Suche

SCHENKER CONNECT 15 (E26): Erweiterte Produktinformationen (Deep Dive)

Einleitung

Mit dem SCHENKER CONNECT 15 (E26) führen wir eine neue 15,6"-Business-Plattform ein, die konsequent auf Konnektivität, Sicherheit und Wartungsfreundlichkeit ausgelegt ist.

Das SCHENKER CONNECT 15positioniert sich bewusst zwischen klassischen Office-Notebooks und High-End-Premium-Modellen: Es kombiniert moderne Plattform-Technologie mit praxisnahen Business-Features, ohne dabei unnötige Komplexität oder Kosten zu erzeugen.

bestware_SCHENKER-CONNECT-15-E26_News_HEADER.jpg

Der folgende Deep Dive liefert weiterführende technische und konzeptionelle Hintergründe zum SCHENKER CONNECT 15 (E26) in folgenden Aspekten.

  • CPU-Leistung und RAM-Konfiguration
  • Performance-Profile und Lüftersteuerung
  • Wartung, Innenaufbau und Ersatzakkus
  • SmartCard-Reader und optionales LTE
  • Tastatur-Layout
  • Vergleiche mit SCHENKER WORK und XMG EVO
  • Sicherheitsmerkmal Secured-Core PC Level 3

CPU-Leistung

Das SCHENKER CONNECT 15 (E26) enthält den Intel Core 5 120U mit 10 Kernen, 12 Threads und bis zu 5 GHz Boost-Takt (siehe Datenblatt bei Intel).

Es handelt sich dabei um eine Refresh-Generation innerhalb der Raptor-Lake-U-Familie. Dank solidem Kühlsystem und Honeywell-PTM7950-Wärmeleitmittel kann die CPU dauerhaft mit bis zu 28 Watt arbeiten (in Spitzen bis zu 35 Watt) und liegt dabei noch deutlich unterhalb ihrer thermischen Limits.

Die CPU, die offiziell eigentlich nur eine TDP (bzw. Processor Base Power) von 15 Watt hat, arbeitet im SCHENKER CONNECT 15 (E26) somit signifikant schneller als in vergleichbaren Geräten. Die maximale Performance wird dabei von der CPU selbst definiert – das Kühlsystem ist hier nicht der limitierende Faktor.

Informationen zum Arbeitsspeicher

Wir bieten im SCHENKER CONNECT 15 (E26) Arbeitsspeicher mit einer Kapazität und Geschwindigkeit von bis zu 64 GB DDR5-5200 an. Die Speichermodule sind dabei mittels Wärmeleitpads mit dem Mainboard verbunden, um ihre Abwärme großflächig zu verteilen.

Intel erlaubt für den Intel Core 5 120U offiziell auch eine maximale Speichergröße von bis zu 96 GB. Wir limitieren unser Angebot jedoch bewusst auf 64 GB, weil sehr große DDR5-SODIMMs (48 GB und aufwärts) unter synthetischer Dauerlast (etwa AIDA64 Stress Test) deutlich höhere Modultemperaturen erreichen können als ihre 32-GB-Pendants.

Wir validieren stets die von uns angebotenen RAM-Konfigurationen. Ein Betrieb mit 64 GB (2x 32 GB) ist problemlos möglich – für einen Betrieb mit 96 GB (2x 48 GB) können wir hingegen keine Freigabe erteilen.

Wir raten daher von entsprechenden DIY-Upgrades ab. Für Konfigurationen oberhalb von 64 GB empfehlen wir einen Wechsel auf die XMG EVO-Serie.

Performance-Profile

Das Control Center des SCHENKER CONNECT 15 (E26) bietet mehrere Performance-Profile, die sich auch mittels Hotkey (Fn+F3) durchschalten lassen. Die folgende Tabelle zeigt die Kennzahlen der Profile im Detail:

Profil PL1 PL2 PL4
Performance 30 W 44 W 60 W
Entertainment 15 W 44 W 60 W
Entertainment + Noiseless 9 W 44 W 60 W
Quiet 7 W 44 W 60 W

 

Definition:

  • PL1: Dauerlast
  • PL2: Lastspitzen (<1 Sekunde)
  • PL4: Ultra-kurze Lastspitzen (im Millisekunden-Bereich)

Der "Noiseless"-Modus ist hierbei eine Option im Entertainment-Modus, welche sich dauerhaft aktivieren lässt. Mit Fn+F3 schaltet man somit nur zwischen drei Profilen um – nicht zwischen vier.

Im Akkubetrieb werden PL1 und PL2 auch im Performance-Betrieb auf 15 Watt begrenzt, um den Akku zu schonen. Für ultrakurze Lastspitzen stehen aber auch im Akkubetrieb die vollen 60 Watt PL4 zur Verfügung.

Lüftersteuerung

Übersicht

Das SCHENKER CONNECT 15 (E26) nutzt eine profilbasierte Lüftersteuerung mit klar getrennten Zielsetzungen. Je nach Leistungsprofil priorisiert das System entweder maximale Reaktionsgeschwindigkeit und thermische Reserve, einen ausgewogenen Effizienzpunkt oder minimale Lautstärke mit streng gedeckelten Power-Limits.

schenker-connect-15-e26-fan-curves.png

Das Diagramm zeigt drei Kurven (Lüfterdrehzahl in Prozent über Temperatur):

  • Performance: aggressiv, früh und deutlich steigend, um hohe Dauerleistung und schnelle Lastwechsel abzufedern.
  • Entertainment: moderat, mit einem klaren “Sweet Spot” zwischen Leistung und Lautstärke.
  • Quiet: so leise wie möglich, mit deutlich späterem Anlaufen und flacherer Rampe.

Die Stufen sind bewusst grob gefasst. Zusammen mit Temperaturmittelung und Hysterese folgt daraus eine recht ruhige Lüftersteuerung, anstatt eines ständigen Hoch- und Runterregeln um einzelne Prozentpunkte.

Temperaturmittelung

CPU-Temperaturen sind recht dynamisch. Hotspots können innerhalb von Sekundenbruchteilen stark springen, ohne dass daraus eine echte Dauerlast wird. Das SCHENKER CONNECT 15 arbeitet deshalb je nach Performance-Profil nicht mit dem Rohwert in Echtzeit, sondern mit einer über mehrere Sekunden geglätteten Temperatur als Grundlage für die Lüfterentscheidung.

Stabile Drehzahlen dank Hysterese

Zusätzlich nutzt das SCHENKER CONNECT 15 eine Hysterese-Logik, um Pendeln an Schwellen zu verhindern. Vereinfacht: Es gibt eine Temperatur, ab der hochgeschaltet wird (Temp Up), und eine niedrigere Temperatur, unter der wieder heruntergeschaltet wird (Temp Down).

Diese Bandbreite sorgt dafür, dass der Lüfter nicht ständig zwischen zwei Stufen hin- und herspringt, wenn sich die Temperatur knapp um einen Grenzwert bewegt.

Diese Bänder sind im o.g. Diagramm nicht direkt zu sehen – das Diagramm zeigt jeweils nur die "Temp Up"-Werte.

Verbesserung gegenüber SCHENKER WORK

Temperaturmittelung und Hysterese sind beim SCHENKER CONNECT 15 erstmals in dieser Form in der SCHENKER-Office-Klasse umgesetzt. Bei den Vorgängermodellen der SCHENKER WORK-Serie war diese Logik so noch nicht vorhanden.

Der Hintergrund ist die Hardwarebasis der Embedded-Controller-Firmware: Das SCHENKER CONNECT 15 nutzt einen größeren EC-Firmware-ROM bzw. einen leistungsfähigeren Mikrocontroller, der komplexere Steuerlogik erlaubt. Damit zieht das CONNECT 15 bei der Lüftersteuerung funktional auf eine Stufe mit der XMG EVO-Reihe sowie unseren Gaming-Laptops und Workstations.

Dank der Kombination aus Temperaturmittelung, Hysterese und bewusst gesetzten Limits verhält sich das SCHENKER CONNECT 15 in typischen Office-Szenarien damit sehr laufruhig, kann aber unter langanhaltender Volllast im Performance-Profil trotzdem auch mal richtig aufdrehen, ohne dass die System-Temperaturen auch nur in die Nähe der Throttling-Obergrenzen kommen.

Wartung und Blick ins Innere

Der Akku des SCHENKER CONNECT 15 (E26) lässt sich ohne Werkzeug entfernen und tauschen – der Akkuschacht hat zur Sicherung eine mechanische Verriegelung. Vor der Entfernung des Akkus sollte man den Laptop herunterfahren oder in den Ruhezustand (Hibernate) versetzen.

Der Laptop hat eine kleine Serviceklappe für LTE-Modul und SIM-Karten-Slot. Diese Klappe lässt sich mit Münzschraube öffnen – das Wechseln der SIM-Karte dauert somit nur wenige Minuten.

schenker-connect-15-e26_bottom-case-with-open-lte-cover.webp

Für RAM- und SSD-Upgrades muss hingegen die komplette Unterschale entfernt werden. Nach Entfernung der entsprechenden Kreuzschrauben sind RAM und SSD gut erreichbar:

schenker-connect-15-e26_inside.webp

Das Foto zeigt dabei das Innenleben mit entfernter Unterschale, also entsprechend auch ohne den steckbaren Akku. Auf dem Foto sind zu sehen:

  • Großer Lüfter mit 85 mm Durchmesser, 6 mm Höhe und 79 Lüfterblättern.
  • Zwei RAM-Slots rechts neben der CPU. Die Wärmeleitpads befinden sich unter den RAM-Modulen und verbinden diese mit dem Mainboard.
  • SSD-Steckplatz rechts neben den RAM-Modulen.
  • Unten rechts: LTE-Modul und daneben der SIM-Karten-Slot (LTE-Antennen sind in diesem Foto noch nicht angeschlossen).
  • Unten mittig: die Unterseite des mit Metallrahmen stabilisierten Touchpads.
  • Die linke Seite im Bild zeigt die rechte Seite des Notebooks mit dem großen SmartCard-Lesegerät, einem USB-A-Port und dem Full-Size-LAN-Anschluss.
  • Das WLAN-Modul befindet sich in der Mitte, zwischen Lüfter und CPU. Daneben befindet sich die CMOS-Knopfzellenbatterie.

Einen maßstabsgetreuen Vergleich des Innenlebens mit dem der SCHENKER WORK-Serie zeigen wir in diesem animierten GIF:

In dem Vergleich wird deutlich, dass sowohl Lüfter als auch Heatpipe im SCHENKER CONNECT 15 größer sind als in den Geräten der WORK-Serie.

Zweit-Akkus

Zweit- und Ersatz-Akkus sind in Zukunft auf bestware erhältlich. Aktuell befindet sich entsprechende Ware noch im Zulauf. Die Akkus sind mit anderen Modellen unseres ODM-Partners kompatibel.

Wer schon jetzt einen Zweit-Akku dazukaufen möchte, wird auf den folgenden Seiten fündig: [1] [2] [3].

Die Part-Nummern des Akkus lauten:

  • V640BAT-3-55
  • 6-87-V640S-54J00
  • 6-87-V640S-54J01
  • 6-87-V640S-54J02
  • 6-87-V640S-54J03
  • 6-87-V640S-54J04

Alle diese genannten Part-Nummern sind miteinander zu 100% kompatibel und technisch identisch.

Informationen zum SmartCard-Reader

Einführung

Der SmartCard-Reader im SCHENKER CONNECT 15 (E26) ist ein kontaktbasierter Reader nach ISO/IEC 7816 (Class A/B/C) und Interface-Standard PC/SC 2.0. Er ist für klassische SmartCards im Business- und Behördenumfeld gedacht.

Einsatzzwecke

Typische Einsatzzwecke umfassen:

  • VPN-Authentifizierung und Remote-Access in Unternehmen.
  • E-Mail-Signatur und Verschlüsselung (S/MIME) in Organisationen mit PKI.
  • Windows-Anmeldung per SmartCard (SmartCard als zweiter Faktor statt Passwort).
  • Dokumentensignatur in PKI-/Zertifikatsumgebungen (je nach eingesetzter Signatursoftware).
  • Admin- und Zugriffsprozesse, bei denen Zertifikate bewusst nicht auf der SSD liegen sollen.

Kann ich damit auch die Online-Ausweisfunktion des deutschen Personalausweises nutzen?

Nein. Der SmartCard Reader ist nicht für die Online-Ausweisfunktion (eID) des deutschen Personalausweises geeignet. Die eID-Funktion erfordert ausdrücklich einen kontaktlosen Leser nach ISO/IEC 14443 (NFC), etwa wie er in vielen Smartphones verbaut ist. Siehe auch:

Wie weit ragen SmartCards aus dem Gehäuse heraus?

Eingesteckte SmartCards ragen mit über der Hälfte der Länge aus dem Kartenleser heraus. Wird der Laptop also für einen mobilen Einsatz in eine Tasche oder einen Rucksack gepackt, sollte die Karte vorher herausgezogen werden, um mechanische Beschädigungen zu verhindern.

Informationen zum LTE-Modul (optional)

Einführung

Der SCHENKER CONNECT 15 (E26) kann optional mit einem LTE-Modul konfiguriert werden. Der SIM-Karten-Slot und das LTE-Modul sind über eine separate Serviceklappe erreichbar.

Das von uns angebotene Huawei ME906s umfasst die folgenden Features:

  • Mobilfunkstandards: 4G LTE (FDD), 3G (HSPA+/UMTS), 2G (EDGE/GPRS/GSM)
  • LTE-Bänder (FDD): B1, B2, B3, B5, B7, B8, B20, B28
  • 3G-Bänder: B1, B2, B5, B8
  • 2G-Frequenzen: 1900 / 1800 / 900 / 850 MHz
  • Übertragungsraten (LTE): bis zu ↑ 50 Mbps ↓ 150 Mbps
  • Übertragungsraten (HSPA+): bis zu ↑ 5.76 Mbps ↓ 42 Mbps
  • Übertragungsraten (WCDMA): bis zu ↑ 384 kbps ↓ 384 kbps

Der Empfang hängt natürlich jeweils vom Netz und Standort ab – die genannten Übertragungsraten sind unter idealen Bedingungen.

Das Huawei ME906s wird empfohlen für Europa, Australien/Neuseeland, Lateinamerika sowie für weltweites Reisen; es unterstützt LTE-Band 28 für erweiterte Abdeckung in ländlichen und internationalen Netzen.

Kann ich meinen Handyvertrag im Laptop nutzen?

Ja, oft geht das - aber es ist tarifabhängig. In Deutschland sind zwei gängige Wege verbreitet:

  • MultiSIM/Zweitkarte zum bestehenden Smartphone-Vertrag, oftmals schon ab 5€ im Monat.
  • Eigenständiger Datentarif (Data-SIM) nur für den Laptop.

Falls bereits ein Vertrag besteht, ist die MultiSIM-Lösung in der Regel die kostengünstigere Option. Bei der Bestellung der MultiSIM muss man allerdings unbedingt darauf achten, eine physische SIM-Karte zu bestellen – keine eSIM.

Für die Details bieten wir hier eine Linksammlung zu den verschiedenen Mobilfunkanbietern.

MultiSIM-Optionen:

Anbieter Link
Telekom (Privatkunden) Link
Telekom (Geschäftskunden) Link
Vodafone Link
o2 Link
1&1 Link
congstar Link


Weitere Provider mit Data-SIM-Tarifen:

Anbieter Link
WinSIM Link
smartmobil Link
PremiumSIM Link
yourfone Link
Drillisch Link


Für weitere Informationen empfehlen wir auch die Lektüre dieses Artikels:

Unterstützt das Gerät auch eSIM?

Wir unterstützen derzeit nur LTE-Module mit physischer SIM (nano-SIM). eSIM wird derzeit nicht angeboten. Wenn eSIM für Ihr Projekt zwingend ist, kontaktieren Sie uns bitte mit den Anforderungen - wir prüfen für Volumenaufträge mögliche Alternativen.

Tastatur-Layout

Das SCHENKER CONNECT 15 hat eine weiß beleuchtete Tastatur mit vollwertigem Nummernblock, Full-Size-Pfeiltasten und Fn-Lock-Funktion. Die Hintergrundbeleuchtung ist in 5 Stufen einstellbar.

Neben dem alphanumerischen Block umfassen die Fn-Funktionen folgende Hotkeys:

Taste Fn-Funktion
Escape Fn Lock
F1 LCD-Helligkeit reduzieren
F2 LCD-Helligkeit erhöhen
F3 Leistungsprofil wechseln
F6 Audio stummschalten
F7 Lautstärke reduzieren
F8 Lautstärke erhöhen
F9 Touchpad aus
F10 LCD aus
F11 Flugmodus
F12 Standby
Leertaste Tastaturbeleuchtung durchschalten
` ~ Medien-Play/Pause
1 Medien-Zurück
2 Medien-Weiter
Pfeil ↑ Bild Auf
Pfeil ↓ Bild Ab
Pfeil ← Pos1
Pfeil → Ende


Nach einer Umfrage im Jahre 2024 verzichten wir bewusst auf die Copilot-Taste in unserem Keyboard-Layout. Stattdessen bleiben sowohl die Taste "Strg-Rechts", als auch die Kontextmenü-Taste (als dedizierte Taste) erhalten.

Was bedeutet die Zertifizierung nach MIL-STD-810H?

Der Military-Standard MIL-STD-810H definiert eine Reihe von Umwelt- und Belastungstests, mit denen die Widerstandsfähigkeit elektronischer Geräte unter kontrollierten Laborbedingungen geprüft wird.

Dabei handelt es sich nicht um ein einheitliches "Gesamtzertifikat", sondern um einzelne Testmethoden, die jeweils separat durchgeführt und bestanden werden.

Dieses Modell wurde nach folgenden Methoden des MIL-STD-810H getestet:

MIL-STD-810H-Testmethode Testbedingungen Ergebnis
501.7 High Temperature 30–60 °C / 5–44 % rF / 24 h / 1 Zyklus
30–43 °C / 14–44 % rF / 24 h / 1 Zyklus 		Bestanden
502.7 Low Temperature Nicht-Betrieb: -25 °C / 24 h / 1 Zyklus
Betrieb: -21 °C / 24 h / 1 Zyklus 		Bestanden
503.7 Temperature Shock Nicht-Betrieb: -21 °C bis 6 0°C
3 Zyklen à 2 Stunden 		Bestanden
507.6 Humidity 30–60 °C / 95 % rF / 24 h / 10 Zyklen Bestanden
514.8 Vibration 5–500 Hz / 3 Stunden
20–2000 Hz / Random-Frequenz 		Bestanden
516.8 Shock Falltest (verpackt): 122 cm, 8 Ecken / 12 Kanten / 6 Flächen
Betrieb: 20 G, 11 ms, 3 Impulse
Nicht-Betrieb: 40 G, 11 ms, 3 Impulse 		Bestanden
528.1 Mechanical Vibration 4–15 Hz Betrieb
16–25 Hz Betrieb
26–33 Hz Betrieb
Insgesamt 2 Stunden 		Bestanden


Die genannten Prüfungen simulieren typische Umwelt- und Transportbelastungen wie:

  • Hohe und niedrige Temperaturen
  • Schnelle Temperaturwechsel
  • Hohe Luftfeuchtigkeit
  • Vibrationsbelastung beim Transport
  • Stoßbelastungen im Betrieb und im verpackten Zustand

Hinweis: die Fallprüfung gemäß Methode 516.8 bezieht sich im genannten Fall auf ein verpacktes Gerät (122 cm). Dies bedeutet nicht, dass ein unverpacktes Notebook aus beliebiger Höhe auf harte Oberflächen fallen gelassen werden kann.

Die Durchführung dieser Tests bestätigt eine erhöhte Widerstandsfähigkeit gegenüber typischen Umwelt- und Transportbelastungen. Das Gerät ist jedoch kein "ruggedized"-Spezialgerät für extreme Einsatzbedingungen. Die MIL-STD-810H-Prüfungen belegen vielmehr eine robuste Konstruktion im Rahmen üblicher mobiler Nutzungsszenarien.

Wie unterscheidet sich das SCHENKER CONNECT 15 von der bisherigen WORK-Serie?

Das SCHENKER CONNECT 15 (E26) ist mit seinem SmartCard-Lesegerät, der optionalen LTE-Unterstützung und der Unterstützung für Secured-Core PC klar auf Konnektivität und Security optimiert.

Weitere Vorteile bzw. Neuerungen sind:

  • Helles Display mit 400 Nits, gegenüber den 300 Nits in der bisherigen WORK-Serie.
  • Leicht erhöhte sRGB-Farbraumabdeckung mit über 90 %.
  • Kühlsystem mit Honeywell PTM7950-Wärmeleitmittel, größerem Lüfter und verbesserter Lüftersteuerung.
  • Tastatur mit schwarzen Keycap-Rändern (WORK-Serie hatte weiße Ränder).
  • Werkzeugfrei wechselbarer Akku.
  • Werkzeugfrei erreichbarer SIM-Karten-Slot.
  • 180°-Displayöffnungswinkel (hatte das WORK 15 Base auch, aber das WORK 15 nicht).
  • Unterstützung für Wi-Fi 7.

Vorteile der WORK-Serie hingegen sind:

  • Display-Deckel und Unterschale aus Aluminium.
  • Größerer 73 Wh-Akku im SCHENKER WORK 15 (M23).
  • Höhere SSD-Maximalkapazität (8 TB in WORK-Serie, 4 TB im SCHENKER CONNECT 15).

Einen umfangreichen Vergleich der Datenblätter haben wir hier zusammengestellt:

Klicke dort am oberen Rand auf den Tab "SCHENKER WORK & SCHENKER CONNECT" für Details.

Wird es Nachfolger für die SCHENKER WORK-Serie geben?

Für die Gehäuse der bisherigen SCHENKER-WORK-Serie sind derzeit keine Plattform-Updates mehr geplant.

  • SCHENKER WORK 15 und WORK 17 existieren in der aktuellen Form bereits seit 2021.
  • SCHENKER WORK 14 Base und WORK 15 Base wurden zwar erst 2023 eingeführt – aber auch hier ist ein Plattform-Update nicht mehr sinnvoll.

Hintergrund ist die Tatsache, dass zukünftige Plattformen umfangreiche Änderungen an den Mainboard-Layouts erfordern, bei welchen sich auch die Anschlussverteilung ändern müsste – somit sind ohnehin neue Gehäuse erforderlich.

Das Gehäuse des SCHENKER CONNECT 15 ist hingegen von Grund auf neu konzipiert und wurde auch mit Rücksicht auf Kompatibilität mit zukünftigen Intel-CPU-Generationen entwickelt.

Ob und wann es neue Modelle in der SCHENKER WORK-Serie geben wird, ist aktuell noch nicht absehbar. Es besteht die Möglichkeit, dass Neuentwicklungen in der WORK-Serie sich auf 14-Zoll und 17.3"-Zoll-Größen konzentrieren werden, so dass der 15.6"-Formfaktor exklusiv vom SCHENKER CONNECT 15 besetzt wird.

Wie unterscheidet sich das SCHENKER CONNECT 15 vom XMG EVO 15?

Die XMG EVO-Serie kombiniert Metallgehäuse mit starken CPUs, riesigen Speicherkapazitäten und einem sehr starkem Kühlsystem. Die XMG-EVO-Modelle übernehmen somit viele Attribute eines Premium-Gaming-Laptops, aber unter Verzicht auf die dedizierte Grafikkarte. Noch dazu sind sie sowohl mit AMD- als auch mit Intel-CPUs erhältlich – jeweils aus der 45+ Watt-Klasse, also eine Stufe über den CPUs in SCHENKER CONNECT und SCHENKER WORK.

Das SCHENKER CONNECT 15 hingegen ist ein spezifisch auf die Anforderungen von Geschäftskunden spezialisierter Laptop. Die Stärken liegen in der Kombination aus Smartcard-Reader, optionalem LTE und hoher Wartungsfreundlichkeit, zzgl. eines klassischen Gigabit-LAN-Anschlusses ohne Klappmechanik.

Das XMG EVO 15 (M25) beginnt bei einem Startpreis von 1449,- €, liegt also auch preislich deutlich über dem SCHENKER CONNECT 15 (E26), welches schon ab 999,- € erhältlich ist (beide Preise inkl. 19 % MwSt.).

Alles über Secured-Core PC Level 3

Einführung

Microsoft "Secured-Core PC Level 3" (SCPC L3) eine besonders strikte Windows-Sicherheitskonfiguration, bestehend aus einer Kette von Secure Boot, TPM, Intel Trusted Execution Technology (TXT) inkl. Intel Dynamic Root of Trust for Measurement (DRTM), sowie Windows-Funktionen wie "Speicherintegrität" (HVCI) und "Firmware-Schutz".

SCPC L3 lohnt sich besonders für Firmenkunden, Behörden-nahe Umgebungen und alle, die eine definierte, strenge Windows-Sicherheitsbaseline benötigen.

Worin unterscheidet sich Secured-Core PC Level 3 von den darunterliegenden Niveaus?

Secured-core PC beschreibt eine Sicherheitsarchitektur, bei der Hardware, Firmware und Betriebssystem eng miteinander verzahnt sind. Je nach Konfiguration und aktivierten Schutzmechanismen lassen sich unterschiedliche Schutzstufen unterscheiden.

Die Bezeichnungen "Level 1–3" entstammen eher der Hersteller-Sprache – Microsoft verwendet diese Bezeichnungen in Kommunikation mit OEM-Partnern. In Windows selbst werden diese Stufen hingegen unter anderem bezeichnet als:

  • Level 1: Standard hardware security
  • Level 2: Enhanced hardware security
  • Level 3: All Secured-core PC features enabled

Diese Stufen unterscheiden sich wie folgt:

Schutzstufe Typische aktivierte Funktionen Schutzniveau
Level 1 TPM 2.0, Secure Boot, UEFI-Schutzmechanismen, DEP Schutz gegen Manipulationen beim Systemstart
Level 2 Zusätzlich: Virtualization-based Security (VBS), Hypervisor, Memory Integrity (HVCI), Kernel DMA Protection Schutz gegen Kernel-Exploits, unsignierte Treiber und bestimmte DMA-Angriffe
Level 3 Zusätzlich: Secure Launch (DRTM), SMM Protection, Firmware Protection Version 3 Schutz gegen tiefgreifende Firmware- und SMM-Angriffe auf Hardware-Ebene


Im Grunde kann man sagen, dass die meisten modernen Windows 11-Laptops in der Standardkonfiguration bereits die Anforderungen von Level 2 erfüllen. Für die Erfüllung von Level 3 ist hingegen eine individuelle Zertifizierung notwendig, die nur von ausgewählten Systemen geleistet werden kann.

In unserem Portfolio erfüllt derzeit ausschließlich das SCHENKER CONNECT 15 (E23) diesen Sicherheitsstandard.

Wieso ist SCPC L3 nur optional erhältlich?

Beim SCHENKER CONNECT 15 (E26) ist SCPC L3 standardmäßig deaktiviert und kann im Shop als Service für 29 EUR aktiviert werden.

Der Aufpreis entsteht, weil die Aktivierung nicht nur ein "BIOS-Default" ist, sondern pro Gerät individuelle Schritte umfasst, die in der Firmware manuell durchgeführt müssen. Diese Schritte müssen pro Gerät manuell ausgeführt werden und erfordern mehrere Neustarts.

Bei einem System, welches ab Bestellung mit SCPC L3 konfiguriert wurde, garantieren wir auch die Aufrechterhaltung des Features in etwaigen Service-Fällen. Weiterhin stehen unsere Support-Mitarbeiter für alle Fragen rund um SCPC L3 zur Verfügung.

Kann ich SCPC L3 auch nachträglich selbst einrichten?

Ja, Secured-Core PC Level 3 lässt sich auch nachträglich, kostenfrei vom Anwender einrichten – auch wenn es noch nicht direkt bei Bestellung des Laptops konfiguriert wurde. Wir stellen dazu eine Anleitung und entsprechende Tools zur Verfügung: https://go.schenker-tech.de/secured-core-pc

Was sind die Vorteile von SCPC L3?

  • Höhere Widerstandsfähigkeit gegen Angriffe auf Boot-Kette und Firmware (Schutz "unterhalb" des Betriebssystems).
  • Striktere Treiber- und Kernel-Integritätsmechanismen durch VBS/HVCI (reduziert Angriffsfläche durch Kernel-Mode Malware).
  • Bessere Passung für B2B-Umgebungen mit Security-Baselines (z.B., wenn IT-Abteilungen Secure Boot, VBS und bestimmte Defender-Policies voraussetzen).

Gibt es auch Nachteile?

Secured Core PC wurde bereits 2019 eingeführt – die Stufe "Level 3" wurde erstmal 2021 vorgestellt. Zur Einführung mag es noch vereinzelt Kompatibilitätskompromisse gegeben haben, etwa mit bestimmten Treibern oder virtuellen Maschinen (VM-Hosts). Die meisten der SCPC zugrundeliegenden Features sind aber inzwischen universeller Standard in der Windows-Welt (Speicherisolierung, Hypervisor), weshalb sich Treibern und Anwendungssoftware entsprechend angepasst haben.

In der Praxis gibt es somit praktisch keine Nachteile mehr – dennoch möchten wir einzige wenigstens historische Aspekte hier näher erläutern.

Ältere Dockingstationen funktionieren möglicherweise erst nach Anmeldung in Windows

Auf Systemen mit aktiviertem SCPC L3 kann der Schutz vor DMA-basierten Angriffen das Verhalten einiger älterer Thunderbolt-Dockingstations vor der Anmeldung beeinträchtigen. Bei aktiviertem SCPC L3 wendet Windows strengere Regeln auf Geräte an, deren Treiber nicht mit DMA-Remapping (IOMMU-Isolation) kompatibel sind.

In solchen Fällen stehen Peripheriegeräte (Mäuse, Tastaturen, Bildschirme), die über eine Dockingstation angeschlossen sind, möglicherweise erst nach der Windows-Anmeldung zur Verfügung. Die Eingabe-Geräte des Laptops (Tastatur, Touchpad, Fingerabdrucksensor) funktionieren derweil trotzdem. Gerade mit dem Fingerabdrucksensor kann man sich auch "blind" einloggen, auch wenn der primäre Bildschirm (am Dock) noch inaktiv ist.

Dieses Verhalten ist beabsichtigt und soll den Speicherzugriff durch externe Geräte verhindern, bevor das Betriebssystem die vollständige Kontrolle übernommen hat.

Treiberkompatibilität

SCPC L3 erfordert in Windows die Aktivierung der "Speicherintegrität" (HVCI, Kernisolierung). Dieses Feature ist bereits seit Windows 11 standardmäßig aktiviert – lässt sich aber natürlich auch deaktivieren.

Dieses Sicherheits-Feature blockiert ältere Kernel-Treiber, welche bestimmte moderne Sicherheitsanforderungen noch nicht erfüllen.

Bei hausüblichen Geräten, die auf integrierte Windows-Treiber zurückgreifen (Tastaturen, Mäuse, USB-Speicher, Audiogeräte, Webcams), besteht praktisch kein Risiko von Inkompatibilitäten.

Geräte-Typen, die ggf. inkompatibel sein könnten, umfassen etwa:

  • Ältere USB-zu-Seriell-Adaptern
  • Ältere Capture-Karten
  • Ältere Controller für Industriemaschinen
  • Software, die Low-Level-Kerneltreiber installiert (ältere Anti-Cheat-Systeme, Hardware-Überwachungs- oder Tuning-Tools)

Ist ein entsprechender Treiber mit der HVCI-Speicherintegrität inkompatibel, wird Windows das zugehörige Gerät nicht in Betrieb nehmen.

An dieser Stelle kann man dann die Option "Speicherintegrität" in den Windows-Einstellungen deaktivieren. Damit funktioniert dann das Peripherie-Gerät, aber man verliert eben auch den SCPC-L3-Status.

Das Problem dürfte aber in der Praxis nur noch extrem selten auftreten. Memory Integrity ist seit der Einführung im Jahr 2021 auf allen kompatiblen Windows-11-Installationen standardmäßig aktiviert. Gerätetreiber und gängige Low-Level-Software haben sich bereits vor Jahren angepasst.

Verbleibende Inkompatibilitäten beschränken sich in der Regel auf ältere (nicht mehr unterstützte) Kernel-Treiber bzw. veraltete und höchst exotische Peripheriegeräte oder spezialisierte Tools, die nicht mehr vom Anbieter gepflegt werden.

Virtualisierung

SCPC L3 benötigt, wie bereits beschrieben, die Aktivierung der HVCI-Speicherintegrität in Windows. Dieses Feature verwendet sogenannte Virtualisierung, also das Verlagern bzw. Abstrahieren von Kernfunktionen in eine virtuelle Maschine. Dies bedeutet, dass der Windows-Hypervisor (die Grundlage für die systemseitige Virtualisierung) immer aktiv ist.

Zum Zeitpunkt der Einführung von HVCI ca. 2021 führte dies noch zu Problemen für Anwender, die selbst eigene virtuelle Maschinen (etwa VMWare oder Virtual Box) verwenden wollten – diese waren mit aktiviertem HVCI bzw. Hypervisor deutlich langsamer, oder bedurften einer speziellen Konfiguration.

Die Anbieter von VM-Lösungen haben sich aber inzwischen längst auf diese neue Realität eingestellt. Verwendet man entsprechend aktuelle VM-Hosts, dann funktionieren diese auch mit aktivierter HVCI-Speicherintegrität out-of-the-box, ohne spürbare Performance-Einschränkungen.

Wie kann ich prüfen, ob SCPC L3 aktiviert ist?

Dies lässt sich direkt in den Windows-Einstellungen prüfen:

  • Öffne Windows Security.
  • Navigiere zu Gerätesicherheit.
  • Öffne Details zur Kernisolierung.

 

Bei aktivem SCPC L3 zeigt Windows die Statusmeldung "Ihr Gerät übertrifft die Anforderungen für erweiterte Hardwaresicherheit" an.

secore-core_your-device-exceeds.jpg

Alternativer Weg:

  • Drücke Win+R und gib "msinfo32" ein.
  • Suche nach Virtualisierungsbasierte Sicherheit.
secured-core-msinfo32_crop.png

Wie funktioniert SCPC L3 unter der Haube?

Schematisch betrachtet funktioniert SCPC L3 wie folgt:

  • Secure Boot stellt sicher, dass nur vertrauenswürdige Boot-Komponenten ausgeführt werden.
  • Das Trusted Platform Module (TPM 2.0) zeichnet kryptografische Messwerte des Boot-Prozesses auf.
  • Secure Launch (DRTM) nutzt CPU-Funktionen, um den Start des Betriebssystems unabhängig von der Firmware zu überprüfen.
  • Virtualization-Based Security (VBS) isoliert sicherheitskritische Komponenten.
  • Memory Integrity (HVCI) stellt die Vertrauenswürdigkeit von Kernel-Treibern sicher
  • Firmware-/SMM-Schutzmaßnahmen begrenzen den nach dem Start zugänglichen Firmware-Code

Gemeinsam erkennen oder verhindern diese Funktionen Angriffe auf die Firmware bzw. Versuche einer Kompromittierung auf niedriger Ebene, bevor Windows betroffen ist.

Wird mein Gerät durch SCPC L3 langsamer? Beeinträchtigt es die Akkulaufzeit? (Nein.)

Es sind praktisch keine Performance- oder Effizienz-Unterschiede feststellbar. SCPC L3 ist keine aktive Funktion, die ständig im Hintergrund läuft, sondern eine auf Systemebene durchgesetzte Protokoll- und Validierungskette, die eben besonders strengen Regeln unterliegt, um Manipulationen an der Firmware oder am Boot-Loader zu erkennen und deren Ausführung zu verhindern.

Lässt sich mein Gerät mit SCPC L3 irgendwie fernsteuern? (Nein.)

SCPC L3 ist eine Härtung des Systems – keine Fernsteuerung, kein Fernzugriff. SCPC L3 ist nicht zu verwechseln mit separaten Fernwartungslösungen wie Microsoft Intune, NinjaOne oder CrowdStrike Falcon.

Sendet SCPC L3 irgendwelche Daten an Microsoft? (Nein.)

SCPC L3 ist ein reines Hardware-/Firmware-/Software-Feature und erfordert keine Internetverbindung.

Ist SCPC L3 nur für Behörden/Unternehmen gedacht oder hilft es auch normalen Benutzern?

Auch normale Anwender können von SCPC L3 profitieren – insbesondere jene, die viel unterwegs sind, nicht vertrauenswürdige Netzwerke nutzen oder einen stärkeren Schutz vor "schwer zu entfernenden" Infektionen wünschen.

Ersetzt SCPC L3 Antivirenprogramme bzw. Endgerätesicherheit? (Nein.)

SCPC L3 bildet lediglich eine stärkere Grundlage, die die Handlungsmöglichkeiten von Angreifern einschränkt, selbst wenn Malware ausgeführt wird. Ein normaler Endgeräteschutz bleibt weiterhin notwendig.

Zum Kontext: nicht jede Malware versucht, sich in Firmware- oder Boot-Loader einzunisten. Ein Kryptotrojaner etwa kann bereits ausreichend im Kontext des Anwenders (ohne Administrator-Rechte) sein Unwesen betreiben, da der im Kontext des Anwenders Zugriff auf die Daten des Anwenders hat.

SCPC L3 ersetzt somit keinen Virenscanner, sondern verhindert lediglich, dass Malware oder gezielte Angreifer sich in der Firmware bzw. im Betriebssystem-Kernel "verstecken" können.

Der in Windows 11 standardmäßig aktivierte Virenschutz (auch bekannt als "Windows Defender") ist auch mit SCPC L3 standardmäßig aktiviert.

Kann ich SCPC L3 auch nachträglich wieder deaktivieren?

Ja, SCPC L3 lässt sich vom Anwender auf Firmware- oder Betriebssystem-Ebene jederzeit wieder deaktivieren. Hierzu genügt es, eine der entsprechenden Kettenglieder zu deaktivieren, etwa die HVCI-Speicherintegrität in Windows oder die "Intel Trusted Execution Technology" (TXT) im BIOS-Setup. Alternativ genügt auch die Deinstallation des entsprechenden Intel-TXT-Treibers.

Erschwert SCPC L3 den späteren Verkauf eines Laptops? (Nein.)

SCPC L3 steht nicht im Zusammenhang mit dem Benutzer-Account oder der Identität des Anwenders. Ein System mit SCPC L3 lässt sich jederzeit auf Werkseinstellungen zurücksetzen.

Wie unterscheidet sich SCPC L3 von herkömmlichen PCs mit "Secure Boot"?

Secure Boot stellt sicher, dass nur vertrauenswürdige, signierte Boot-Komponenten geladen werden. SCPC L3 baut darauf auf, indem es einen stärkeren, hardwareverifizierten Übergang in das Betriebssystem hinzufügt (genannt "Secure Launch" oder DRTM: Dynamic Root of Trust for Measurement).

Das System erkennt somit Firmware-Manipulationen auch dann, wenn die Malware irgendwie die Secure Boot-Prüfung umschifft haben – etwa dann, wenn die Malware-Autoren im Besitz bestimmter kryptografischer Schlüssel sind, die eigentlich nur bei Microsoft und einigen Hardware-Herstellern liegen sollten.

Kann ich auch mit aktiviertem SCPC L3 noch BIOS-Updates installieren?

Zur Installation von BIOS-Updates über die EFI-Shell muss Secure Boot vorrübergehend deaktiviert werden. Im Rahmen dieser manuellen Wartungsmaßnahme wird SCPC L3 also ebenfalls kurzzeitig deaktiviert. Nach erfolgreichem BIOS-Update kann (und sollte) man Secure Boot wieder aktivieren – etwa durch einen BIOS-Reset.

Aus diesem Grund ist es wichtig, BIOS-Updates stets nur aus vertrauenswürdigen Quellen zu beziehen (etwa direkt vom Hersteller – also von uns).

Schlusswort

Wir hoffen, dieser Deep Dive konnte die technischen Hintergründe und Designentscheidungen des SCHENKER CONNECT 15 (E26) transparent und nachvollziehbar darstellen.

Konfigurieren & bestellen:

Sollten darüber hinaus noch Fragen offen sein – etwa zu speziellen Einsatzszenarien, IT-Rollouts, Sicherheitsanforderungen oder individuellen Konfigurationen – stehen wir gerne zur Verfügung.