Ab Juni 2026: Secure Boot Zertifikate laufen ab – Gefahr für Millionen PCs

Ab Juni 2026: Secure Boot Zertifikate laufen ab – Gefahr für Millionen PCs

Von /

Die IT-Welt steht vor einem der größten Infrastruktur-Updates der letzten Dekade: Im Juni 2026 laufen die Secure Boot Zertifikate von Microsoft, die essenziell für den sicheren Systemstart moderner Windows- und vieler Linux-PCs sind, unwiderruflich ab. Diese Zertifikatsabläufe betreffen praktisch alle Endgeräte mit UEFI-Bios und aktiviertem Secure Boot, die seit 2012 produziert wurden. Selbst virtuelle Maschinen sind betroffen, was die Tragweite noch unterstreicht.

TL;DR
  • Ab Juni 2026 verlieren Microsoft Secure Boot Zertifikate ihre Gültigkeit.
  • Ohne rechtzeitiges Update drohen Sicherheitslücken und Boot-Probleme bei Windows-PCs und Servern.
  • Jetzt Maßnahmen ergreifen: Firmware- und Secure Boot-Zertifikate aktualisieren!

Was ist Secure Boot?

Secure Boot ist ein Sicherheitsstandard, der sicherstellt, dass beim Systemstart ausschließlich autorisierte Software geladen wird. Die Vertrauenskette beginnt beim sogenannten Platform Key (PK), verwaltet durch OEMs, und führt über die Key Enrollment Key (KEK)- und Datenbank (DB)-Zertifikate zur Kontrolle der zugelassenen und verbotenen Boot-Komponenten. Die Microsoft-Zertifikate „Microsoft Corporation UEFI CA 2011“, „Microsoft Corporation KEK CA 2011“ und „Windows Production PCA 2011“ sichern diesen Prozess ab, laufen aber nach 15 Jahren im Juni beziehungsweise Oktober 2026 ab.[1][2][3]

Warum ist das Zertifikats-Update so kritisch?

Nach Ablauf der Secure Boot Zertifikate werden betroffene Systeme keine Sicherheits-Updates für Pre-Boot-Komponenten mehr erhalten. Das Risiko: Angriffe durch Bootkit-Malware wie BlackLotus könnten Sicherheitsmechanismen vollständig umgehen. Ohne Update können neue Windows-Bootloader nicht mehr geladen werden und Systeme im schlimmsten Fall gar nicht mehr starten. Auch der Schutz vor manipulierter Firmware wäre nicht mehr gewährleistet.[1][3][5]

Welche Systeme sind betroffen?

  • Windows 10, Windows 11, Windows Server (2012, 2016, 2019, 2022, 2025), einschließlich LTSC-Versionen
  • Physische PCs und Notebooks mit UEFI-Bios & Secure Boot seit 2012
  • Virtuelle Maschinen mit aktiviertem Secure Boot
  • Teilweise auch dual gebootete Linux-Systeme (nur deren Windows-Secure-Boot-Teil wird durch Microsoft aktualisiert)
  • Copilot+ PCs (ab 2025) sind nicht betroffen[1][4]

Empfohlene Handlungsschritte für Unternehmen und Privatanwender

  1. Firmware-/BIOS-Update durchführen: Prüfen Sie regelmäßig, ob Ihr Gerätehersteller (OEM) neue Updates bereitstellt, die bereits die neuen Secure Boot Zertifikate von 2023 enthalten.
  2. Automatische Windows Updates sicherstellen: Lassen Sie Windows Updates von Microsoft managen – auch Secure Boot Updates werden dann automatisch ausgerollt. Besonders Unternehmen, die Autopatch, Intune oder Configuration Manager nutzen, profitieren von dieser Option.[1][3]
  3. Diagnosedatenübermittlung aktivieren: Mindestens die erforderliche Stufe einstellen (z.B. über Gruppenrichtlinien), damit das Rollout der neuen Zertifikate reibungslos erfolgen kann.
  4. Registryschlüssel setzen (für Unternehmen ohne Telemetrie):
    • Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot
    • Name: MicrosoftUpdateManagedOptIn (DWORD Wert: 0x5944)
    • Achtung: Dies ist nur nötig, wenn das Gerät keine Diagnosedaten an Microsoft sendet. Wer darauf verzichtet, muss Updates manuell überwachen, herunterladen und einspielen.[1][3]
  5. Secure Boot Status prüfen: Über „msinfo32“ oder im BIOS/UEFI kontrollieren, ob Secure Boot aktiv ist. Nur dann können Zertifikate automatisch aktualisiert werden.
  6. Sonderfall: Air-Gap-Geräte (ohne Internetzugang): Hier ist ein manuelles Update mit Herstellerunterstützung nötig, oft unter erschwerten Bedingungen.[1]
  7. Linux-Nutzer mit Dual Boot: Nur Windows kann die Zertifikate für Windows-kompatible Bootloader aktualisieren. Für reine Linux-Systeme ist meist ein BIOS-Update durch den Hersteller notwendig.[1][5]

Was passiert, wenn nichts unternommen wird?

  • Keine weiteren Sicherheits-Updates für den Bootvorgang ab Juni 2026
  • Neues, korrekt signiertes Drittanbieter-Software wird nicht mehr als vertrauenswürdig erkannt
  • Gerät startet im schlimmsten Fall nicht mehr (insbesondere nach Neuinstallation aktueller Windows-Versionen)

Microsoft empfiehlt IT-Verantwortlichen dringend, schon jetzt Inventuren aller Windows-Geräte, insbesondere im kritischen und regulierten Umfeld, durchzuführen. Bestehende Prozesse für Firmware- und Secure Boot-Updates sollten möglichst früh gestartet werden, um im Ernstfall nicht den Zugriff auf Systeme oder Support zu verlieren.[1][2][5]

Weitere Ressourcen & Quellen

Fazit: Dringender Handlungsbedarf – Jetzt prüfen, planen und umsetzen

Das bevorstehende Ablaufdatum der Secure Boot Zertifikate bringt eine globale Umwälzung in Sachen Systemsicherheit und Wartung mit sich. Wer das Update verpasst, riskiert ernste Sicherheitsprobleme und Systemausfälle. Die Devise lautet: Bereiche und Geräte identifizieren, Updates planen und Umsetzung samt Monitoring etablieren. Nur so bleiben Windows- und viele Linux-Systeme auch nach Juni 2026 sicher und einsatzfähig – die Grundlagen werden jetzt gelegt.

Ähnliche Beiträge

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Mit dem Absenden des Kommentars erklärst du dich mit der Speicherung deiner Daten gemäß unserer Datenschutzerklärung einverstanden.

Nach oben scrollen