Windows Secure Boot: Kritische Zertifikate enden am 24. Juni

Im Juni endet die Ära der 14 Jahre alten Secure-Boot-Schlüssel – Unternehmen müssen handeln.

Microsoft bereitet gemeinsam mit seinen Hardware-Partnern den Wechsel der kryptografischen Schlüssel für Secure Boot vor. Die alten Zertifikate aus dem Jahr 2011 erreichen in diesen Wochen ihr Ablaufdatum. In einer Informationsveranstaltung am 4. Juni 2026 erläuterten Microsoft-Verantwortliche die konkreten Pläne und Risikominimierungsstrategien für IT-Administratoren.

Dreistufiger Ablauf bis Oktober

Anzeige: Wer bis zum 27. Juni die Secure-Boot-Zertifikate nicht aktualisiert, riskiert BitLocker-Wiederherstellungsschleifen und ausfallende Sperrlisten-Updates. Mit der Checkliste in diesem Report gehen Sie sicher durch die Migration. Jetzt 3-Schritte-Plan anfordern

Der Übergang erfolgt in mehreren Phasen. Den Auftakt macht am 24. Juni 2026 der Ablauf des Key Exchange Key (KEK) Certificate Authority 2011. Nur drei Tage später, am 27. Juni, folgt das Ende des Third-Party UEFI CA 2011. Die dritte Stufe ist für Oktober 2026 vorgesehen – dann läuft das Windows Production PCA 2011 aus.

Die gute Nachricht: Die Systeme booten auch nach dem 27. Juni weiter. Allerdings verlieren betroffene Geräte die Fähigkeit, künftige Sperrlisten-Updates zu verarbeiten, wenn sie nicht rechtzeitig auf die neuen 2023er-Zertifikate umgestellt wurden. Bei den meisten privaten Windows-10- und Windows-11-Rechnern soll die Migration automatisch über Windows Update laufen.

BitLocker-Fallen und Firmware-Hürden

Für Unternehmen wird es komplizierter. Wer manuelle Updates ohne passendes BIOS-Update einspielt, riskiert BitLocker-Wiederherstellungsschleifen – im schlimmsten Fall bleiben die Systeme unzugänglich. Hinzu kommt: Unterschiedliche Firmware-Versionen im Gerätepark können zu Lücken in den Verwaltungstools wie Microsoft Intune führen, die dann automatische Updates blockieren.

Die Hardwarehersteller liefern bereits die nötigen Firmware-Updates. Dell etwa hat Richtlinien für seine PowerEdge-Server veröffentlicht. Die 14., 15. und 16. Generation benötigen spezifische BIOS-Versionen. Für den R660 ist mindestens Version 2.8.2 erforderlich, für den R750 die 1.19.2 und für den R740 die 2.25.0. Administratoren sollten BitLocker vor dem Einspielen der Updates pausieren.

Auch Linux-Distributionen mit Secure Boot sind betroffen: Sie benötigen aktualisierte und signierte Shim-Loader für die Kompatibilität mit den neuen Zertifikaten. Virtuelle Maschinen und Datenbank-Austauschmechanismen (DB/DBX) fallen ebenfalls unter die Migration.

Neue Tools für die Überwachung

Microsoft hat am 12. Mai 2026 das Update KB5087538 für Windows Server 2019 und Windows 10 LTSC 2019 veröffentlicht. Es bringt neue Verwaltungsfunktionen für Secure-Boot-Zertifikate und ein spezielles Verzeichnis mit Skripten für Administratoren.

Anzeige: Unterschiedliche Firmware-Versionen im Gerätepark können zu Lücken in Intune führen und automatische Updates blockieren. Die Firmware-Matrix im Report zeigt Ihnen genau, welche BIOS-Version für Dell, HP und Lenovo nötig ist. Firmware-Matrix jetzt sichern

Die Windows-Sicherheitsoberfläche zeigt den Secure-Boot-Status nun mit einem Ampelsystem an: Grün, Gelb oder Rot signalisieren, ob ein Gerät die aktuellen Zertifikate nutzt oder Handlungsbedarf besteht.

Ausblick: Post-Quanten-Sicherheit am Horizont

Über die unmittelbaren Secure-Boot-Fristen hinaus bereitet sich die Branche auf weitere kryptografische Umstellungen vor. Organisationen wie Let's Encrypt haben bereits Fahrpläne für die Post-Quanten-Websicherheit vorgelegt. Noch 2026 sollen neue Merkle-Tree-Zertifikate in der Testphase starten – eine Reaktion auf die wachsenden Bedrohungen für die Public-Key-Infrastruktur.

de | wissenschaft | 69489338 |