
Sie wissen es vielleicht nicht, aber es gibt eine bevorstehende Frist für Windows Secure Boot. Ab Juni 2026 könnten Sie und Ihre Windows-PCs von diesem potenziellen Problem betroffen sein. Wenn Secure Boot konfiguriert ist, überprüft es das System, bevor Windows überhaupt startet, und nutzt dabei kryptografische Zertifikate vollständig aus. Diese Zertifikate sollen später in diesem Jahr auslaufen. Geräte ohne aktualisierte Zertifikate verlieren den Zugriff auf neue Secure Boot-Schutzmaßnahmen und -Updates, booten Windows jedoch normal weiter.
Aber keine Angst, wir sind hier, um Ihnen schnell zu erklären, was vor sich geht (und warum) und wie Sie Ihren Windows-PC auf die bevorstehende Umstellung vorbereiten.
Was ist Secure Boot überhaupt?
Und warum ist das alles wichtig?

Das sind zwei sehr gute Fragen. Wenn Sie noch nie Windows neu installieren oder auch nur ein UEFI-BIOS starten mussten, besteht die Möglichkeit, dass Sie nicht einmal wussten, dass Secure Boot auf Ihrem PC ausgeführt wird. Secure Boot ist als Schutzform konzipiert, die in die moderne UEFI-Firmware integriert ist, bevor Windows überhaupt geladen wird. Dadurch wird sichergestellt, dass kritische Komponenten nicht manipuliert wurden, um unerwünschte Folgen zu vermeiden.
Kryptografische Signaturen werden zur Überprüfung wichtiger Startdateien verwendet. Diese müssen mit den in der Firmware gespeicherten vertrauenswürdigen Zertifikaten übereinstimmen. Stimmen diese aus irgendeinem Grund nicht überein, bricht das System den Bootvorgang sofort ab, bevor Windows überhaupt die Möglichkeit hatte, eine einzelne Datei zu laden. Diese Komponenten werden mit den privaten Schlüsseln von Microsoft signiert und Zertifikate werden in der Firmware gespeichert, um zu bestimmen, was ausgeführt werden darf.
Für diesen Prozess werden zwei Schlüsseldatenbanken verwendet. Erstens haben wir die Datenbank „Authorized Signatures“ (DB), die Zertifikate enthält, die definieren, welche Bootloader und Treiber vertrauenswürdig sind. Dann haben wir die Key Exchange Key (KEK)-Datenbank, um zu steuern, wer die Secure Boot-Vertrauensdatenbanken aktualisieren darf. Genau wie SSL-Zertifikate, die zum Sichern von Verbindungen mit Websites und Ihrem Browser verwendet werden, haben auch diese ein Ablaufdatum. Dies ist beabsichtigt, bedeutet aber auch, dass Sie sie vorzeitig erneuern müssen.
Wenn Sie nicht über die richtigen Zertifikate verfügen, wechseln Systeme in den reduzierten Schutzmodus, was zu einem Startfehler führen kann. Sie werden wahrscheinlich auch keinen Zugriff auf zukünftige Verbesserungen haben, die an Secure Boot vorgenommen werden. Es könnte also eine große Sache sein.

Verwandte
Was ist Secure Boot und sollte es eingeschaltet bleiben?
Ja, das solltest du
Welche Zertifikate werden auslaufen?

Einige Microsoft-Zertifikate sind bald ausverkauft, zwei davon schließen im Juni und ein drittes im Oktober. Machen Sie sich keine Sorgen, Microsoft verfügt bereits über einige neue Zertifikate, die diese ersetzen.
Ablauf
|
Altes Zertifikat
|
Neue(s) Zertifikat(e)—|—|—Juni 2026
|
Microsoft Corporation KEK CA 2011
|
Microsoft Corporation KEK CA 2023
Microsoft UEFI CA 2011
|
Microsoft UEFI CA 2023
Microsoft Option ROM UEFI CA 2023
Oktober 2026
|
Microsoft Windows Production PCA 2011
|
Microsoft Corporation KEK CA 2023
Möglicherweise ist Ihnen aufgefallen, dass das Microsoft UEFI CA 2011-Zertifikat aufgeteilt wurde. Dies wurde durchgeführt, um die Sicherheitsgranularität weiter zu verbessern und die Vertrauenskontrollen zu verschärfen. Es ist nicht so, dass Windows den Start verweigert, sobald die Zertifikate Ihres PCs abgelaufen sind, aber Ihr PC verliert möglicherweise den Zugriff auf zukünftige Secure Boot-Schutzmaßnahmen und -Updates.
So überprüfen Sie Ihre Zertifikate
Mithilfe von PowerShell lässt sich leicht erkennen, welche Zertifikate derzeit vom Windows-Bootmanager verwendet werden.
(Get-AuthenticodeSignature "C:\Windows\Boot\EFI\bootmgfw.efi").SignerCertificate |
Format-List Subject,Issuer,NotAfter,Thumbprint
So überprüfen Sie die Berechtigung für Secure Boot-Updates:
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" |
Format-List
Wenn AvailableUpdates einen anderen Wert als Null anzeigt, ist Ihr System berechtigt, aktualisierte Zertifikate zu empfangen, und Sie müssen sich keine Sorgen machen. Wenn Sie eine Null sehen, empfehle ich, sofort Firmware- und Windows-Updates durchzuführen.

Verwandte
Wie (und warum) Secure Boot für Windows 11 aktiviert wird
In Windows 11 ist Secure Boot standardmäßig aktiviert. Wenn es auf Ihrem PC jedoch aus irgendeinem Grund deaktiviert ist, erfahren Sie hier, wie Sie es aktivieren.
Ihr PC wird angreifbar
Es ist einfach eine Frage des Zeitpunkts

Wie bereits erwähnt, werden Sie beim Hochfahren Ihres PCs im Juli nicht sofort an die Wand stoßen und feststellen, dass er sich weigert, Windows 11 zu laden. Das Problem ist die Unsicherheit. Ihr PC könnte irgendwann nicht mehr funktionieren. Wir wissen nur nicht wann. Dieses Problem tritt auf, wenn ein Update ändert, was das System vertrauenswürdig ist. Wenn Secure Boot den Startvorgang blockiert, bleiben Ihnen die verfügbaren Wiederherstellungsoptionen überlassen.
Man muss sagen, dass Microsoft gute Gründe für diese Änderung hat, da diese älteren Zertifikate bereits seit 2011 im Umlauf sind, also damals, als es Windows 8 gab. Seitdem sind uns einige schwerwiegende Sicherheitslücken aufgefallen. Eine davon zwang Redmond sogar dazu, einige wesentliche Änderungen an der Handhabung von Zertifikaten und Secure Boot vorzunehmen, um zu verhindern, dass Sicherheitslücken erneut ausgenutzt werden. Das Unternehmen hat bereits aktualisierte Zertifikate eingeführt.
Es besteht eine gute Chance, dass Ihr PC bereits über die neuen Zertifikate verfügt, die automatisch über moderne Firmware heruntergeladen werden können, wenn Secure Boot bereits aktiviert ist und der PC über einen soliden Update-Verlauf mit Windows und Firmware verfügt. Windows Update (KB5074109 und KB5073455) wäre der Kanal für die Ankunft dieser neuen Zertifikate, aber es liegt am System, ob sie korrekt angewendet werden. Ältere Firmware oder eine ungewöhnliche Konfiguration erfordern möglicherweise zusätzliche Schritte, die nicht jeder durchführt.
Vielleicht ist es an der Zeit, Linux auszuprobieren
Windows ist nicht ohne Fehler, und dies ist ein weiterer Sargnagel für Windows 11. Wenn Sie also genug von Microsofts Betriebssystem haben, warum probieren Sie es dann nicht mit Linux aus? Das kostenlose und offene Betriebssystem ist zugänglicher denn je und es stehen einige hervorragende Distributionen zur Verfügung. Wenn Sie heute eines ausprobieren würden, würde ich Ubuntu, Linux Mint oder Pop!_OS wärmstens empfehlen.
*️⃣ Quelllink:
bevorstehende Frist für Windows Secure Boot, Was ist Secure Boot und sollten Sie es eingeschaltet lassen? , Zertifikate sind auf dem Weg nach draußen , geben an, welche Zertifikate derzeit verwendet werden , Wie (und warum) man Secure Boot für Windows 11 aktiviert , einige schwerwiegende Schwachstellen seitdem durch moderne Firmware, KB5074109, KB5073455 ,