Sicherheitszertifikate: Milliarde Windows-PCs brauchen neue Schlüssel
29.06.2026 - 23:58:29 | boerse-global.de
Mehr als eine Milliarde Geräte müssen neue Sicherheitszertifikate erhalten – die alten Schlüssel aus dem Jahr 2011 laufen ab.
Der weltweit größte Softwarekonzern leitet eine beispiellose Sicherheitsinitiative ein. Betroffen sind praktisch alle Windows-PCs, die seit 2011 produziert wurden. Die ursprünglichen Secure-Boot-Zertifikate erreichen nach und nach ihr Ablaufdatum – und mit ihnen die digitale Vertrauenskette, die den Rechner vor Manipulationen bereits beim Hochfahren schützt.
Ein abgestufter Ablaufplan
Die Zertifikate verfallen nicht auf einen Schlag, sondern in mehreren Wellen. Bereits am 24. Juni 2026 lief der Key Enrollment Key (KEK) CA 2011 ab. Nur drei Tage später, am 27. Juni, folgten das UEFI CA 2011 und das UEFI CA 2011 Option ROM. Der letzte große Meilenstein steht für den 19. Oktober 2026 an: Dann verfällt das Windows Production PCA 2011.
Microsoft betont, dass der Ablauf keinen sofortigen Funktionsverlust bedeutet. Die Rechner starten weiterhin. Allerdings steigt das Sicherheitsrisiko: Ohne aktuelle Zertifikate werden Systeme anfälliger für Bootkits und Rootkits – Schadsoftware, die sich noch vor dem Betriebssystem in den Startvorgang einklinkt.
Was Hersteller ihren Kunden raten
Die großen PC-Hersteller haben reagiert. Asus, Dell, HP, Lenovo, MSI, Acer, Samsung und LG veröffentlichten Anleitungen für den Zertifikatswechsel. Während viele Verbrauchergeräte die neuen 2023er-Schlüssel automatisch über Windows Update erhalten, ist bei älterer oder spezieller Hardware oft ein manueller Eingriff nötig.
Die Secure-Boot-Zertifikate laufen ab – ab Juni 2026 drohen Sicherheitslücken und BitLocker-Fallen. Mit unserer Schritt-für-Schritt-Anleitung und PowerShell-Skript rollen Sie die neuen Schlüssel kontrolliert aus. Jetzt kostenlosen Update-Leitfaden anfordern
Die Bedingungen der Hersteller im Überblick:
- Dell: Updates gibt es nur für Geräte, deren Supportende nach dem 1. Januar 2026 liegt.
- HP: Consumer-Modelle aktualisieren sich meist von selbst. Bei Unternehmenssystemen sind bestimmte BIOS-Versionen Pflicht. HP warnt zudem: Einige Firmware-Updates aus dem Frühjahr 2026 haben BitLocker-Wiederherstellungsschleifen ausgelöst. Ein Backup des Wiederherstellungsschlüssels ist daher unverzichtbar.
- MSI: Systeme mit Intel-Prozessoren der 7. bis 11. Generation sowie bestimmte AMD-Ryzen-Modelle aktualisieren via Windows Update. Neuere Hardware-Generationen benötigen ein manuelles BIOS-Update.
- Lenovo und Acer: Beide haben eigene Support-Seiten und BIOS-Downloads für Marken wie ThinkPad, IdeaPad, Aspire und Predator bereitgestellt.
Neue Kontrollfunktion in Windows
Microsoft hat eine Ampel-Anzeige in die Windows-Sicherheitszentrale integriert. Sie zeigt den Status der Secure-Boot-Zertifikate an: Grün bedeutet alles in Ordnung, Gelb signalisiert ein ausstehendes Update, Rot verlangt zwingend ein BIOS-Update. Windows-10-Nutzer erhalten diese Funktion mit dem Update KB5087544 vom Mai 2026.
Ältere Hardware benötigt oft manuelle BIOS-Updates – sonst steigt das Risiko von Bootkits und Rootkits. Unser Leitfaden liefert Hersteller-Checklisten und Backup-Tipps, damit Sie BitLocker-Wiederherstellungsschleifen vermeiden. BIOS-Update-Checkliste jetzt sichern
Unternehmen in der Pflicht
Für Firmen empfiehlt Microsoft eine gesteuerte Ausrollstrategie. IT-Administratoren sollen die neuen Zertifikate über Intune, Gruppenrichtlinien oder PowerShell auf die gesamte Geräteflotte verteilen. Gleichzeitig rät der Konzern, bei anstehenden Hardware-Upgrades auf KI-fähige PCs zu setzen. Diese Geräte seien von Haus aus für moderne Sicherheitsanforderungen und lokale KI-Aufgaben ausgelegt – ein Argument, das angesichts der aktuellen Update-Komplexität zusätzliches Gewicht bekommt.
