Windows-Sicherheit: Zertifikate laufen 24. Juni aus – Update nötig

Microsoft hat eine dringende Warnung an alle Windows-11-Nutzer und IT-Administratoren herausgegeben: Mehrere grundlegende Secure-Boot-Zertifikate, die seit 2011 die Sicherheit des PC-Startvorgangs gewährleisten, laufen Ende Juni 2026 aus. Betroffene Computer bleiben zwar funktionsfähig, doch ohne gültige Zertifikate werden kritische Sicherheitsupdates auf Firmware-Ebene gestoppt. Das öffnet Tür und Tor für hochentwickelte Bedrohungen wie Bootkits und Rootkits.

Während viele Updates automatisch im Hintergrund laufen, können technische Fehler oder veraltete Treiber den Prozess schnell blockieren. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie typische Windows-Probleme ohne teuren IT-Service in wenigen Minuten selbst beheben. Kostenlosen Hilfe-Report für Windows 11 herunterladen

Die Zertifikats-Deadlines im Überblick

Der Ablaufprozess erstreckt sich über mehrere Stichtage in der zweiten Jahreshälfte 2026. Der erste große Einschlag erfolgt am 24. Juni 2026 mit dem Ablauf des „Microsoft Corporation KEK CA 2011". Nur drei Tage später, am 27. Juni 2026, folgt das „Microsoft UEFI CA 2011". Ein drittes kritisches Zertifikat, das „Microsoft Windows Production PCA 2011", läuft am 19. Oktober 2026 aus.

Für moderne Hardware soll der Update-Prozess weitgehend automatisch ablaufen. Microsoft liefert die aktualisierten 2023er-Zertifikate über die üblichen Windows-Update-Kanäle aus – inklusive der neuesten kumulativen Updates (LCU) und gesteuerter Funktions-Rollouts (CFR). Geräte, die ab Anfang 2024 produziert wurden, sind in der Regel bereits mit den neuen Zertifikaten ausgestattet.

Doch der Update-Pfad unterscheidet sich je nach Betriebsumgebung erheblich. Während Desktop-Versionen von Windows 11 die Updates meist automatisch erhalten, ist in Windows-Server-Umgebungen ein manueller Eingriff nötig. Administratoren müssen die Updates per PowerShell-Befehl einspielen und die Registry-Einstellungen prüfen. Auch Nutzer von Hyper-V-Virtuellen-Maschinen müssen sicherstellen, dass ihre Systeme mit den Patches vom März 2026 aktualisiert sind.

Sicherheitsrisiken: Kein Totalausfall, aber gefährliche Lücken

Das Hauptproblem beim Zertifikatsablauf ist kein kompletter Systemausfall, sondern eine schleichende Aushöhlung der Sicherheitsarchitektur. Secure Boot stellt sicher, dass ein Rechner nur mit Software startet, die vom Hersteller (OEM) als vertrauenswürdig eingestuft wurde. Wenn die 2011er-Zertifikate verfallen, erhalten Systeme ohne die 2023er-Updates keine DBX-Revocation-Updates mehr. Diese sind aber essenziell, um bekannte schädliche Bootloader zu blockieren und Exploits wie den BlackLotus-Bootkit zu verhindern.

Doch die Risiken gehen über die reine Sicherheit hinaus. Microsoft hat angedeutet, dass zukünftige Windows-Upgrades auf Systemen mit abgelaufenen Zertifikaten blockiert werden könnten. Zudem könnten bestimmte Hochsicherheitsanwendungen und anspruchsvolle Videospiele, die eine strenge Sicherheitsvalidierung nutzen, schlichtweg die Ausführung verweigern.

Branchenbeobachter betonen: Die Rechner starten noch und funktionieren im Alltag. Aber ohne Boot-Level-Patches entsteht ein Einfallstor für raffinierte Schadsoftware. Ohne aktualisierte Revocation-Liste kann sich ein System nicht gegen neu entdeckte Exploits wehren, die auf die Umgebung vor dem Betriebssystem zielen.

Technische Hürden: HP-BIOS-Problem und Windows-Bug

Die Ausrollung der kritischen Updates verlief nicht reibungslos. Erst im April 2026 bestätigte HP, dass ein BIOS-Update bei einer Reihe von kommerziellen Notebooks, Desktops und Workstations massive Probleme verursachte. Betroffene Nutzer landeten in BitLocker-Wiederherstellungsschleifen, die die Installation der neuen Secure-Boot-Zertifikate blockierten. HP empfahl eine manuelle Problembehebung über das F10-BIOS-Menü.

Zusätzlich sorgte ein Software-Fehler aus dem Januar 2026 für Chaos. Ein Windows-11-Update führte den Fehler 0x80010002 ein, der ab Februar nachfolgende Updates blockierte – ausgerechnet jene, die die Secure-Boot-Zertifikate aktualisieren sollten. Betroffen waren Windows 11 24H2 und 25H2 sowie Windows Server 2025. Microsoft reagierte mit einem Known-Issue-Rollback (KIR), um das problematische Januar-Update rückgängig zu machen.

Für ältere Hardware, die von ihren Herstellern nicht mehr unterstützt wird, sieht die Lage düster aus. Microsoft deutet an, dass solche Systeme irgendwann ersetzt werden müssen, da sie dauerhaft anfällig für Boot-Level-Bedrohungen bleiben.

Wenn Ihr PC aufgrund der neuen Sicherheitsanforderungen als inkompatibel für Windows 11 gilt, gibt es dennoch einen rechtssicheren Weg für die Weiternutzung. IT-Experte Manfred Kratzl erklärt in dieser Gratis-Anleitung, wie Sie das Upgrade ohne neue Hardware und ohne Datenverlust durchführen. Legalen Trick für inkompatible PCs jetzt kostenlos sichern

Handlungsempfehlungen für Unternehmen

Microsoft arbeitet eng mit Partnern wie HPE, Dell und Lenovo zusammen, um Firmware-Updates zu koordinieren. Für IT-Abteilungen empfehlen Experten ein strukturiertes Vorgehen:

1. Vollständige Inventur aller Hardware, UEFI-Versionen und aktuellen Secure-Boot- sowie BitLocker-Status.
2. Pilot-Ring einrichten, um die Zertifikats-Updates vor der breiten Ausrollung zu testen.
3. BitLocker-Wiederherstellungsschlüssel sichern – Firmware-Änderungen können BitLocker-Abfragen auslösen, und ohne Backup-Schlüssel drohen flächendeckende Sperrungen.

Systeme mit Legacy-BIOS oder CSM sind vom Update-Prozess ausgenommen, da sie nicht auf die UEFI-Secure-Boot-Architektur angewiesen sind. Für alle modernen UEFI-basierten Systeme ist der Wechsel jedoch zwingend erforderlich.

Ausblick: Die letzte große Secure-Boot-Überholung für Jahre

Die aktuelle Transition unterstreicht den langfristigen Charakter von Firmware-Sicherheit. Die ursprünglichen 2011er-Zertifikate entstanden während des ersten branchenweiten Vorstoßes für Secure Boot – ein Standard, der heute Voraussetzung für moderne Windows-Systeme ist. Die neuen Zertifikate laufen erst 2038 ab, was eine längere Stabilitätsphase verspricht.

Die Komplexität dieses Rollouts – eine Koordination von Betriebssystem-Updates, OEM-Firmware und manuellen Eingriffen – zeigt die Herausforderungen bei der Sicherung der „Root of Trust" in einem vielfältigen Hardware-Ökosystem. Die Vorfälle bei HP und die Windows-Update-Pannen sind eine ernüchternde Erinnerung: Selbst kritische Sicherheitsinfrastruktur kann unerwartete Stabilitätsrisiken mit sich bringen.

Mit dem nahenden 24. Juni 2026 liegt der Fokus nun darauf, die Lücke bei ungepatchten Systemen zu schließen. Organisationen sind gut beraten, ihre Migrationspläne jetzt abzuschließen und alle Wiederherstellungsprozesse bereitzuhalten. Denn eines ist klar: Wer die Frist verpasst, riskiert nicht nur den Verlust von Sicherheitsupdates, sondern auch den Anschluss an zukünftige Windows-Versionen.

de | wissenschaft | 69423958 |