Windows-Zertifikate: Microsoft startet Notfall-Update vor Juni-Ablauf

Windows-Nutzer müssen sich auf mehrere Neustarts einstellen: Microsoft ersetzt zentrale Sicherheitszertifikate, die im Juni 2026 auslaufen.

Der Technologiekonzern hat eine automatische Aktualisierung der Secure-Boot-Zertifikate gestartet. Der Vorgang erstreckt sich über rund 48 Stunden und erfordert mehrere Systemneustarts. Grund sind drei primäre Zertifikate aus dem Jahr 2011, deren Gültigkeit in den kommenden Monaten endet.

Wenn Windows-Updates wie das aktuelle KB5089573 zu unerwarteten Fehlern oder Systemhängern führen, ist schnelle Hilfe gefragt. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie die häufigsten Windows-11-Probleme ohne teuren IT-Service einfach selbst lösen. Erste Hilfe für Windows 11 jetzt kostenlos herunterladen

Warum die Umstellung notwendig ist

Die alten Zertifikate – darunter die Microsoft Corporation KEK CA 2011 (Ablauf: 24. Juni 2026) und die Microsoft UEFI CA 2011 (Ablauf: 27. Juni 2026) – schützen den Bootvorgang vor Schadsoftware. Ein drittes Zertifikat, die Microsoft Windows Production PCA 2011, läuft erst am 19. Oktober 2026 aus.

Die neuen 2023er-Zertifikate bleiben bis 2038 gültig. Zwar booten Rechner auch ohne das Update weiter, doch verlieren sie künftige Schutzmechanismen auf Boot-Ebene. Sicherheitsexperten betonen die Dringlichkeit: Ohne aktuelle Zertifikate bleiben Systeme anfällig für Bedrohungen wie das BlackLotus-Bootkit, das unter der Sicherheitslücke CVE-2022-21894 bekannt wurde.

Das Update ist in mehrere aktuelle kumulative Updates integriert, darunter das Windows-11-Update KB5089573 vom 27. Mai 2026. Dieses bringt zwar Leistungsverbesserungen – bis zu 40 Prozent schnellere App-Starts und 70 Prozent flüssigere Shell-Operationen –, doch die Secure-Boot-Umstellung selbst bereitet in bestimmten Umgebungen Kopfzerbrechen.

Ob BitLocker-Wiederherstellungsschleifen oder Probleme beim Bootvorgang – ein funktionierender Notfall-Stick ist für Windows-Nutzer oft die letzte Rettung. Erfahren Sie in dieser Gratis-Anleitung, wie Sie in wenigen Minuten einen Windows-11-Boot-Stick zur Systemreparatur und Neuinstallation erstellen. Gratis-Anleitung: Windows 11 Boot-Stick erstellen

Bekannte Probleme und Fallstricke

Besonders betroffen: Windows Server 2016. Das Update KB5087537 vom Mai 2026 enthält einen schwerwiegenden Fehler. Server mit exakt 15 Zeichen langen Hostnamen verlieren die Fähigkeit, Active-Directory-Domänencontroller zu finden. Ursache ist ein NetBIOS-15-Zeichen-Limit in Kombination mit einem 16-Byte-Grenzfehler in der DCLocator-Engine. Betroffene Administratoren müssen Server umbenennen oder das Update deinstallieren – ein offizieller Patch steht noch aus.

Auch Hardware-Probleme sind aufgetreten: Einige HP-Geräte geraten nach BIOS-Updates im Zusammenhang mit den Secure-Boot-Änderungen in BitLocker-Wiederherstellungsschleifen. Nutzer benötigen dann einen 48-stelligen Wiederherstellungsschlüssel, um wieder auf ihr System zuzugreifen.

Empfehlungen für IT-Verantwortliche

Für Unternehmen empfiehlt Microsoft ein gestaffeltes Vorgehen bei der Ausrollung. Administratoren sollten die Ereignis-IDs 1801 und 1808 überwachen, um die erfolgreiche installation der neuen Zertifikate zu bestätigen. Ältere Hardware benötigt möglicherweise ein manuelles Firmware- oder BIOS-Update vom Hersteller, um die 2023er-Zertifikate zu unterstützen.

Der Status des Secure-Boot-Updates lässt sich in der Windows-Sicherheits-App unter den Gerätesicherheitseinstellungen prüfen. Für Windows Server 2022 wurde bereits im Frühjahr ein Notfall-Update (KB5091575) veröffentlicht, das Stabilitätsprobleme auf Domänencontrollern in Multi-Domain-Umgebungen adressiert – und gleichzeitig an die bevorstehende Zertifikatsfrist im Juni 2026 erinnert.

de | wissenschaft | 69439479 |