Microsoft stärkt Secure Boot

Microsoft aktualisiert Secure Boot mit neuen Zertifikaten; Frist läuft bis Juni 2026.

Die Maßnahme ersetzt die ursprünglichen Zertifikate aus dem Jahr 2011 durch eine modernisierte Schlüsselreihe aus 2023. Ziel ist es, die Boot-Sicherheit künftig gegen fortgeschrittene Bedrohungen wie Bootkits zu schützen. Für Deutschland bedeutet das größtenteils automatische Updates über Windows Update – doch einige Geräte erfordern manuelle Schritte, vor allem ältere Systeme oder spezialisierte Hardware. Endet die Frist, droht ein degradiertes Sicherheitsniveau, das den Erhalt von Boot-Sicherheitsupdates einschränkt.

Neue Zertifikate: Warum der Schritt?

Secure Boot schützt die Bootkette auf der Firmwareebene, noch bevor das Betriebssystem startet. Durch den Austausch der Originalzertifikaten (KEK und DB) gegen neue, aus dem Jahr 2023 stammende Schlüssel wird die Vertrauenskette gestärkt und bekannte Schwachstellen geschlossen. Microsoft beschreibt diesen Vorgang als eine der größten koordinierenden Sicherheitsmaßnahmen im Windows-Ökosystem – enge Zusammenarbeit mit Hardware-Herstellern (OEMs) und Firmware-Anbietern ist erforderlich. Warum ist das relevant für uns? Weil Angreifer so tief im Systemzugang rund um den Startprozess blockiert bleiben.

Folgen für IT-Teams und Anwender

Die Mehrheit der Verbraucher- und Geschäftssysteme erhält die neuen Zertifikate automatisch über Windows Updates. Viele PCs, die seit 2024 produziert wurden, enthalten die aktualisierten Schlüssel bereits ab Werk. Für Unternehmen bleibt der Rollout aber nicht vollkommen automatisch: IT-Verantwortliche sollten gegebenenfalls Firmware-Aktualisierungen von den Herstellern installieren und anschließend die neuen Zertifikate via Intune, Gruppenrichtlinien oder Registry-Einstellungen verteilen. Eine wichtige Empfehlung: Zuerst Firmware-Updates installieren, denn manche Systeme akzeptieren die neuen Signaturen erst danach ordentlich.

Wie läuft die Praxis in der deutschen IT-Landschaft ab? Schon heute arbeiten viele Firmen mit zentralen Verwaltungswerkzeugen, um Updates zeitnah zu steuern. Ist das erledigt, profitieren Endnutzer von einer verbesserten Boot-Sicherheit, ohne aktiv etwas tun zu müssen. Doch bei älteren Geräten oder Spezialhardware kann der manuelle Eingriff nötig sein. Ist Ihre Hardware schon bereit für die neue Zertifikatssignatur?

Falls Ihr PC wegen der Secure‑Boot‑Änderungen manuelle Eingriffe benötigt oder im Ernstfall nicht mehr startet, kann ein bootfähiger Windows‑USB‑Stick helfen – etwa für Firmware‑Updates, Reparaturen oder Neuinstallationen. Ein kostenloser Praxis‑Leitfaden zeigt Schritt für Schritt, wie Sie einen Windows‑11‑Boot‑Stick erstellen und im Notfall sicher starten. Kostenlosen Ratgeber: Windows‑11 Boot‑Stick erstellen

Was passiert bei Verzug?

Wer die Frist verpasst, verliert nicht sofort die Funktion, doch die Sicherheitslage verschlechtert sich schleichend. Systeme im „degradierten Sicherheitszustand“ erhalten keine neuen Boot-Updates mehr und können auch nicht mehr neue Einträge in die Boot-Vertrauensliste aufnehmen. Langfristig besteht das Risiko von Inkompatibilitäten mit neuem Hardware- oder Softwarebedarf sowie dem Wegfall von Schutzmechanismen auf dem Boot-Level. Deshalb ist eine zeitnahe Aktualisierung dringend angeraten.

Neben den Kernzertifikaten läuft eine weitere Frist: Der Windows Boot Manager-Zertifikatseinstieg läuft im Oktober 2026 ab. Nutzer und Administratoren sollten sicherstellen, dass auch diese Komponente rechtzeitig aktualisiert wird, um reibungslose Updates und Kompatibilität zu gewährleisten.

Ausblick: Rollout und Hilfestellung

Microsoft setzt das Update in Phasen um, um Störungen zu minimieren. Hersteller wie HP arbeiten daran, Firmware-Patches bereitzustellen. In den kommenden Monaten wird die Windows-Sicherheitsanwendung voraussichtlich Statusmeldungen integrieren, damit Nutzer nachvollziehen können, ob ihre Systeme das neue Zertifikat akzeptieren. Bleibt die Frage: Reicht der aktuelle Update-Plan aus, oder benötigen Sie zusätzliche manuelle Schritte? Die Antwort hängt von der konkreten Hardware-Architektur und dem entsprechenden Hersteller-Support ab.