Secure-Boot: Microsoft erklärt multiple Windows-Neustarts nach Update
Habt ihr auch mehrfache Neustarts nach den Windows-11-Updates KB5083631 und KB5083769 bemerkt? Microsoft erklärt: Die neuen Secure-Boot-Zertifikate sorgen für einen extra Reboot - zum Schutz vor Bootkits!
Der Hintergrund ist technisch wichtig, denn Secure Boot schützt den Startvorgang vor Manipulationen durch Schadsoftware wie Bootkits. Microsoft verteilt dafür seit den Windows-11-Updates neue Zertifikate aus dem Jahr 2023, weil die älteren, ursprünglich 2011 ausgestellten Zertifikate 2026 auslaufen.
Auch das April-Update KB5083769 war bereits mit diesem Verhalten aufgefallen. Die jetzt beobachteten Neustarts sind kein Einzelfall, sondern begleiten die laufende Einführung der neuen Sicherheitszertifikate.
Microsoft hat zugleich eine neue Anzeige in der Windows-Sicherheits-App eingebaut, damit Nutzer den Status der Secure-Boot-Zertifikate besser erkennen können. Unter "Gerätesicherheit" und "Secure Boot" erscheinen nun grüne, gelbe oder rote Hinweise, je nachdem, ob Handlungsbedarf besteht.
Damit soll sich leichter prüfen lassen, ob ein Gerät bereits auf dem aktuellen Stand ist oder noch ein Zertifikats-Update benötigt. Die Hinweise werden laut Microsoft schrittweise über Windows-Updates und Service-Updates ausgerollt.
Mehr als ein Neustart nach dem Update ist also zumindest in diesem Fall nicht automatisch ein Problem. Wer einen Windows-11-PC mit den betroffenen Updates installiert, sollte den Vorgang einfach vollständig durchlaufen lassen.
Habt ihr bei den neuen Updates mehrmals neu gestartet? Teilt eure Erfahrungen in den Kommentaren!
Siehe auch:
Warum der Rechner öfter neu startet
Die mehrfachen Reboots sind laut Microsoft kein Fehler im engeren Sinn, sondern Teil des Update-Prozesses. Betroffen sind nur Systeme, auf denen die neuen Zertifikate tatsächlich eingespielt werden müssen. Das Verhalten hat jedoch bei einigen Nutzern zu Irritation geführt, viele glaubten an einen Bug.Der Hintergrund ist technisch wichtig, denn Secure Boot schützt den Startvorgang vor Manipulationen durch Schadsoftware wie Bootkits. Microsoft verteilt dafür seit den Windows-11-Updates neue Zertifikate aus dem Jahr 2023, weil die älteren, ursprünglich 2011 ausgestellten Zertifikate 2026 auslaufen.
Was Microsoft dazu sagt
In seiner Mitteilung weist Microsoft darauf hin, dass bei einer begrenzten Zahl von Consumer- und Business-Geräten während der Installation ein zusätzlicher Neustart auftreten kann. Dieser Neustart erfolgt nach der Secure-Boot-Zertifikatsaktualisierung und wird als Teil des normalen Ablaufs beschrieben.Auch das April-Update KB5083769 war bereits mit diesem Verhalten aufgefallen. Die jetzt beobachteten Neustarts sind kein Einzelfall, sondern begleiten die laufende Einführung der neuen Sicherheitszertifikate.
Microsoft hat zugleich eine neue Anzeige in der Windows-Sicherheits-App eingebaut, damit Nutzer den Status der Secure-Boot-Zertifikate besser erkennen können. Unter "Gerätesicherheit" und "Secure Boot" erscheinen nun grüne, gelbe oder rote Hinweise, je nachdem, ob Handlungsbedarf besteht.
Relevante Zertifikatsänderungen
Folgende Änderungen an der Zertifikatsstruktur finden im Hintergrund statt:- Microsoft Corporation KEK CA 2011 wird zu Microsoft Corporation KEK 2K CA 2023
- Microsoft Windows Production PCA 2011 wird zu Windows UEFI CA 2023
- Microsoft UEFI CA 2011 wird zu Microsoft UEFI CA 2023
Damit soll sich leichter prüfen lassen, ob ein Gerät bereits auf dem aktuellen Stand ist oder noch ein Zertifikats-Update benötigt. Die Hinweise werden laut Microsoft schrittweise über Windows-Updates und Service-Updates ausgerollt.
Mehr als ein Neustart nach dem Update ist also zumindest in diesem Fall nicht automatisch ein Problem. Wer einen Windows-11-PC mit den betroffenen Updates installiert, sollte den Vorgang einfach vollständig durchlaufen lassen.
Habt ihr bei den neuen Updates mehrmals neu gestartet? Teilt eure Erfahrungen in den Kommentaren!
Was passiert mit den Secure Boot-Zertifikaten?
Mehrere zentrale Secure-Boot-Zertifikate von Microsoft stammen noch aus dem Jahr 2011 und laufen ab Mitte 2026 aus - konkret im Juni und Oktober 2026. Secure Boot prüft beim PC-Start, ob nur vertrauenswürdige Software geladen wird. Ohne gültige Zertifikate kann diese Prüfung künftig keine neuen Schutzmechanismen mehr verifizieren.
Microsoft ersetzt die alten Zertifikate daher durch neue, bereits 2023 erstellte Nachfolger. Für Privatnutzer mit Windows 10 oder 11 läuft die Aktualisierung automatisch über Windows Update. Ein manuelles Eingreifen ist in der Regel nicht nötig - lediglich ein Neustart wird nach der Installation benötigt.
Microsoft ersetzt die alten Zertifikate daher durch neue, bereits 2023 erstellte Nachfolger. Für Privatnutzer mit Windows 10 oder 11 läuft die Aktualisierung automatisch über Windows Update. Ein manuelles Eingreifen ist in der Regel nicht nötig - lediglich ein Neustart wird nach der Installation benötigt.
Muss ich selbst etwas tun?
Wer Windows 10 oder Windows 11 in einer Consumer-Version (Home, Pro, Education) nutzt und regelmäßig Windows Updates installiert, muss nichts weiter unternehmen. Die neuen Zertifikate werden automatisch über Windows Update verteilt. Nach der Installation wird lediglich ein Neustart fällig, damit die Schlüssel in die UEFI-Firmware geschrieben werden.
Anders sieht es in Unternehmen aus: Werden PCs über eine IT-Abteilung verwaltet, muss sich diese selbst um die Zertifikatsaktualisierung kümmern. Microsoft stellt hierfür eigene Anleitungen und Richtlinien bereit. Am 9. März 2026 hat Microsoft zudem ein Live-Video veröffentlicht, das sich speziell an Administratoren richtet.
Anders sieht es in Unternehmen aus: Werden PCs über eine IT-Abteilung verwaltet, muss sich diese selbst um die Zertifikatsaktualisierung kümmern. Microsoft stellt hierfür eigene Anleitungen und Richtlinien bereit. Am 9. März 2026 hat Microsoft zudem ein Live-Video veröffentlicht, das sich speziell an Administratoren richtet.
Ist Secure Boot bei mir aktiviert?
Das lässt sich in wenigen Sekunden prüfen: Drücken Sie Win+R, geben Sie msinfo32 ein und bestätigen Sie mit Enter. In der Systeminformation finden Sie den Eintrag "Sicherer Startzustand". Steht dort "Ein", ist Secure Boot aktiv.
Falls Secure Boot deaktiviert ist, können Sie es im UEFI/BIOS Ihres Rechners einschalten. Beachten Sie, dass Windows 11 Secure Boot als Systemvoraussetzung verlangt. Ohne aktiviertes Secure Boot erhalten Sie die neuen Zertifikate nicht automatisch über Windows Update.
Falls Secure Boot deaktiviert ist, können Sie es im UEFI/BIOS Ihres Rechners einschalten. Beachten Sie, dass Windows 11 Secure Boot als Systemvoraussetzung verlangt. Ohne aktiviertes Secure Boot erhalten Sie die neuen Zertifikate nicht automatisch über Windows Update.
Habe ich das neue Zertifikat schon?
Das können Sie per PowerShell überprüfen. Öffnen Sie PowerShell als Administrator und führen Sie folgenden Befehl aus:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
Gibt PowerShell "True" zurück, ist das neue Zertifikat bereits auf Ihrem System vorhanden. Bei "False" wurde es noch nicht installiert - das ist aber kein Grund zur Sorge. Microsoft rollt die Aktualisierung schrittweise aus, und Ihr Gerät wird das Update in den kommenden Wochen automatisch erhalten.
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
Gibt PowerShell "True" zurück, ist das neue Zertifikat bereits auf Ihrem System vorhanden. Bei "False" wurde es noch nicht installiert - das ist aber kein Grund zur Sorge. Microsoft rollt die Aktualisierung schrittweise aus, und Ihr Gerät wird das Update in den kommenden Wochen automatisch erhalten.
Welche Zertifikate werden ersetzt?
Insgesamt werden vier Zertifikate aus dem Jahr 2011 durch neue Versionen von 2023 ersetzt: Der "Microsoft Corporation KEK CA 2011" (Ablauf Juni 2026) wird durch den "Microsoft Corporation KEK 2K CA 2023" ersetzt. Die "Microsoft Windows Production PCA 2011" (Ablauf Oktober 2026) weicht der "Windows UEFI CA 2023".
Zusätzlich wird die "Microsoft UEFI CA 2011" (Ablauf Juni 2026) gleich durch zwei neue Zertifikate abgelöst: die "Microsoft UEFI CA 2023" und die "Microsoft Option ROM UEFI CA 2023". Der KEK-Schlüssel ist dabei besonders wichtig, da er Updates an den Signaturdatenbanken autorisiert.
Zusätzlich wird die "Microsoft UEFI CA 2011" (Ablauf Juni 2026) gleich durch zwei neue Zertifikate abgelöst: die "Microsoft UEFI CA 2023" und die "Microsoft Option ROM UEFI CA 2023". Der KEK-Schlüssel ist dabei besonders wichtig, da er Updates an den Signaturdatenbanken autorisiert.
Was passiert ohne das Update?
Ohne die neuen Zertifikate wird Windows auch nach Juni 2026 weiterhin ganz normal starten - es droht also kein plötzlicher Ausfall. Allerdings kann das System dann keine neuen Secure-Boot-Updates mehr verifizieren. Das bedeutet: Aktualisierte Boot-Dateien, widerrufene Signaturen und Schutzmaßnahmen gegen Boot-Level-Bedrohungen werden nicht mehr angewendet.
Konkret heißt das, dass Sicherheitsupdates für den Boot-Manager oder andere Startkomponenten ausbleiben könnten. Ihr PC wäre damit langfristig anfälliger für sogenannte Bootkits und andere Schadsoftware, die sich noch vor dem Betriebssystemstart einnistet.
Konkret heißt das, dass Sicherheitsupdates für den Boot-Manager oder andere Startkomponenten ausbleiben könnten. Ihr PC wäre damit langfristig anfälliger für sogenannte Bootkits und andere Schadsoftware, die sich noch vor dem Betriebssystemstart einnistet.
Zusammenfassung
- Windows-Updates KB5083631 und KB5083769 verursachen mehrfache Neustarts
- Microsoft erklärt: Mehrfache Neustarts sind Teil des normalen Update-Prozesses
- Neue Secure-Boot-Zertifikate aus 2023 ersetzen alte Zertifikate von 2011
- Secure Boot schützt den Startvorgang vor Manipulationen durch Bootkits
- Windows-Sicherheits-App zeigt nun Zertifikatsstatus mit Farbcodes an
- Grüne, gelbe oder rote Hinweise informieren über nötige Aktionen
Siehe auch:
Thema:
Windows 11 Pro im Preisvergleich
IT-Hardpulse 
Mysoftware 
Systeme Software24 
Myoem 
Klp-soft Neue Windows 11-Downloads
Beliebte Windows 11-Downloads
Windows 11-Videos
-
So wird Windows 11 24H2 auf nicht unterstützter Hardware installiert
-
Windows 11 vom USB-Stick installieren: Schnell und einfach erledigt
-
Windows 11: So geht das Backup vorinstallierter Treiber beim Neu-PC
-
Windows 11: Installationsmedium mit eigenen Treibern - so geht's
-
Ayaneo Kun: Vielseitiger Gaming-Handheld mit Windows 11 im Test
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 11 FAQ Einträge
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
- Google Earth: Flugsimulator jetzt kostenlos im Browser nutzbar
- iPhone Fold Ultra im Hands-on-Video: Alle Details im Überblick
- Tesla-Autopilot: Fahrer hebeln Sicherheitssystem mit 8-€-Gadget aus
- Spiele bis zu 95 % schneller laden: Riesiger Boost für AMD-GPUs ist da
- Nur heute: Media Markt und Saturn mit genialen Wochenendknallern
- Windows Recovery: Microsoft startet neue Updates für Windows 11 & 10
- Windows 11: Juni-Patchday sorgt für BSODs und Datei-Explorer-Bug
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen