UEFI Secure Boot: Microsoft entzieht Zertifikat ab 24. Juni
21.06.2026 - 17:34:10 | boerse-global.de
Am 24. Juni 2026 läuft eine entscheidende Sicherheitsfrist ab. Microsoft entzieht einem zentralen Zertifikat für den UEFI Secure Boot das Vertrauen – mit weitreichenden Folgen für Windows- und Linux-Nutzer.
Konkret geht es um das Zertifikat „Microsoft Windows Production PCA 2011". Es wird ab dem Stichtag nicht mehr als vertrauenswürdig eingestuft. Das betrifft Millionen von Systemen, die dann nicht mehr gegen sogenannte Bootkit-Angriffe geschützt sind. Diese Schadsoftware greift bereits vor dem Laden des Betriebssystems an – und ist für normale Virenscanner praktisch unsichtbar.
Der neue Standard: Kryptografie auf dem neuesten Stand
Anzeige: Der Zertifikatsentzug am 24. Juni 2026 betrifft Millionen Systeme – Boot-Level-Updates werden dann nicht mehr installiert. Mit unserer Checkliste prüfen Sie in 5 Minuten den Secure-Boot-Status Ihrer Geräte. Jetzt kostenlosen Report anfordern
Die Nachfolge tritt das Zertifikat „Microsoft Windows Production PCA 2023" an. Es setzt auf den moderneren ECC P-384-Algorithmus. Diese Umstellung ist kein bloßes Update – sie ist die Antwort auf hochentwickelte Bedrohungen wie den BlackLotus-Bootkit, der die gesamte Boot-Sicherheitskette aushebeln kann.
Viele moderne PCs erhalten diesen Wechsel automatisch über Windows Update. Doch die Realität sieht anders aus: Geräte, die vor 2018 gebaut wurden, bekommen das neue Zertifikat oft nicht von allein. Auch Systeme mit Windows 11 auf nicht unterstützter Hardware – etwa per Registry-Hack – oder komplexe Dual-Boot-Konfigurationen mit Linux sind betroffen. Hier ist Handarbeit gefragt.
Was passiert, wenn die Frist verstreicht?
Ein Totalausfall droht nicht sofort. Der Rechner startet zunächst weiter. Allerdings: Boot-Level-Sicherheitsupdates werden nicht mehr installiert. In manchen Fällen erscheint eine Fehlermeldung: „Secure Boot Violation". Das System verweigert dann schlicht den Dienst, weil die Firmware mit den aktualisierten Sperrlisten nicht mehr harmoniert.
Wie prüft man den eigenen Status? Unter Windows reicht ein Blick in die Gerätesicherheit der Windows-Sicherheits-App. Ein grüner Haken bedeutet: alles in Ordnung. Gelbe oder rote Warnungen sind Alarmzeichen. Alternativ hilft das Systeminformations-Tool (msinfo32) oder ein PowerShell-Befehl. Für Unternehmen empfehlen Sicherheitsexperten eine vollständige Hardware-Inventur und eine gestaffelte Ausrollung der Firmware-Updates – sonst drohen Massenausfälle.
Rekord bei Sicherheitslücken
Der Zertifikatswechsel fällt in eine Zeit intensiver Sicherheitsaktivität. Erst am 10. Juni 2026 veröffentlichte Microsoft seinen bisher größten Patch Tuesday: 200 Schwachstellen wurden geschlossen. Darunter 33 kritische Lücken und sechs Zero-Day-Exploits – Angriffspunkte, die zum Zeitpunkt der Veröffentlichung bereits aktiv ausgenutzt wurden.
Besonders brisant: CVE-2026-4209, eine Sicherheitslücke, die genau den Secure Boot umgeht – und damit Angreifern Tür und Tor für Bootkit-Installationen öffnet. Ein weiterer kritischer Fehler, CVE-2026-4341, betrifft den Common Log File System (CLFS)-Treiber. Er wurde nachweislich bereits in freier Wildbahn ausgenutzt.
Linux ebenfalls betroffen
Anzeige: BlackLotus und andere Bootkits nutzen genau diese Sicherheitslücke – Ihr Unternehmen braucht einen Notfallplan für Dual-Boot- und Linux-Systeme. Unser Leitfaden zeigt, wie Sie das neue Zertifikat ausrollen und Ausfälle vermeiden. Notfallplan jetzt sichern
Die Umstellung betrifft nicht nur Windows. Viele Linux-Distributionen nutzen Microsoft-signierte Shim-Bootloader für die Kompatibilität mit Secure Boot. Fällt das alte Zertifikat weg, können auch diese Systeme Probleme bekommen.
Hinzu kommen eigene Sicherheitsbaustellen. Anfang des Jahres entdeckten Forscher neun Schwachstellen im AppArmor-Kernel-Modul – getauft auf den Namen „CrackArmor". Sie ermöglichen lokale Rechteausweitung bis hin zur Root-Ebene und können die Isolation von Containern durchbrechen.
Ein weiterer Dauerbrenner: die als „Copy Fail" bekannte Sicherheitslücke. Sie betrifft die kryptografische Infrastruktur verschiedener Linux-Distributionen – und das seit 2017. Zwar erschien am 1. April 2026 ein Hauptlinien-Patch, doch die US-Behörde CISA stufte den Fehler am 1. Mai 2026 als aktiv ausgenutzt ein. Die Botschaft ist klar: Patch-Management bleibt auf allen Plattformen alternativlos.
