Microsoft, Secure

Microsoft erneuert Secure Boot: Kritische Zertifikate für Millionen PCs

17.01.2026 - 15:52:12

Ein neues Microsoft-Update erneuert ablaufende Secure-Boot-Zertifikate, um Millionen Windows-Geräte vor hochentwickelten Bootkit-Angriffen zu schützen und den Patch-Empfang zu gewährleisten.

Microsoft erneuert Secure Boot: Kritische Zertifikate für Millionen PCs - Foto: über boerse-global.de
Microsoft erneuert Secure Boot: Kritische Zertifikate für Millionen PCs - Foto: über boerse-global.de

Ein kritisches Update von Microsoft stellt sicher, dass die Sicherheitsbasis von Windows-PCs auch nach 2026 intakt bleibt. Es erneuert ablaufende Zertifikate für Secure Boot – die fundamentale Schutzschicht gegen tiefgreifende Schadsoftware.

Ohne dieses Update droht ab Mitte 2026 ein Stillstand: Millionen von Geräten könnten dann keine Sicherheitspatches mehr für ihre Startumgebung erhalten. Das würde sie anfällig für hochentwickelte Bootkits wie “BlackLotus” machen, die sich noch vor dem Windows-Start einnisten können. Betroffen sind nahezu alle Windows-Versionen seit 2012, inklusive Windows 10, 11 und Server-Editionen.

Warum Secure Boot so wichtig ist

Secure Boot ist ein Standard der UEFI-Firmware, der den PC schon vor dem Laden des Betriebssystems schützt. Er stellt eine digitale Vertrauenskette sicher: Jede Komponente beim Hochfahren – vom Treiber bis zum Bootloader – muss eine gültige Signatur einer vertrauenswürdigen Quelle besitzen. So wird verhindert, dass Schadsoftware wie Rootkits unbemerkt die Kontrolle übernimmt.

Anzeige

Passend zum Thema Firmware- und Boot-Schutz: Firmware-Angriffe wie BlackLotus zeigen, dass klassische IT-Sicherheit hier nicht ausreicht. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt die neuesten Bedrohungen auf UEFI-/Boot‑Ebene und liefert praktische Schutzmaßnahmen, die Administratoren sofort umsetzen können — ohne große Zusatzkosten. Ideal für IT‑Verantwortliche, die ihre Update‑ und Zertifikat-Strategie stärken wollen. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Die Dringlichkeit der Erneuerung zeigt der Fall “BlackLotus”. Dieser Bootkit konnte eine Schwachstelle ausnutzen, Secure Boot zu umgehen und sämtliche Sicherheitssysteme von Windows auszuschalten. Die neuen Zertifikate härten das System gegen solche Angriffe der Zukunft.

Das Update im Detail: Drei Schlüsselzertifikate werden ausgetauscht

Das Update, verteilt über den regulären Patch Tuesday, ersetzt drei zentrale, aus dem Jahr 2011 stammende Zertifikate, deren Gültigkeit 2026 endet:

  1. Microsoft Corporation KEK CA 2011 (läuft Juni 2026 ab): Signiert Updates für die Signaturdatenbanken.
  2. Microsoft Corporation UEFI CA 2011 (läuft Juni 2026 ab): Signiert Bootloader von Drittanbietern.
  3. Microsoft Windows Production PCA 2011 (läuft Oktober 2026 ab): Signiert den Windows Boot Manager.

Sie werden durch ihre Pendants aus dem Jahr 2023 ersetzt. Der Prozess aktualisiert die Firmware-Datenbank für erlaubte Signaturen (DB) und trägt die alten Zertifikate später in eine Sperrliste (DBX) ein. Die erzwungene Sperrung beginnt laut Microsoft nicht vor Januar 2026, um Administratoren genug Vorlauf zu geben.

Was Nutzer und IT-Administratoren jetzt tun müssen

Für Privatanwender läuft der Prozess in der Regel automatisch ab, sofern Windows Update aktiviert ist. Dennoch ist ein Schritt entscheidend: Die UEFI/BIOS-Firmware des PCs sollte aktuell sein. Eine veraltete Firmware kann die Annahme der neuen Zertifikate blockieren.

Für Unternehmen ist proaktives Handeln gefragt. Administratoren sollten die bereitgestellten Anleitungen von Microsoft nutzen, um die Kompatibilität zu prüfen und das Update kontrolliert über Verwaltungstools auszurollen. Ein manueller Check, ob das neue Zertifikat (“Windows UEFI CA 2023”) bereits vorhanden ist, ist per PowerShell-Befehl möglich. Wird das Update verpasst, könnten Geräte später keine Secure Boot-Updates mehr installieren.

Ein dynamischer Schutz für die Zukunft

Die Zertifikatserneuerung ist kein Einmal-Ereignis, sondern Teil einer lebendigen Sicherheitsarchitektur. Angesichts wachsender Bedrohungen auf Firmware-Ebene wird die Fähigkeit, diese fundamentalen Vertrauensanker nachzuladen, immer wichtiger.

Die Branche bewegt sich hin zu einer durchgängig kryptografisch gesicherten Lieferkette – vom Chip bis zur Software. Die regelmäßige Erneuerung solcher Grundzertifikate ist ein logischer Schritt, um Milliarden Geräte weltweit gegen die Cyber-Bedrohungen von morgen zu wappnen.

Anzeige

PS: Administratoren und Entscheider sollten jetzt aktiv werden. Dieses kostenlose E‑Book fasst übersichtlich zusammen, welche Schutzmaßnahmen gegen Firmware‑Angriffe nötig sind, welche gesetzlichen Änderungen wichtig sind und wie Sie Ihr Unternehmen ohne teure Neueinstellungen absichern können. Mit Checklisten und unmittelbaren Handlungsempfehlungen für Patch‑Management und Supply‑Chain‑Sicherheit. Kostenfreies Umsetzungs-E-Book zur Cyber‑Security sichern

@ boerse-global.de
Lerne live von den Börsen-Profis – melde dich jetzt kostenlos an.