Windows warnt jetzt vor ablaufenden Secure-Boot-Keys
Microsoft erinnert Windows-Nutzer aktuell an ein Sicherheitsdetail, das leicht untergeht, aber große Folgen haben kann: Die Secure-Boot-Zertifikate vieler PCs laufen im Juni 2026 aus - wer bis dahin keine Updates installiert hat, riskiert Probleme.
Die neuen Zertifikate und ein aktualisierter Boot-Manager wurden im Februar 2026 über die regulären Windows-Updates verteilt. Wer die aktuellen Patchday-Updates installiert, ist nach Angaben des Unternehmens also auf der sicheren Seite. Wichtig ist: Spätestens ein Update ab Februar 2026 muss auf dem System sein, da Windows-Updates kumulativ sind und die Secure-Boot-Anpassung mitbringen.
Um das Ganze transparenter zu machen, hat Microsoft nun die Sicherheits-App von Windows 10 und 11 aufgebohrt. Unter "Windows-Sicherheit > Gerätesicherheit > Secure Boot" zeigt ein Symbol künftig den Status der Zertifikats-Updates an. Ein grüner Haken signalisiert: Alles aktuell, alle nötigen Zertifikate und der neue Boot-Manager sind installiert, es besteht kein Handlungsbedarf.
Ein gelbes Warnsymbol bedeutet, dass noch ältere Secure-Boot-Zertifikate aktiv sind - in diesem Fall empfiehlt Microsoft, den PC mit dem Internet zu verbinden und ausstehende Windows-Updates zu installieren. Ein rotes Stopp-Symbol weist darauf hin, dass das Gerät bereits abgelaufene Zertifikate nutzt und ein Firmware-Update des Herstellers erforderlich ist.
Parallel dazu beschreibt Microsoft in einem Support-Dokument weitere Textmeldungen, die in der Secure-Boot-Sektion erscheinen können. Die Spannbreite reicht von "alles in Ordnung" über Hinweise auf bekannte Probleme - bei denen Microsoft und Partner das Update vorübergehend pausieren - bis hin zu Fällen, in denen die Hardware keine automatische Zertifikatsaktualisierung unterstützt. Für Geräte, die sich nicht automatisch einstufen lassen oder bei denen weitere Schritte nötig sind, verweist Microsoft auf eine Hilfeseite.
Hast du schon geprüft, welchen Secure-Boot-Status dein Windows-System anzeigt - und installierst du solche sicherheitskritischen Updates sofort oder schiebst du sie eher vor dir her?
Siehe auch:
Weitere Secure-Boot-Anpassung kommen
Bereits Anfang 2024 hatte Microsoft angekündigt, die Secure-Boot-Schlüssel zu erneuern, weil die ursprünglichen Zertifikate aus dem Jahr 2011 nach rund 15 Jahren auslaufen.Die neuen Zertifikate und ein aktualisierter Boot-Manager wurden im Februar 2026 über die regulären Windows-Updates verteilt. Wer die aktuellen Patchday-Updates installiert, ist nach Angaben des Unternehmens also auf der sicheren Seite. Wichtig ist: Spätestens ein Update ab Februar 2026 muss auf dem System sein, da Windows-Updates kumulativ sind und die Secure-Boot-Anpassung mitbringen.
Um das Ganze transparenter zu machen, hat Microsoft nun die Sicherheits-App von Windows 10 und 11 aufgebohrt. Unter "Windows-Sicherheit > Gerätesicherheit > Secure Boot" zeigt ein Symbol künftig den Status der Zertifikats-Updates an. Ein grüner Haken signalisiert: Alles aktuell, alle nötigen Zertifikate und der neue Boot-Manager sind installiert, es besteht kein Handlungsbedarf.
Ein gelbes Warnsymbol bedeutet, dass noch ältere Secure-Boot-Zertifikate aktiv sind - in diesem Fall empfiehlt Microsoft, den PC mit dem Internet zu verbinden und ausstehende Windows-Updates zu installieren. Ein rotes Stopp-Symbol weist darauf hin, dass das Gerät bereits abgelaufene Zertifikate nutzt und ein Firmware-Update des Herstellers erforderlich ist.
Parallel dazu beschreibt Microsoft in einem Support-Dokument weitere Textmeldungen, die in der Secure-Boot-Sektion erscheinen können. Die Spannbreite reicht von "alles in Ordnung" über Hinweise auf bekannte Probleme - bei denen Microsoft und Partner das Update vorübergehend pausieren - bis hin zu Fällen, in denen die Hardware keine automatische Zertifikatsaktualisierung unterstützt. Für Geräte, die sich nicht automatisch einstufen lassen oder bei denen weitere Schritte nötig sind, verweist Microsoft auf eine Hilfeseite.
Statusanzeigen ab April 2026
Die neuen Statusanzeigen in der Sicherheits-App werden ab April 2026 schrittweise ausgerollt. Ab Mai sollen zusätzliche Warnhinweise hinzukommen, etwa Systembenachrichtigungen außerhalb der App, die Nutzer auf Handlungsbedarf aufmerksam machen.Hast du schon geprüft, welchen Secure-Boot-Status dein Windows-System anzeigt - und installierst du solche sicherheitskritischen Updates sofort oder schiebst du sie eher vor dir her?
Was passiert mit den Secure Boot-Zertifikaten?
Mehrere zentrale Secure-Boot-Zertifikate von Microsoft stammen noch aus dem Jahr 2011 und laufen ab Mitte 2026 aus - konkret im Juni und Oktober 2026. Secure Boot prüft beim PC-Start, ob nur vertrauenswürdige Software geladen wird. Ohne gültige Zertifikate kann diese Prüfung künftig keine neuen Schutzmechanismen mehr verifizieren.
Microsoft ersetzt die alten Zertifikate daher durch neue, bereits 2023 erstellte Nachfolger. Für Privatnutzer mit Windows 10 oder 11 läuft die Aktualisierung automatisch über Windows Update. Ein manuelles Eingreifen ist in der Regel nicht nötig - lediglich ein Neustart wird nach der Installation benötigt.
Microsoft ersetzt die alten Zertifikate daher durch neue, bereits 2023 erstellte Nachfolger. Für Privatnutzer mit Windows 10 oder 11 läuft die Aktualisierung automatisch über Windows Update. Ein manuelles Eingreifen ist in der Regel nicht nötig - lediglich ein Neustart wird nach der Installation benötigt.
Muss ich selbst etwas tun?
Wer Windows 10 oder Windows 11 in einer Consumer-Version (Home, Pro, Education) nutzt und regelmäßig Windows Updates installiert, muss nichts weiter unternehmen. Die neuen Zertifikate werden automatisch über Windows Update verteilt. Nach der Installation wird lediglich ein Neustart fällig, damit die Schlüssel in die UEFI-Firmware geschrieben werden.
Anders sieht es in Unternehmen aus: Werden PCs über eine IT-Abteilung verwaltet, muss sich diese selbst um die Zertifikatsaktualisierung kümmern. Microsoft stellt hierfür eigene Anleitungen und Richtlinien bereit. Am 9. März 2026 hat Microsoft zudem ein Live-Video veröffentlicht, das sich speziell an Administratoren richtet.
Anders sieht es in Unternehmen aus: Werden PCs über eine IT-Abteilung verwaltet, muss sich diese selbst um die Zertifikatsaktualisierung kümmern. Microsoft stellt hierfür eigene Anleitungen und Richtlinien bereit. Am 9. März 2026 hat Microsoft zudem ein Live-Video veröffentlicht, das sich speziell an Administratoren richtet.
Ist Secure Boot bei mir aktiviert?
Das lässt sich in wenigen Sekunden prüfen: Drücken Sie Win+R, geben Sie msinfo32 ein und bestätigen Sie mit Enter. In der Systeminformation finden Sie den Eintrag "Sicherer Startzustand". Steht dort "Ein", ist Secure Boot aktiv.
Falls Secure Boot deaktiviert ist, können Sie es im UEFI/BIOS Ihres Rechners einschalten. Beachten Sie, dass Windows 11 Secure Boot als Systemvoraussetzung verlangt. Ohne aktiviertes Secure Boot erhalten Sie die neuen Zertifikate nicht automatisch über Windows Update.
Falls Secure Boot deaktiviert ist, können Sie es im UEFI/BIOS Ihres Rechners einschalten. Beachten Sie, dass Windows 11 Secure Boot als Systemvoraussetzung verlangt. Ohne aktiviertes Secure Boot erhalten Sie die neuen Zertifikate nicht automatisch über Windows Update.
Habe ich das neue Zertifikat schon?
Das können Sie per PowerShell überprüfen. Öffnen Sie PowerShell als Administrator und führen Sie folgenden Befehl aus:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
Gibt PowerShell "True" zurück, ist das neue Zertifikat bereits auf Ihrem System vorhanden. Bei "False" wurde es noch nicht installiert - das ist aber kein Grund zur Sorge. Microsoft rollt die Aktualisierung schrittweise aus, und Ihr Gerät wird das Update in den kommenden Wochen automatisch erhalten.
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
Gibt PowerShell "True" zurück, ist das neue Zertifikat bereits auf Ihrem System vorhanden. Bei "False" wurde es noch nicht installiert - das ist aber kein Grund zur Sorge. Microsoft rollt die Aktualisierung schrittweise aus, und Ihr Gerät wird das Update in den kommenden Wochen automatisch erhalten.
Welche Zertifikate werden ersetzt?
Insgesamt werden vier Zertifikate aus dem Jahr 2011 durch neue Versionen von 2023 ersetzt: Der "Microsoft Corporation KEK CA 2011" (Ablauf Juni 2026) wird durch den "Microsoft Corporation KEK 2K CA 2023" ersetzt. Die "Microsoft Windows Production PCA 2011" (Ablauf Oktober 2026) weicht der "Windows UEFI CA 2023".
Zusätzlich wird die "Microsoft UEFI CA 2011" (Ablauf Juni 2026) gleich durch zwei neue Zertifikate abgelöst: die "Microsoft UEFI CA 2023" und die "Microsoft Option ROM UEFI CA 2023". Der KEK-Schlüssel ist dabei besonders wichtig, da er Updates an den Signaturdatenbanken autorisiert.
Zusätzlich wird die "Microsoft UEFI CA 2011" (Ablauf Juni 2026) gleich durch zwei neue Zertifikate abgelöst: die "Microsoft UEFI CA 2023" und die "Microsoft Option ROM UEFI CA 2023". Der KEK-Schlüssel ist dabei besonders wichtig, da er Updates an den Signaturdatenbanken autorisiert.
Was passiert ohne das Update?
Ohne die neuen Zertifikate wird Windows auch nach Juni 2026 weiterhin ganz normal starten - es droht also kein plötzlicher Ausfall. Allerdings kann das System dann keine neuen Secure-Boot-Updates mehr verifizieren. Das bedeutet: Aktualisierte Boot-Dateien, widerrufene Signaturen und Schutzmaßnahmen gegen Boot-Level-Bedrohungen werden nicht mehr angewendet.
Konkret heißt das, dass Sicherheitsupdates für den Boot-Manager oder andere Startkomponenten ausbleiben könnten. Ihr PC wäre damit langfristig anfälliger für sogenannte Bootkits und andere Schadsoftware, die sich noch vor dem Betriebssystemstart einnistet.
Konkret heißt das, dass Sicherheitsupdates für den Boot-Manager oder andere Startkomponenten ausbleiben könnten. Ihr PC wäre damit langfristig anfälliger für sogenannte Bootkits und andere Schadsoftware, die sich noch vor dem Betriebssystemstart einnistet.
Zusammenfassung
- Secure-Boot-Zertifikate vieler PCs laufen im Juni 2026 aus
- Neue Zertifikate wurden im Februar 2026 per Windows-Update verteilt
- Microsofts Sicherheits-App zeigt künftig den Zertifikatsstatus an
- Ein grüner Haken signalisiert, dass alle nötigen Updates installiert sind
- Gelbes Warnsymbol fordert zur Installation ausstehender Updates auf
- Rotes Stopp-Symbol weist auf abgelaufene Zertifikate und Firmwarebedarf hin
- Neue Statusanzeigen werden ab April 2026 schrittweise ausgerollt
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
Beliebte Nachrichten
Videos
Meist kommentierte Nachrichten
Forum
-
Wie kann ich die Untertitel einem Video hinzufügen?
Rizo - Heute 11:49 Uhr -
Armbian Release 26.5.1 :: Unterstützung auf 338 Board
d-hubs - Gestern 19:38 Uhr -
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs - Gestern 17:46 Uhr -
RapidRAW v1.5.6 wurde vor ein paar Stunden veröffentlicht
d-hubs - Gestern 11:59 Uhr -
Älteres Notebook, Upgrade auf Win 11 nicht möglich?
Airboss - 31.05. 13:44 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen