Microsoft warnt Windows-Nutzer vor Ablauf der Secure-Boot-Zertifikate

Der Countdown läuft: Im Juni 2026 verfallen die alten Secure-Boot-Zertifikate von Microsoft – Millionen PCs sind betroffen.

Der Softwarekonzern hat damit begonnen, systemweite Benachrichtigungen an Windows-Nutzer auszuspielen. Grund ist das bevorstehende Ablaufdatum der Secure-Boot-Zertifikate aus dem Jahr 2011. Der Wechsel auf den neuen Standard von 2023 befindet sich in seiner entscheidenden Phase – und betrifft Millionen von Geräten, die vor 2024 hergestellt wurden.

Bereits jetzt erhalten Nutzer älterer Hardware wiederkehrende Systemmeldungen. Die Windows-Sicherheits-App zeigt aktualisierte Statusanzeigen, die darauf hinweisen, dass die vertrauenswürdigen Start-Anker des Geräts kurz vor dem Ende ihrer Lebensdauer stehen. Microsoft hat diesen Übergang zwar seit Jahren vorbereitet, doch der bevorstehende Ablauf des Microsoft UEFI CA 2011 im Juni 2026 markiert einen bedeutenden Einschnitt in der PC-Sicherheitsinfrastruktur.

Viele Nutzer älterer Hardware fürchten nun aufgrund veralteter Zertifikate um die langfristige Sicherheit ihrer Systeme. IT-Experte Manfred Kratzl zeigt Ihnen einen legalen Weg, wie Sie Windows 11 auch auf offiziell inkompatiblen Geräten ohne Datenverlust installieren. Gratis-PDF zum Upgrade ohne neue Hardware sichern

Ein gestaffelter Übergang für die globale PC-Sicherheit

Der Ablauf der alten Zertifikate ist kein einzelnes Ereignis, sondern ein Zeitfenster, das Systemausfälle verhindern soll. Gleich mehrere Schlüsselzertifikate laufen in diesem Jahr aus: Das Microsoft Corporation KEK CA 2011 sowie das Microsoft UEFI CA 2011 verfallen im Juni 2026. Ein drittes kritisches Zertifikat, die Microsoft Windows Production PCA 2011, folgt im Oktober.

Diese Zertifikate bilden seit rund 15 Jahren die Vertrauensbasis nahezu jedes Windows-PCs. Sie stellen sicher, dass während des Startvorgangs nur vertrauenswürdige, digital signierte Betriebssystem-Lader und Treiber ausgeführt werden. Als Ersatz hat Microsoft die Windows UEFI CA 2023 und die Microsoft Corporation KEK 2K CA 2023 eingeführt.

Die aktuellen Systemmeldungen sollen IT-Administratoren und Privatanwender über den Status ihrer Geräte informieren. Für die meisten Windows-11- und Windows-10-Nutzer – insbesondere jene mit Extended Security Update (ESU) -Support – werden die neuen Zertifikate automatisch über monatliche Updates installiert. In Unternehmensumgebungen gestaltet sich der Prozess jedoch komplexer, da Updates dort oft stufenweise verwaltet werden.

Hardware-Bereitschaft und OEM-Koordination

Während viele PCs aus dem Jahr 2024 die neuen Zertifikate bereits ab Werk enthalten, sind ältere Systeme auf Betriebssystem-Patches und teils auf Firmware-Updates der Hersteller angewiesen. Unternehmen wie Dell arbeiten eng mit Microsoft zusammen und verfolgen seit Ende 2024 eine Strategie mit doppelten Zertifikaten, um den Umstieg zu erleichtern. Neue Plattformen werden sowohl mit den alten als auch den neuen Zertifikaten ausgeliefert, um die Kompatibilität mit älteren Systemabbildern zu gewährleisten.

IT-Profis nutzen PowerShell-Abfragen und Verwaltungstools, um noch nicht umgestellte Geräte zu identifizieren. Diese Sichtbarkeit ist entscheidend, denn die Lücke zwischen umgestellter und nicht umgestellter Hardware stellt ein langfristiges Governance-Risiko dar.

Für Geräte, die manuell aktualisiert werden müssen, ist in der Regel ein BIOS- oder UEFI-Firmware-Update erforderlich, um die aktive Secure-Boot-Datenbank zu erneuern. Wird ein System bis zum Juni nicht aktualisiert, funktioniert es zwar weiter – allerdings in einem „verminderten Sicherheitszustand“, wie Microsoft es nennt.

Die Risiken eines verminderten Sicherheitszustands

Microsoft und Sicherheitsforscher betonen: Es droht kein Totalausfall der Hardware. Geräte starten weiterhin, Windows lädt normal. Doch das Ausbleiben eines sichtbaren Fehlers bedeutet nicht, dass kein Risiko besteht.

Ein nicht umgestelltes Gerät verliert die Fähigkeit, neue Boot-Chain-Schutzmaßnahmen zu erhalten. Dazu gehören Updates des Windows Boot Managers, Änderungen der Secure-Boot-Richtlinien und die Forbidden Signature Database (DBX) . Die DBX ist entscheidend, um das Vertrauen in Bootloader zu entziehen, die anfällig für Exploits sind – wie etwa das „BlackLotus“-UEFI-Bootkit.

Sicherheitsberater warnen: Wenn Microsoft das „Dual-Signing“ – die Praxis, Boot-Komponenten sowohl mit alten als auch neuen Zertifikaten zu signieren – einstellt, werden neue Versionen des Windows Boot Managers auf Systemen ohne Vertrauen in die 2023-Zertifikate nicht mehr laden. Auch Drittanbieter-Bootloader und Linux-Distributionen, die Secure Boot nutzen, könnten betroffen sein.

Da der Zertifikatswechsel auch Linux-Distributionen vor Herausforderungen stellt, suchen immer mehr Nutzer nach stabilen und unabhängigen Systemen. Mit dem kostenlosen Startpaket testen Sie Ubuntu risikofrei parallel zu Windows und machen auch ältere Rechner wieder flott. Gratis Linux-Startpaket jetzt anfordern

Handlungsempfehlungen für Administratoren

Microsoft hat ein „Secure-Boot-Playbook“ für Organisationen bereitgestellt. Die aktualisierte Windows-Sicherheits-App zeigt nun farbcodierte Statusanzeigen: Ein gelbes oder rotes Symbol signalisiert Handlungsbedarf – entweder ein Firmware-Update oder die manuelle Bestätigung der Sicherheitsrisiken.

Für Nutzer nicht unterstützter Windows-10-Versionen ist die Lage prekärer. Ohne aktive ESU-Lizenz erhalten diese Systeme die Zertifikats-Updates voraussichtlich nicht über die Standardkanäle. Ein großer Teil des Legacy-PC-Marktes droht dauerhaft in einem verminderten Sicherheitszustand zu verharren. Microsoft bietet diesen Nutzern die Möglichkeit, die Risiken anzuerkennen und zukünftige Erinnerungen zu deaktivieren.

Die PC-Branche wird den vollständigen Umstieg auf das 2023-Vertrauensmodell voraussichtlich bis nach den Oktober-Fristen abschließen. Obwohl der Übergang seit über zwei Jahren läuft, sind die letzten Wochen vor der ersten Ablaufwelle das entscheidende Zeitfenster für IT-Teams. Experten raten: Hardware, die die neuen Zertifikate nicht unterstützt, sollte priorisiert ersetzt oder in isolierte Netzwerke verschoben werden, um zukünftige Boot-Level-Sicherheitslücken zu vermeiden.

de | wissenschaft | 69303340 |