSpeed

# RAM-Kapazität prüfen (mindestens 4 GB erforderlich)
(Get-CimInstance -ClassName Win32_ComputerSystem).TotalPhysicalMemory / 1GB

# Freien Speicher auf Systemlaufwerk prüfen (mindestens 64 GB erforderlich)
Get-PSDrive -Name C | Select-Object Used, Free

Für die schnelle Einzelprüfung kannst du auch tpm.msc (Win+R) starten – die TPM-Konsole zeigt dir direkt „TPM ist bereit" und die Spezifikationsversion.

Für eine automatisierte Flotteninventur nutze das offizielle Microsoft-Skript:

# Offizielle HardwareReadiness.ps1 ausführen (Einzelgerät)
Set-ExecutionPolicy -Scope Process RemoteSigned
.\HardwareReadiness.ps1
# Download: https://aka.ms/HWReadinessScript
# Returncode 0 = kompatibel; Returncode 1 = inkompatibel (Begründung in returnReason)

# Fleet-Inventur über Active Directory (alle aktivierten Computer auswerten)
Get-ADComputer -Filter {enabled -eq 'true'} -Properties * |
  Where-Object { $_.Info -match '"returnCode":1' } |
  Select-Object Name, @{N='Grund'; E={ ($_.Info | ConvertFrom-Json).returnReason }}

Schritt 2: Entscheidungsbaum – pro Gerät die richtige Strategie wählen

Basierend auf dem Inventurergebnis triffst du für jedes Gerät eine von vier Entscheidungen. Die folgende Tabelle fasst die Optionen mit Kosten und Risiken zusammen:

Gerätekategorie	Kriterium	Empfehlung	Kosten (Gerät)	Support bis
TPM 2.0, UEFI, CPU ≥ Intel 8. Gen / Ryzen 2000	Offiziell Windows-11-fähig	Direkt auf Windows 11 migrieren	0 EUR (Upgrade kostenlos)	2031+ (Win 11 LTSC)
TPM 1.2, UEFI, CPU 7. Gen / Ryzen 1000	Teilweise kompatibel	Registry-Bypass (nur Übergangslösung)	0 EUR, aber kein Support	Kein Microsoft-Support
TPM 2.0/1.2 vorhanden, CPU zu alt für Win 11	ESU sinnvoll wenn Ersatz < 3 Jahre	ESU kaufen, Gerätewechsel planen	61/122/244 USD/Jahr	Oktober 2028
Kein TPM, sehr alte CPU (vor 2014)	Kein Upgrade-Pfad vorhanden	Linux oder Hardware-Neukauf	0 EUR (Linux) oder Neukauf	Ubuntu LTS bis 2034
Embedded/Kiosk-System mit Windows 10	Langzeit-Support ohne neue HW nötig	Windows 10 IoT Enterprise LTSC 2021	OEM-Lizenz erforderlich	13. Januar 2032

Windows 11-Mindestanforderungen im Überblick: TPM 2.0, UEFI Secure Boot, 64-Bit-CPU ab Intel Core 8. Generation „Coffee Lake" (2017) oder AMD Ryzen 2000 „Zen+" (2018), 4 GB RAM, 64 GB Speicher, DirectX 12 / WDDM 2.0, Display mindestens 720p und 9 Zoll. Wichtig: Windows 11 24H2 setzt zusätzlich SSE4.2- und POPCNT-Instruktionssätze voraus – sehr alte CPUs (Core 2 Duo, Pentium vor 2010) können auch mit Bypass-Tools nicht auf 24H2 aktualisiert werden.

Schritt 3: ESU aktivieren (für Geräte, die noch nicht ersetzt werden)

ESU ist nur für Geräte mit Windows 10 Version 22H2 verfügbar. Prüfe zuerst die installierte Version:

# Windows-Version prüfen (muss 22H2 sein für ESU-Berechtigung)
(Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion').DisplayVersion
# Muss '22H2' ausgeben; ältere Versionen erst auf 22H2 updaten

Nach dem Kauf der ESU-Lizenzen über das Microsoft 365 Admin Center oder deinen CSP-Partner aktivierst du den Multiple Activation Key (MAK) auf den Geräten:

# ESU MAK-Key aktivieren (nach Lizenzkauf im Volume Licensing)
# Schritt 1: MAK aus Microsoft 365 Admin Center / Volume Licensing holen
# Schritt 2: Auf dem Gerät als Admin ausführen
slmgr /ipk <ESU-MAK-Key>
slmgr /ato
# Alternativ: massenweise per Intune, SCCM oder Windows Autopatch ausrollen

Die ESU-Kosten für Unternehmen und Bildungseinrichtungen gestaffelt nach Jahr:

ESU-Jahr	Zeitraum	Preis/Gerät (kommerziell)	Kumulativ (Einstieg in Jahr 2)
Jahr 1	Nov 2025 – Okt 2026	61 USD	61 USD (Pflicht auch bei späterem Einstieg)
Jahr 2	Nov 2026 – Okt 2027	122 USD	183 USD gesamt
Jahr 3	Nov 2027 – Okt 2028	244 USD	427 USD gesamt

Rechenbeispiel für 20 Geräte: Über alle drei ESU-Jahre fallen pro Gerät 427 USD an, für 20 Geräte also rund 8.540 USD (ca. 7.800 EUR). Ein neuer Business-PC kostet oft 600–900 EUR – bei 20 Geräten wären das 12.000–18.000 EUR für Neuanschaffung. ESU lohnt sich daher nur als kurzfristige Überbrückung, wenn ein konkreter Hardware-Refreshplan für das nächste Jahr besteht.

Schritt 4: Direktes Windows-11-Upgrade für kompatible Geräte

Für Geräte, die die Mindestanforderungen erfüllen, ist das In-Place-Upgrade der einfachste Weg. Du behältst alle installierten Anwendungen, Daten und Einstellungen. Ein vollständiges Backup vor dem Upgrade ist Pflicht. Für Hyper-V-VMs gilt: Windows 11 erfordert eine Generation-2-VM mit virtuellem TPM und Secure Boot. Ein In-Place-Upgrade von Generation-1-VMs auf Windows 11 ist nicht möglich – du musst eine neue Gen-2-VM erstellen und die Daten migrieren. Lese dazu auch unsere Anleitung zu Hyper-V: Virtuelle Maschinen und Checkpoints.

Wenn ein Gerät im Legacy-BIOS-Modus (CSM aktiv) läuft, obwohl UEFI-Firmware vorhanden ist, musst du vor dem Upgrade die Partition von MBR zu GPT konvertieren:

# MBR zu GPT konvertieren (vor UEFI-Umstellung, ohne Datenverlust)
# WICHTIG: Backup erstellen, dann in erhöhter CMD ausführen
MBR2GPT /convert /disk:0 /allowFullOS
# Danach im BIOS CSM deaktivieren und Secure Boot aktivieren

Schritt 5: Bypass-Methoden – Risiken nüchtern bewerten

Für Geräte mit TPM 1.2 (aber nicht 2.0) gibt es einen Registry-Bypass für das In-Place-Upgrade. Dieser ist für Übergangslösungen oder unkritische Geräte geeignet, sollte aber in produktiven Unternehmensumgebungen nur bewusst und dokumentiert eingesetzt werden:

# Registry-Bypass für In-Place-Upgrade auf TPM-1.2-Geräten
# WARNUNG: Erzeugt nicht-unterstützte Installation ohne Microsoft-Support
# NUR für Geräte mit mindestens TPM 1.2 – funktioniert NICHT bei fehlendem TPM
reg add "HKLM\SYSTEM\Setup\MoSetup" /v AllowUpgradesWithUnsupportedTPMOrCPU /t REG_DWORD /d 1 /f

Die Risiken von Bypass-Installationen sind real und für KMU relevant:

Kein Microsoft-Support: Bei Problemen erhältst du keinen offiziellen Support. Feature-Updates können ausbleiben oder fehlschlagen; Microsoft kann den Upgrade-Pfad jederzeit sperren.
Compliance-Risiko (DSGVO, ISO 27001): Nicht-unterstützte Systeme können als Verstoß gegen technische und organisatorische Maßnahmen (Art. 32 DSGVO) gewertet werden. Im Schadenfall (Ransomware etc.) können Versicherungen Leistungen verweigern, wenn bekannte Sicherheitslücken auf nicht-gepatchten Systemen ausgenutzt wurden.
Trojanisierte Bypass-Tools: Fakeseiten wie flyoobe.net (statt des offiziellen GitHub-Repositories) verteilen modifizierte Tool-Kopien mit eingebetteter Malware – Keylogger, Ransomware und Trojaner wurden nachgewiesen. Tom's Hardware und Windows Central haben explizit davor gewarnt. Rufus von rufus.ie gilt als vergleichsweise sicher, erzeugt aber ebenfalls eine nicht-unterstützte Installation.
Tiny11 und Community-Builds: Diese inoffiziellen Windows-11-Varianten sind nicht von Microsoft signiert und in Unternehmensumgebungen aus Compliance-Gründen abzulehnen.

Schritt 6: Linux als Alternative für abgeschriebene Hardware

Für Geräte ohne TPM und mit sehr alter CPU ist Linux eine reale Option – aber nur nach sorgfältiger Applikationsinventur. Ubuntu 24.04 LTS läuft auf Hardware ab ca. 2010 (2 GB RAM, 25 GB Speicher) und bietet Sicherheitsupdates bis April 2029, mit Ubuntu Pro sogar bis 2034. Für Windows-ähnliche Optik eignet sich Zorin OS 17 Lite oder Linuxfx/Winux (KDE, Ubuntu-Basis).

Linux eignet sich für: Web-Browsing, E-Mail (Thunderbird), Office-Aufgaben (LibreOffice), Videokonferenzen (Teams und Zoom haben Linux-Clients).

Linux ist problematisch bei: branchenspezifischer Software (ERP, Buchhaltungssoftware wie DATEV, CAD-Anwendungen), Windows-only-ActiveX-Anwendungen und Legacy-Datenbankclient-Software. Eine Applikationsinventur ist vor jeder Linux-Migration Pflicht.

Troubleshooting / Typische Fehler

ESU-Patches werden nicht angeboten, obwohl der Key aktiviert ist: Ursache: Das Gerät läuft noch auf Windows 10 21H2 oder älter. Fix: Feature-Update auf 22H2 über Windows Update ausrollen, danach ESU-Key erneut aktivieren (slmgr /ato).
Kumulativer ESU-Kaufzwang überrascht: Wer erst in ESU-Jahr 2 einsteigt, muss retrospektiv auch Jahr 1 (61 USD/Gerät) kaufen. Der spätere Einstieg spart kein Geld – plane den ESU-Kauf von Beginn an ein oder steige gar nicht ein.
Registry-Bypass schlägt fehl, obwohl Schlüssel gesetzt: Ursache: Das Gerät hat kein TPM (nicht einmal TPM 1.2). Der Schlüssel AllowUpgradesWithUnsupportedTPMOrCPU umgeht die TPM-2.0-Anforderung, setzt aber mindestens TPM 1.2 voraus. Fix: TPM-Status mit Get-Tpm prüfen; bei fehlendem TPM ist ein Bypass nicht möglich.
Windows 11 24H2 lässt sich trotz Bypass nicht installieren: Ursache: CPU unterstützt SSE4.2/POPCNT nicht (z.B. Core 2 Duo, ältere Pentium-CPUs vor 2010). Kein Bypass kann diesen Mangel umgehen. Fix: Hardware austauschen oder Linux einsetzen.
Secure Boot lässt sich nicht aktivieren (Legacy/CSM-Modus): Ursache: Windows-10-Partition ist als MBR formatiert. Beim Umschalten auf UEFI-Only ohne vorherige Konvertierung startet das System nicht mehr. Fix: MBR2GPT /convert /disk:0 /allowFullOS in erhöhter CMD ausführen, danach BIOS auf UEFI-Only und Secure Boot aktivieren.
ESU kostenlos für Azure-Umgebungen: Windows-10-VMs in Azure Virtual Desktop, Windows 365, Azure VMs und Azure Stack erhalten ESU kostenlos ohne Zusatzlizenz – kein manueller MAK-Kauf nötig.
Windows 10 LTSC 2021 Standard läuft nur bis Januar 2027: Die Standard-Enterprise-LTSC-2021-Variante endet am 12. Januar 2027 – nur 15 Monate nach EOL. Nur Windows 10 IoT Enterprise LTSC 2021 bietet Support bis 13. Januar 2032, erfordert aber eine OEM-gebundene oder spezielle Volumenlizenz.

Häufige Fragen

Welche Hardware ist Windows-11-kompatibel?

Mindestens Intel Core 8. Generation „Coffee Lake" (ab ca. 2017) oder AMD Ryzen 2000 „Zen+" (ab 2018), dazu TPM 2.0 (entweder als dedizierter Chip oder als fTPM/PTT in der CPU/Firmware aktivierbar) und UEFI Secure Boot. Den schnellsten Überblick liefert der kostenlose PC Health Check von Microsoft oder das PowerShell-Skript HardwareReadiness.ps1.

Was kostet ESU für ein KMU mit 20 Windows-10-PCs?

Jahr 1: 20 × 61 USD = 1.220 USD (ca. 1.120 EUR). Jahr 2: 20 × 122 USD = 2.440 USD zusätzlich. Jahr 3: 20 × 244 USD = 4.880 USD zusätzlich – Gesamtkosten über 3 Jahre: rund 8.540 USD. Verglichen damit kostet ein neuer Business-PC oft 600–900 EUR; bei 20 Geräten also 12.000–18.000 EUR für Neuanschaffung. Die ESU-Option lohnt sich daher nur, wenn ein konkreter Hardware-Refreshplan für das nächste Jahr besteht.

Kann man Windows 11 auf einem Gerät ohne TPM installieren?

Ohne jegliches TPM nein. Mit TPM 1.2 (aber nicht 2.0) ist ein In-Place-Upgrade per Registry-Hack (AllowUpgradesWithUnsupportedTPMOrCPU=1) möglich, resultiert aber in einer nicht-unterstützten Installation. Rufus von rufus.ie ermöglicht eine Neuinstallation per ISO, ebenfalls ohne Support. Empfohlen wird dies nur als Übergangslösung oder für unkritische Geräte.

Ist Linux wirklich eine Option für KMU-Arbeitsplätze?

Für Nutzungsszenarien rund um Web, E-Mail, Office (LibreOffice) und Videokonferenzen (Teams, Zoom) ja. Problematisch sind branchenspezifische Windows-Applikationen (ERP, DATEV, CAD), die keinen Linux-Client haben. Eine sorgfältige Applikationsinventur ist Pflicht vor einer Linux-Migration.

Was ist mit Windows 10 IoT Enterprise LTSC 2021 – ist das eine legale Langzeitlösung?

Ja, wenn korrekt lizenziert. Diese Edition läuft offiziell bis 13. Januar 2032 und benötigt keine ESU. Die Lizenz ist aber an OEM-Partnerschaft oder spezifische Microsoft-Volumenlizenz-Kanäle gebunden und nicht für jeden KMU frei erhältlich. Es handelt sich um eine Nischen-SKU, die ursprünglich für Embedded-Systeme konzipiert wurde.

Wie prüft man schnell den TPM-Status eines einzelnen PCs?

Im Ausführen-Dialog (Win+R) tpm.msc eingeben – die TPM-Konsole zeigt „TPM ist bereit" und die Spezifikationsversion (2.0 = Windows-11-kompatibel). Per PowerShell (Admin): Get-Tpm | Select-Object TpmPresent, TpmEnabled, ManufacturerVersion. Zeigt ManufacturerVersion „2.0" an, ist das Gerät TPM-seitig kompatibel.

Wie verwalte ich ESU und Upgrades zentral?

ESU-MAK-Keys lassen sich über Microsoft Intune oder SCCM per Richtlinie massenweise ausrollen. Windows Autopatch (ab Microsoft 365 Business Premium) übernimmt das Update-Management automatisch. Für den WSUS-gesteuerten Windows-11-Upgrade-Rollout empfiehlt sich unsere Anleitung zu Windows Updates, WSUS und Update for Business.

Fazit

Windows 10 EOL ist kein akademisches Datum mehr, sondern Alltag in vielen KMU-Netzen. Mit einer strukturierten PowerShell-Inventur hast du in wenigen Stunden einen vollständigen Überblick über den Zustand deiner Flotte. Der Entscheidungsbaum ist überschaubar: Windows-11-fähige Geräte direkt migrieren, andere per ESU überbrücken mit klarem Ausstiegsdatum, auf Linux umsteigen oder Hardware-Neukauf einplanen. Bypass-Tools können für unkritische Übergangssysteme geeignet sein, sind aber in produktiven Unternehmensumgebungen aus Compliance- und Sicherheitsgründen mit Vorsicht einzusetzen – trojanisierte Fälschungen verteilen aktiv Malware. Für die organisatorische Seite nach dem Upgrade empfehlen sich unsere Anleitungen zu Gruppenrichtlinien (GPO) in der Praxis und zur Gerätebereitstellung per Intune und Windows Autopilot.

Weiterführende Anleitungen und Quellen

Windows Updates, WSUS und Update for Business – zentrales Update-Management für Windows-Flotten
Gruppenrichtlinien (GPO) – Grundlagen und Praxis – Konfiguration und Rollout nach dem Upgrade
Intune und Windows Autopilot – Geräte bereitstellen – modernes Device Management für Windows 11
Zwei-Faktor-Authentifizierung (2FA/MFA) einführen – Sicherheitsmaßnahme nach OS-Migration

Offizielle Quellen: Microsoft Learn: ESU-Programm für Windows 10 | Windows 11 Systemanforderungen | Windows 10 LTSC 2021 Lifecycle | Tom's Hardware: Warnung vor gefälschten Bypass-Tools | Windows Central: Flyoobe-Malware-Kopie