Secure Boot: Microsofts Zertifikate verfallen ab Juni 2026

Betroffen sind alle Windows-10- und Windows-11-Systeme, die noch mit den alten Schlüsseln arbeiten. Zwar bleiben die Rechner bootfähig, doch ohne Update drohen Sicherheitslücken, die Angreifer gezielt ausnutzen könnten.

Windows 11 macht Probleme? Diese 5 Fehler können Sie ab sofort selbst beheben. Kein IT-Techniker nötig – ein kostenloser Report zeigt, wie es geht. Erste Hilfe für Windows 11 jetzt kostenlos herunterladen

Die wichtigsten Termine im Überblick

Drei zentrale Zertifikate erreichen in diesem Jahr ihr Ablaufdatum. Am 24. Juni 2026 endet die Gültigkeit des „Microsoft Corporation KEK CA 2011", drei Tage später, am 27. Juni, folgt das „Microsoft UEFI CA 2011". Das „Microsoft Windows Production PCA 2011" läuft am 19. Oktober 2026 aus.

Diese Zertifikate bilden das Fundament von Secure Boot, einer Sicherheitsfunktion, die bereits beim Systemstart prüft, ob nur signierte und vertrauenswürdige Bootloader und Treiber geladen werden. Ohne gültige Zertifikate kann dieser Schutzmechanismus nicht mehr aktualisiert werden.

Kein Boot-Chaos – aber ernste Sicherheitsrisiken

Entwarnung gibt es für alle, die einen Systemausfall befürchten: Kein Rechner wird durch den Ablauf unbrauchbar. Windows startet auch ohne die neuen Zertifikate normal. Das Problem liegt woanders.

Ohne die Umstellung auf die 2023er-Zertifikate erhalten Systeme keine Revocation Database (DBX)-Updates mehr. Diese Datenbank blockiert bekannte schadhafte Bootloader – genau jene, die etwa der gefürchtete BlackLotus-Rootkit ausnutzt. IT-Sicherheitsexperten warnen: Wer die Migration verschleppt, öffnet Angreifern Tür und Tor für Angriffe auf die unterste Systemebene.

Automatisierte Umstellung per Windows Update

Bereits im Januar 2026 hat Microsoft damit begonnen, die neuen 2023er-Zertifikate über Windows Update auszuliefern. Für Windows 11 läuft der Prozess weitgehend automatisiert ab. Administratoren können den Status im Windows Security App unter „Device Security" und „Secure Boot" überprüfen.

Komplexer gestaltet sich die Lage bei Windows 10, insbesondere bei Systemen, die sich dem Ende des offiziellen Supports nähern. Hier ist eine manuelle Nachsteuerung oft unvermeidbar.

Enterprise-Lösungen: Skripte und gestaffelte Rollouts

Für große Unternehmen hat Microsoft detaillierte Anleitungen veröffentlicht. In einer AMA-Session (Ask Me Anything) im März 2026 erläuterten die Technikexperten Arden White, Scott Shell und Richard Powell die Voraussetzungen: Secure Boot muss aktiv sein, Systeme mit Legacy-BIOS werden vom Update automatisch ausgeschlossen.

Ein neues PowerShell-Skriptpaket ermöglicht die automatisierte Erkennung des aktuellen Zertifikatsstatus und lässt sich über Group Policy Objects (GPO) ausrollen. Microsoft empfiehlt ein gestaffeltes Vorgehen über Active-Directory-Sicherheitsgruppen. Für Umgebungen mit bis zu 10.000 Geräten kalkuliert der Konzern mit vier Stunden Update-Fenster, bei über 50.000 Systemen mit bis zu 24 Stunden.

Während Windows 11 für viele Unternehmen der nächste logische Schritt zur IT-Sicherheit ist, schrecken die Hardware-Hürden oft ab. Dieser Gratis-Report zeigt Ihnen einen legalen Weg, wie das Upgrade auch auf offiziell inkompatiblen Rechnern ohne Datenverlust gelingt. Anleitung zum Windows 11 Upgrade gratis sichern

Wichtig für Administratoren: BitLocker muss während des Updates nicht pausiert werden. Allerdings erfordern Systeme mit PXE-Boot (Preboot Execution Environment) manuelle Anpassungen der Boot-Images. Microsoft warnt ausdrücklich vor „Blanket Policies" oder Massen-Rollouts ohne vorherige Tests.

HP-Panne als warnendes Beispiel

Dass Firmware-Updates auch schiefgehen können, zeigt ein aktueller Vorfall bei HP. Ende Mai 2026 meldete der Hersteller Probleme mit einem kritischen BIOS-Update, das über Windows Update ausgeliefert wurde. Bei den High-End-Professionotebooks ZBook Ultra G1a und EliteBook X G1a führte das Update zu Boot-Freezern und Blue Screen of Death (BSOD).

Betroffen waren die BIOS-Versionen 01.04.03 und 01.04.05 (ZBook) sowie 01.03.11 und 01.05.00 (EliteBook). HP untersucht den Vorfall noch; eine Wiederherstellung war teilweise nur über einen speziellen USB-C-zu-Ethernet-Adapter möglich. Der Fall zeigt: Selbst bei etablierten Herstellern kann die Automatisierung von Firmware-Updates schiefgehen.

Branche rüstet sich für die Zukunft

Parallel zur Microsoft-Migration stabilisieren die großen Hardwarehersteller die gesamte Firmware-Infrastruktur. Lenovo, Dell und HP haben sich verpflichtet, den Linux Vendor Firmware Service (LVFS) finanziell zu unterstützen. Lenovo und Dell zahlen jeweils 100.000 US-Dollar pro Jahr, HP will ebenfalls einsteigen. Damit ist das seit 2015 bestehende System für sichere Firmware-Verteilung mit mindestens 300.000 Dollar jährlich abgesichert.

Auch bei den Zertifikatsdiensten tut sich etwas: Sectigo, eine der größten Zertifizierungsstellen, hat eine neue Partnerplattform gestartet, die unter anderem Tests für Post-Quanten-Kryptografie ermöglicht. Der Dienstleister betreut über 700.000 Kunden, darunter die Mehrheit der Fortune-500-Unternehmen.

Was IT-Abteilungen jetzt tun sollten

Der Juni 2026 rückt näher. Microsoft hat die Werkzeuge für eine automatisierte Migration bereitgestellt. Die Lehre aus dem HP-Vorfall: Gründliches Testen vor dem Massen-Rollout ist unverzichtbar. IT-Verantwortliche sollten die bereitgestellten PowerShell-Skripte nutzen, um den aktuellen Stand ihrer Geräteflotte zu erfassen, und dann mit einer gestaffelten Ausrollung beginnen.

Die Umstellung auf die 2023er-Zertifikate ist mehr als eine Routine-Aufgabe. Sie sichert die Vertrauenskette ab, die moderne Computersysteme von der ersten Millisekunde nach dem Einschalten schützt. Wer jetzt handelt, vermeidet nicht nur Sicherheitslücken, sondern stellt sein Unternehmen auch für künftige Bedrohungen besser auf.

de | wissenschaft | 69421135 |