Windows Secure Boot-Zertifikate:
Microsoft erklärt Austauschprozess
Microsoft verteilt derzeit ein wichtiges Update für Windows 11, das einen Neustart des Systems erzwingt. Der Secure Boot Allowed Key Exchange Key wird erneuert, da alte Zertifikate auslaufen. Das schließt künftige Sicherheitslücken.
Microsoft hat in einem Live-Video die wichtigsten Informationen über die nötigen Updates für die Secure-Boot-Zertifikate erläutert. Die Veranstaltung richtete sich zwar vor allem an Administratoren in Unternehmen, bot aber auch für andere Interessierte einige spannende Einblicke:
Die bisherigen Zertifikate stammen teilweise noch aus dem Jahr 2011. Ohne eine Aktualisierung können Windows-Systeme künftig keine sicherheitsrelevanten Updates für den Boot-Manager mehr verifizieren. Ohne das Update würde das Betriebssystem zwar weiterhin starten, jedoch wären Schutzmechanismen gegen Bootkits und tiefgreifende Schadsoftware auf lange Sicht ausgehebelt.
Wie Windows Latest berichtet, erfolgt die Verteilung in Wellen. Die Verfügbarkeit nimmt stetig zu. Für Endanwender läuft der Prozess weitgehend automatisiert ab.
Wer prüfen möchte, ob die neuen Schlüssel bereits installiert sind, kann das über die PowerShell erledigen. Ein spezifischer Befehl gleicht die Datenbank ab und gibt True zurück, wenn das Zertifikat Windows UEFI CA 2023 vorhanden ist:
Wenn das neue Zertifikat schon da ist, wird true ausgegeben.
Der Wechsel ist notwendig, da Verschlüsselungstechnologien stetig weiterentwickelt werden müssen. Ein nicht aktualisiertes System könnte fälschlicherweise legitime Bootloader ablehnen oder anfällig für Angriffe sein, die veraltete Schlüssel ausnutzen. Die Installation des Updates dauert meist nur wenige Minuten.
Habt ihr das Update für die neuen Schlüssel bereits erhalten und den Neustart durchgeführt? Schreibt uns eure Erfahrungen in die Kommentare. Wir freuen uns auf den Austausch mit euch.
Siehe auch:
Windows 11: KEK-Update erzwingt Neustart
Microsoft verteilt derzeit ein wichtiges Sicherheitsupdate für Windows 11. Es geht um das "Secure Boot Allowed Key Exchange Key Update", kurz KEK. Nutzer müssen sich darauf einstellen, dass für die vollständige Installation ein Neustart des Systems zwingend erforderlich ist. Hintergrund ist der bevorstehende Ablauf alter Sicherheitszertifikate im Jahr 2026.Microsoft hat in einem Live-Video die wichtigsten Informationen über die nötigen Updates für die Secure-Boot-Zertifikate erläutert. Die Veranstaltung richtete sich zwar vor allem an Administratoren in Unternehmen, bot aber auch für andere Interessierte einige spannende Einblicke:
Erläuterung zu Updates für Secure Boot-Zertifikate
Die bisherigen Zertifikate stammen teilweise noch aus dem Jahr 2011. Ohne eine Aktualisierung können Windows-Systeme künftig keine sicherheitsrelevanten Updates für den Boot-Manager mehr verifizieren. Ohne das Update würde das Betriebssystem zwar weiterhin starten, jedoch wären Schutzmechanismen gegen Bootkits und tiefgreifende Schadsoftware auf lange Sicht ausgehebelt.
Wie Windows Latest berichtet, erfolgt die Verteilung in Wellen. Die Verfügbarkeit nimmt stetig zu. Für Endanwender läuft der Prozess weitgehend automatisiert ab.
Hintergrund zu Secure Boot
Secure Boot ist ein fester Sicherheitsstandard im Unified Extensible Firmware Interface, kurz UEFI. Er stellt sicher, dass ein Gerät nur mit Software startet, der der Originalhersteller vertraut. Beim Hochfahren prüft die Firmware die Signaturen der Boot-Software. Stimmen diese mit den in der Datenbank hinterlegten Schlüsseln überein, wird die Kontrolle an das Betriebssystem übergeben.Prüfen und vorbereiten
Ob Secure Boot aktiv ist, lässt sich über Windows-Taste + R → msinfo32 kontrollieren. Der Eintrag Sicherer Startzustand sollte auf Ein stehen. Microsoft empfiehlt, rechtzeitig die Firmware-Updates der jeweiligen Hersteller einzuspielen, damit der Übergang auf die neuen Zertifikate reibungslos klappt.Wer prüfen möchte, ob die neuen Schlüssel bereits installiert sind, kann das über die PowerShell erledigen. Ein spezifischer Befehl gleicht die Datenbank ab und gibt True zurück, wenn das Zertifikat Windows UEFI CA 2023 vorhanden ist:
[System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Wenn das neue Zertifikat schon da ist, wird true ausgegeben.
Relevante Zertifikatsänderungen
Folgende Änderungen an der Zertifikatsstruktur finden im Hintergrund statt:- Microsoft Corporation KEK CA 2011 wird zu Microsoft Corporation KEK 2K CA 2023
- Microsoft Windows Production PCA 2011 wird zu Windows UEFI CA 2023
- Microsoft UEFI CA 2011 wird zu Microsoft UEFI CA 2023
Der Wechsel ist notwendig, da Verschlüsselungstechnologien stetig weiterentwickelt werden müssen. Ein nicht aktualisiertes System könnte fälschlicherweise legitime Bootloader ablehnen oder anfällig für Angriffe sein, die veraltete Schlüssel ausnutzen. Die Installation des Updates dauert meist nur wenige Minuten.
Habt ihr das Update für die neuen Schlüssel bereits erhalten und den Neustart durchgeführt? Schreibt uns eure Erfahrungen in die Kommentare. Wir freuen uns auf den Austausch mit euch.
Was passiert mit den Secure Boot-Zertifikaten?
Mehrere zentrale Secure-Boot-Zertifikate von Microsoft stammen noch aus dem Jahr 2011 und laufen ab Mitte 2026 aus - konkret im Juni und Oktober 2026. Secure Boot prüft beim PC-Start, ob nur vertrauenswürdige Software geladen wird. Ohne gültige Zertifikate kann diese Prüfung künftig keine neuen Schutzmechanismen mehr verifizieren.
Microsoft ersetzt die alten Zertifikate daher durch neue, bereits 2023 erstellte Nachfolger. Für Privatnutzer mit Windows 10 oder 11 läuft die Aktualisierung automatisch über Windows Update. Ein manuelles Eingreifen ist in der Regel nicht nötig - lediglich ein Neustart wird nach der Installation benötigt.
Microsoft ersetzt die alten Zertifikate daher durch neue, bereits 2023 erstellte Nachfolger. Für Privatnutzer mit Windows 10 oder 11 läuft die Aktualisierung automatisch über Windows Update. Ein manuelles Eingreifen ist in der Regel nicht nötig - lediglich ein Neustart wird nach der Installation benötigt.
Muss ich selbst etwas tun?
Wer Windows 10 oder Windows 11 in einer Consumer-Version (Home, Pro, Education) nutzt und regelmäßig Windows Updates installiert, muss nichts weiter unternehmen. Die neuen Zertifikate werden automatisch über Windows Update verteilt. Nach der Installation wird lediglich ein Neustart fällig, damit die Schlüssel in die UEFI-Firmware geschrieben werden.
Anders sieht es in Unternehmen aus: Werden PCs über eine IT-Abteilung verwaltet, muss sich diese selbst um die Zertifikatsaktualisierung kümmern. Microsoft stellt hierfür eigene Anleitungen und Richtlinien bereit. Am 9. März 2026 hat Microsoft zudem ein Live-Video veröffentlicht, das sich speziell an Administratoren richtet.
Anders sieht es in Unternehmen aus: Werden PCs über eine IT-Abteilung verwaltet, muss sich diese selbst um die Zertifikatsaktualisierung kümmern. Microsoft stellt hierfür eigene Anleitungen und Richtlinien bereit. Am 9. März 2026 hat Microsoft zudem ein Live-Video veröffentlicht, das sich speziell an Administratoren richtet.
Ist Secure Boot bei mir aktiviert?
Das lässt sich in wenigen Sekunden prüfen: Drücken Sie Win+R, geben Sie msinfo32 ein und bestätigen Sie mit Enter. In der Systeminformation finden Sie den Eintrag "Sicherer Startzustand". Steht dort "Ein", ist Secure Boot aktiv.
Falls Secure Boot deaktiviert ist, können Sie es im UEFI/BIOS Ihres Rechners einschalten. Beachten Sie, dass Windows 11 Secure Boot als Systemvoraussetzung verlangt. Ohne aktiviertes Secure Boot erhalten Sie die neuen Zertifikate nicht automatisch über Windows Update.
Falls Secure Boot deaktiviert ist, können Sie es im UEFI/BIOS Ihres Rechners einschalten. Beachten Sie, dass Windows 11 Secure Boot als Systemvoraussetzung verlangt. Ohne aktiviertes Secure Boot erhalten Sie die neuen Zertifikate nicht automatisch über Windows Update.
Habe ich das neue Zertifikat schon?
Das können Sie per PowerShell überprüfen. Öffnen Sie PowerShell als Administrator und führen Sie folgenden Befehl aus:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
Gibt PowerShell "True" zurück, ist das neue Zertifikat bereits auf Ihrem System vorhanden. Bei "False" wurde es noch nicht installiert - das ist aber kein Grund zur Sorge. Microsoft rollt die Aktualisierung schrittweise aus, und Ihr Gerät wird das Update in den kommenden Wochen automatisch erhalten.
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
Gibt PowerShell "True" zurück, ist das neue Zertifikat bereits auf Ihrem System vorhanden. Bei "False" wurde es noch nicht installiert - das ist aber kein Grund zur Sorge. Microsoft rollt die Aktualisierung schrittweise aus, und Ihr Gerät wird das Update in den kommenden Wochen automatisch erhalten.
Welche Zertifikate werden ersetzt?
Insgesamt werden vier Zertifikate aus dem Jahr 2011 durch neue Versionen von 2023 ersetzt: Der "Microsoft Corporation KEK CA 2011" (Ablauf Juni 2026) wird durch den "Microsoft Corporation KEK 2K CA 2023" ersetzt. Die "Microsoft Windows Production PCA 2011" (Ablauf Oktober 2026) weicht der "Windows UEFI CA 2023".
Zusätzlich wird die "Microsoft UEFI CA 2011" (Ablauf Juni 2026) gleich durch zwei neue Zertifikate abgelöst: die "Microsoft UEFI CA 2023" und die "Microsoft Option ROM UEFI CA 2023". Der KEK-Schlüssel ist dabei besonders wichtig, da er Updates an den Signaturdatenbanken autorisiert.
Zusätzlich wird die "Microsoft UEFI CA 2011" (Ablauf Juni 2026) gleich durch zwei neue Zertifikate abgelöst: die "Microsoft UEFI CA 2023" und die "Microsoft Option ROM UEFI CA 2023". Der KEK-Schlüssel ist dabei besonders wichtig, da er Updates an den Signaturdatenbanken autorisiert.
Was passiert ohne das Update?
Ohne die neuen Zertifikate wird Windows auch nach Juni 2026 weiterhin ganz normal starten - es droht also kein plötzlicher Ausfall. Allerdings kann das System dann keine neuen Secure-Boot-Updates mehr verifizieren. Das bedeutet: Aktualisierte Boot-Dateien, widerrufene Signaturen und Schutzmaßnahmen gegen Boot-Level-Bedrohungen werden nicht mehr angewendet.
Konkret heißt das, dass Sicherheitsupdates für den Boot-Manager oder andere Startkomponenten ausbleiben könnten. Ihr PC wäre damit langfristig anfälliger für sogenannte Bootkits und andere Schadsoftware, die sich noch vor dem Betriebssystemstart einnistet.
Konkret heißt das, dass Sicherheitsupdates für den Boot-Manager oder andere Startkomponenten ausbleiben könnten. Ihr PC wäre damit langfristig anfälliger für sogenannte Bootkits und andere Schadsoftware, die sich noch vor dem Betriebssystemstart einnistet.
Zusammenfassung
- Microsoft verteilt ein wichtiges Secure-Boot-Update für Windows 11
- Das Update erneuert den Secure Boot Allowed Key Exchange Key (KEK)
- Alte Sicherheitszertifikate aus dem Jahr 2011 laufen 2026 endgültig ab
- Ohne Aktualisierung können Boot-Manager-Updates nicht mehr verifiziert werden
- Die Verteilung des Updates erfolgt in Wellen und läuft automatisiert ab
- Nutzer können per PowerShell prüfen, ob neue Schlüssel installiert sind
- Ein Neustart des Systems ist für die vollständige Installation nötig
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen