Secure Boot: Windows-Zertifikate laufen ab 24. Juni aus

Die Zertifikate für den sicheren Systemstart von Windows laufen im Juni 2026 aus – ein Problem, das tausende Rechner betreffen könnte. Zwar droht kein sofortiger Systemausfall, doch wer nicht rechtzeitig handelt, riskiert Sicherheitslücken und Startprobleme. Besonders betroffen: Unternehmen mit älterer Hardware und Dual-Boot-Systeme.

Drei Zertifikate, drei Ablaufdaten

Der Countdown läuft. Am 24. Juni 2026 verliert das Secure-Boot-Key-Exchange-Key-Zertifikat (KEK CA 2011) seine Gültigkeit. Nur drei Tage später, am 27. Juni, folgt das UEFI-CA-2011-Zertifikat. Ein drittes Zertifikat, die Windows Production PCA 2011, läuft am 19. Oktober 2026 aus.

Anzeige: Bereiten Sie sich auf den Zertifikatsablauf vor – mit einer Schritt-für-Schritt-Anleitung für PowerShell-Prüfung, BIOS-Update und Dual-Boot-Notfall. Jetzt Prüfplan anfordern

Die gute Nachricht: Ein „Hard Stop" – also ein sofortiger Boot-Ausfall – ist nicht zu erwarten. Dank der sogenannten „Time-of-Signing"-Regel bleiben bereits signierte Updates weiterhin funktionsfähig. Doch wer die 2023er-Zertifikate nicht installiert hat, verliert die Fähigkeit, neue Bootloader-Signaturen oder Sperrlisten zu überprüfen. Das öffnet Tür und Tor für potenzielle Angreifer.

Neues Dashboard zeigt Risikostatus

Microsoft hat reagiert und ein neues Secure-Boot-Report im Intune Admin Center eingeführt. Die Funktion im Bereich „Windows Quality Updates" nutzt Live-Telemetrie, um Geräte in fünf Kategorien einzuteilen:

• High Confidence: System ist bereit oder bereits aktualisiert
• Under Observation: Update läuft, ist aber noch nicht abgeschlossen
• No Data Observed: Telemetrie liefert noch keine klare Aussage
• Temporarily Paused: Meist fehlt ein BIOS-Update des Herstellers
• Not Supported: Hardware oder Konfiguration erlaubt kein Update

Administratoren können den Erfolg der Installation lokal im Ereignisprotokoll prüfen: Event ID 1808 signalisiert Erfolg, Event ID 1801 deutet auf ein Problem hin. Wichtig zu wissen: Die Daten im Dashboard können bis zu zwölf Stunden nach einem Neustart verzögert ankommen.

Dual-Boot und ältere Hardware: Die Stolperfallen

Besonders knifflig wird es für Nutzer von Dual-Boot-Systemen mit Linux. Am 24. Juni 2026 erwartet die Branche ein Update der Secure-Boot-Policy (SBAT), das ältere Versionen von „Shim" blockiert – einer Komponente, die viele Linux-Distributionen zum Booten auf UEFI-Systemen benötigen. Wer seine Distribution nicht aktualisiert hat, könnte plötzlich vor einem schwarzen Bildschirm stehen.

Doch nicht nur Software bereitet Kopfzerbrechen. Einige HP-BIOS-Updates vom April 2026 haben auf EliteBook- und ProBook-Modellen BitLocker-Wiederherstellungsschleifen ausgelöst. Auch ein Dell-SupportAssist-Update (Version 5.5.16.0) sorgte Ende April für kritische Prozessfehler und Bluescreens auf XPS- und Alienware-Geräten.

Microsoft arbeitet Berichten zufolge an einer Driver Quality Initiative und einer Cloud-Initiated Driver Recovery (CIDR) , die ab September 2026 ferngesteuerte Rollbacks fehlerhafter Treiber ermöglichen soll. Ein Schritt, der künftige „Bricking"-Fälle verhindern könnte.

Anzeige: Dual-Boot-Systeme besonders gefährdet: Das SBAT-Update am 24. Juni 2026 blockiert ältere Shim-Versionen. Unser Notfallplan zeigt, wie Sie Ihre Linux-Installation rechtzeitig aktualisieren. Notfallplan für Dual-Boot sichern

Manuelle Prüfung und Notfall-Pläne

Für Unternehmen ohne automatisiertes Patch-Management bleibt die manuelle Überprüfung. Per PowerShell lässt sich abfragen, ob das „Windows UEFI CA 2023"-Zertifikat in der Secure-Boot-Datenbank des Systems vorhanden ist. Auch manuelle Rollout-Methoden über die Registry sind weiterhin möglich.

Bei älterer Hardware ist ein BIOS-Update oft die Voraussetzung für die neuen Zertifikate. Auf bestimmten HP-ProDesk-Modellen wird beispielsweise ein BIOS vom Februar 2026 oder neuer benötigt. Experten warnen: Wer die Einstellungen manuell ändert, muss beim nächsten Neustart mit einer BitLocker-Wiederherstellungsanfrage rechnen.

de | wissenschaft | 69501649 |