Secure-Boot-Update: Frist 7. Juni für kritische Windows-Schwachstelle CVE-2026-46598

Die veralteten Secure-Boot-Zertifikate von 2011 laufen aus – ohne Update drohen Sicherheitslücken.

Microsoft treibt eine der größten Sicherheits-Infrastruktur-Updates der vergangenen Jahre voran. Gleich drei grundlegende Secure-Boot-Zertifikate aus dem Jahr 2011 erreichen in den kommenden Monaten ihr Ablaufdatum. Betroffen sind praktisch alle Windows-Rechner, die in den letzten Jahren in Betrieb waren. Das Problem: Ohne die neuen Zertifikate können Systeme künftig keine aktualisierten Sperrlisten für bekannte Rootkits mehr erhalten – eine Einladung für Angreifer.

Windows 11 macht Probleme? Diese 5 Fehler können Sie ab sofort selbst beheben. Kein IT-Techniker nötig – ein kostenloser Report zeigt, wie es geht. Erste Hilfe für Windows 11 – PDF-Report

Warum der Wechsel dringend nötig ist

Die ablaufenden Zertifikate bilden das Fundament der Secure-Boot-Sicherheitskette. Sie stellen sicher, dass nur vertrauenswürdige Software beim Systemstart geladen wird. Konkret geht es um drei Zertifikate:

• Microsoft Corporation KEK CA 2011 – läuft am 24. Juni 2026 ab
• Microsoft UEFI CA 2011 – läuft am 27. Juni 2026 ab
• Microsoft Windows Production PCA 2011 – läuft am 19. Oktober 2026 ab

Besonders das dritte Zertifikat ist kritisch: Es signiert die Windows-Bootloader selbst. Zwar booten Systeme auch nach Ablauf noch, doch sie können keine neuen Secure-Boot-Datenbanken (DBX) mehr empfangen. Das macht sie anfällig für bekannte Schadsoftware wie das BlackLotus-Bootkit, das bereits auf den Sperrlisten der Industrie steht.

Die Ersatzzertifikate – darunter der KEK 2K CA 2023 und verschiedene UEFI CA 2023-Varianten – verteilt Microsoft bereits seit Anfang 2026 über Windows Update. IT-Administratoren sollten die Ereignisprotokolle auf die IDs 1801 und 1808 prüfen, um den erfolgreichen Wechsel zu bestätigen. Der Prozess erfordert in der Regel mehrere Neustarts.

Projekt K2: Windows wird spürbar schneller

Parallel zum Sicherheitsupdate liefert Microsoft mit dem KB5089573-Update vom 26. Mai 2026 die erste große Lieferung der „Project K2“-Initiative aus. Das Update ist für Windows 11 Versionen 24H2 und 25H2 verfügbar.

Das Herzstück: ein „Low Latency Profile“, das die CPU-Frequenz bei Benutzerinteraktionen aggressiver hochtakten lässt. Microsoft verspricht:

• Bis zu 70 Prozent schnellere Reaktion von System-Flyouts und Startmenü
• Rund 40 Prozent schnellere Anwendungsstarts

Die K2-Initiative soll bis 2027 laufen und weitere Optimierungen bringen. Das Update enthält zudem praktische Neuerungen: gemeinsame Audio-Unterstützung für mehrere Bluetooth-LE-Geräte, NPU-Überwachung im Task-Manager und Multi-App-Kamera-Support. Eine stabile Version des 25H2-Builds wird für Herbst 2026 erwartet.

So sparen Windows-Nutzer hunderte Euro an IT-Kosten – ganz ohne Vorkenntnisse. Experte Manfred Kratzl erklärt in seinem Gratis-Report, wie Sie Update-Fehler, Druckerprobleme und mehr in Minuten selbst lösen. Experten-Anleitung jetzt kostenlos sichern

HP-BIOS blockiert Sicherheitsupdate

Der Rollout läuft nicht überall reibungslos. HP bestätigte am 27. Mai 2026, dass ein BIOS-Update vom April 2026 auf verschiedenen?? Notebooks und Workstations zu BitLocker-Wiederherstellungsschleifen führt und die installation der neuen Secure-Boot-Zertifikate blockiert. Grund sind offenbar Änderungen an den Secure-Boot-Variablen, die TPM-Messungen beeinflussen.

Ein weiteres Problem: Der Fehler 0x800f0922 tritt auf Systemen mit zu wenig freiem Speicher auf der EFI-System-Partition (ESP) auf. Das Zertifikats-Update benötigt mindestens 10 MB freien Speicherplatz. Nutzer von Windows 10 ohne Extended Security Updates (ESU) erhalten die neuen Zertifikate gar nicht – ihre Hardware bleibt ohne langfristigen Boot-Schutz.

Internationale Bedrohungslage verschärft sich

Die technischen Updates kommen zu einer Zeit wachsender Cyber-Bedrohungen. Am 28. Mai 2026 warnten Microsoft und internationale Behörden, darunter Indiens CERT-In, vor Schwachstellen in Azure, Entra ID und Microsoft 365 Copilot. Bereits Anfang Mai hatte das FBI auf „Kali365“ aufmerksam gemacht – eine Phishing-as-a-Service-Plattform, die für eine monatliche Gebühr Multi-Faktor-Authentifizierung umgehen kann.

Microsoft reagiert mit strategischen Partnerschaften: Auf der CyCon-Konferenz in Tallinn am 27. Mai 2026 formalisierte das Unternehmen eine neue Cybersicherheits-Partnerschaft mit der NATO. Auch Branchengrößen wie Palo Alto Networks und ESET sind beteiligt. Ziel ist die Stärkung der kollektiven Verteidigungsfähigkeit.

Für Unternehmen gilt eine strikte Frist: Bis zum 7. Juni 2026 muss eine kritische Schwachstelle im Windows-Update-Dienst (CVE-2026-46598) gepatcht sein, die Microsoft am 20. Mai adressierte. Weitere aktuelle Patches betreffen eine Kernel-Sicherheitslücke vom 12. Mai sowie die Deaktivierung von „Hands-Free Deployment“ (CVE-2026-0386), um unbefugten Zugriff während der Systemeinrichtung zu verhindern.

de | wirtschaft | 69443429 |