Secure Boot: Millionen Geräte verlieren Sicherheitsschutz ab Mittwoch
22.06.2026 - 19:45:46 | boerse-global.de
Ab Mittwoch droht Millionen von Windows- und Linux-Geräten ein Sicherheitsproblem: Eine zentrale Vertrauensinfrastruktur für Secure Boot erreicht ihr Ablaufdatum. Betroffen sind vor allem ältere Systeme, die nicht rechtzeitig aktualisiert wurden.
Drei entscheidende Fristen im Jahr 2026
Die Sicherheitsforscher von Eclypsium und die US-Geheimdienstbehörde NSA warnen vor einem gespaltenen Sicherheitsökosystem. Der Grund: Drei Microsoft-Zertifikate, die seit 2011 die Basis für Secure Boot bilden, laufen in diesem Jahr aus. Der Zeitplan im Überblick:
- 24. Juni 2026: Das Microsoft-KEK-CA-2011-Zertifikat läuft ab. Es ist essenziell für die Aktualisierung der Signaturdatenbank und der Sperrliste (DBX).
- 27. Juni 2026: Das Microsoft-UEFI-CA-2011-Zertifikat läuft ab. Es signiert Treiber von Drittanbietern und Linux-Shims.
- 19. Oktober 2026: Das Windows-Production-PCA-2011-Zertifikat läuft ab. Es signiert Windows-Bootloader.
Festplatte kaputt oder Windows streikt durch veraltete Sicherheits-Zertifikate? Dieser kostenlose Report erklärt Schritt für Schritt, wie Sie einen Windows-11-USB-Stick erstellen, um Ihr System jederzeit zu retten oder sicher neu zu installieren. Kostenlosen Ratgeber zum Windows 11 Boot-Stick anfordern
Geräte, die nicht rechtzeitig auf die 2023er-Ersatzzertifikate umgestellt wurden, können künftig keine Sicherheitsupdates für den Bootvorgang mehr erhalten. Sie bleiben anfällig für ausgeklügelte Bedrohungen wie den BlackLotus-Bootkit, der ältere, verwundbare Bootloader ausnutzt.
Herausforderungen für Unternehmen und Cloud-Umgebungen
Besonders betroffen ist ältere Unternehmenshardware aus der Zeit vor 2020 sowie IoT-Geräte, ARM-Systeme und bestimmte VM-Konfigurationen. IT-Administratoren berichten bereits von Problemen in Cloud-Umgebungen. Bei Azure Virtual Machines mit Ubuntu 20.04 und 24.04 sind Aktualisierungen der Zertifikatsvariablen fehlgeschlagen. Microsoft empfiehlt hier manuelle Update-Methoden, da der automatisierte fwupd-Prozess auf einigen Linux-VMs Fehler produziert.
Auch Google Cloud hat Anleitungen für Compute-Engine-Nutzer veröffentlicht, um Shielded-VM-Instanzen auf den neuen Standard umzustellen.
Was bedeutet das für Linux- und Dual-Boot-Nutzer?
Für Linux-Anwender ist der 27. Juni der kritische Termin. Bestehende Installationen funktionieren zwar weiter, doch neue Distributionen oder Updates des Shim-Bootloaders werden künftig mit dem 2023er-Zertifikat signiert. Enthält das System-Firmware nur die alten Schlüssel, verweigert es den Bootvorgang.
Wenn Sie aufgrund der neuen Sicherheitsanforderungen einen Wechsel oder Parallel-Betrieb von Linux planen, bietet dieses Gratis-Startpaket die perfekte Grundlage. Erfahren Sie, wie Sie Ubuntu ohne Risiko neben Windows installieren und von einem stabilen, virenfreien System profitieren. Kostenloses Linux-Startpaket inklusive Ubuntu-Vollversion sichern
Linux-Entwickler empfehlen den Befehl fwupdmgr update, um das neue Zertifikat in die Signaturdatenbank einzuspielen. Wichtig: Das alte Zertifikat sollte während des Prozesses nicht entfernt werden, da es für ältere Hardwarekomponenten weiterhin benötigt wird.
So überprüfen Windows-Nutzer den Status
Windows-Systeme erhalten die Aktualisierung in der Regel über Windows Update. IT-Administratoren sollten den Status ihrer Geräte jedoch überprüfen – etwa per PowerShell mit Get-SecureBootUEFI oder über die Windows-Registry. Ein erfolgreiches Update zeigt sich durch die Ereignis-ID 1808 in der Ereignisanzeige.
In verwalteten Umgebungen lassen sich die Updates per Intune oder Gruppenrichtlinien verteilen. Wer die Fristen verpasst, dessen Hardware bleibt zwar funktionsfähig, ist aber in seinem aktuellen Sicherheitszustand „eingefroren" – und damit wehrlos gegen künftige Boot-Level-Angriffe.
