
Jeder Secure Boot-fähige Windows-PC, den Sie im letzten Jahrzehnt verwendet haben, war auf denselben Satz kryptografischer Zertifikate angewiesen, um den Startvorgang sicher zu halten. Diese Zertifikate wurden bereits 2011 von Microsoft ausgestellt und sind der Grund dafür, dass Ihr Computer überprüfen kann, ob die Software, die vor dem Start von Windows geladen wird, legitim ist und nicht manipuliert wurde. Sie sind in die Firmware Ihres Motherboards integriert und die meisten Menschen hatten noch nie einen Grund, darüber nachzudenken. Das wird sich bald ändern.
Am 24. Juni 2026 läuft das erste dieser Zertifikate ab, und wenn Ihr PC nicht rechtzeitig aktualisiert wird, wird er nicht plötzlich aufhören zu booten und erhält sogar weiterhin regelmäßige Updates, aber er verliert die Fähigkeit, zukünftige Sicherheitsupdates für einige der sensibelsten Teile des Windows-Startvorgangs zu erhalten. Microsoft hat mit der Bereitstellung von Ersatzversionen über Windows Update begonnen, es handelt sich jedoch nicht um einen einfachen Patch. Es erfordert eine Koordination zwischen Microsoft, dem Hersteller Ihres PCs und in einigen Fällen Ihnen. Microsoft selbst hat dies als eine der größten koordinierten Sicherheitswartungsmaßnahmen im gesamten Windows-Ökosystem bezeichnet, und nachdem ich mich in der Vergangenheit mit Secure Boot-Problemen befasst habe, kann ich Ihnen sagen, dass das keine Übertreibung ist.
Die Vertrauenskette von Secure Boot basiert auf Zertifikaten, die nie für die Ewigkeit gedacht waren
Zertifikate tun das nie

Um zu verstehen, warum dies wichtig ist, müssen Sie verstehen, wie Secure Boot tatsächlich unter der Haube funktioniert. Es handelt sich dabei nicht um einen Wechsel in Ihren BIOS-Einstellungen, auch wenn die meisten Leute dort zum ersten Mal darauf stoßen. Secure Boot ist eine Vertrauenskette, eine Hierarchie kryptografischer Zertifikate, die in der UEFI-Firmware Ihres Motherboards gespeichert sind und jede ausgeführte Software validiert, bevor Ihr Betriebssystem geladen wird. Wenn ein Glied in dieser Kette unterbrochen oder abgelaufen ist, lässt die Fähigkeit des gesamten Systems, sich selbst zu schützen, nach.
An der Spitze dieser Kette befindet sich der Plattformschlüssel (PK). Dieses gehört dem Hersteller Ihres PCs, sei es Dell, Lenovo, HP, ASUS oder wer auch immer das Board gebaut hat. Der PK ist die Wurzel des Vertrauens und autorisiert Änderungen an allem, was sich darunter befindet. Unterhalb des PK befindet sich der Key Exchange Key (KEK). Das KEK-Zertifikat von Microsoft gibt Windows die Berechtigung, die nächsttiefere Ebene zu aktualisieren: die Signaturdatenbank, bekannt als DB, und die Verbotene Signaturdatenbank, DBX.
Die Datenbank enthält die Zertifikate, denen Ihr PC zum Signieren von Bootloadern, Treibern und Firmware-Komponenten vertraut. Betrachten Sie es als die Gästeliste für Ihren Startvorgang. Der DBX ist die Blockliste, die Signaturen bekanntermaßen fehlerhafter Software enthält, deren Ausführung während des Startvorgangs niemals zugelassen werden sollte. Wenn Ihr PC startet, vergleicht Secure Boot alles mit diesen Datenbanken. Wenn ein Bootloader durch ein Zertifikat in der Datenbank signiert ist, wird er ausgeführt. Wenn etwas im DBX übereinstimmt, wird es blockiert. Dies geschieht, bevor Windows überhaupt geladen wird, was ihn als Sicherheitsmechanismus so effektiv und im Fehlerfall so gefährlich macht.
Hier liegt das Problem: Drei der Zertifikate in dieser Kette laufen ab. Die Microsoft Corporation KEK CA 2011 und die Microsoft UEFI CA 2011 laufen beide im Juni 2026 ab. Die Microsoft Windows Production PCA 2011, die den Windows-Bootloader selbst signiert, läuft im Oktober 2026 ab. Sobald sie ablaufen, kann Ihr PC sie nicht mehr zur Validierung neuer Updates verwenden und keine neuen Sicherheitsmaßnahmen auf den Startvorgang anwenden. Sie sind praktisch in der Zeit eingefroren und nutzen alle Schutzmaßnahmen, die Sie zum Ablaufdatum hatten, ohne die Möglichkeit, neue hinzuzufügen.
Die Ersatzzertifikate haben die Sache nicht ohne Grund gespalten
So ist es sicherer

Bei den Ersatzzertifikaten 2023 handelt es sich nicht um einen Eins-zu-Eins-Tausch. Microsoft hat die Funktionsweise der Zertifikate tatsächlich umstrukturiert, und es lohnt sich zu verstehen, warum. Die ursprüngliche Microsoft Corporation UEFI CA 2011 signierte alles, einschließlich Bootloader von Drittanbietern, Options-ROMs für Zusatzkarten wie Grafikkarten und Netzwerkadapter sowie verschiedene Firmware-Komponenten. Dabei handelte es sich um eine weitreichende Vertrauensbewilligung, die dazu führte, dass sich die Kompromittierung eines Teils des Ökosystems auf schwer vorhersehbare Weise nach außen auswirken konnte.
Die neue Struktur trennt diese Verantwortlichkeiten. Es gibt die Microsoft Corporation KEK 2K CA 2023, die die KEK ersetzt und DB- und DBX-Updates autorisiert, die Windows UEFI CA 2023 zum Signieren von Windows-Bootloader-Komponenten und dann gibt es eine separate Microsoft Option ROM UEFI CA 2023 speziell für Options-ROMs und Add-in-Karten-Firmware von Drittanbietern. Diese Trennung bedeutet, dass Systeme, die Options-ROMs nicht vertrauen müssen, dies auch nicht tun müssen, was eine echte Verbesserung der Granularität des Vertrauensmodells von Secure Boot darstellt. Es ist die Art von Änderung, die schon vor Jahren hätte stattfinden sollen, aber die ursprünglichen Zertifikate mussten zuerst ablaufen, um den Übergang zu erzwingen.
Wenn das alles nach Panikmache klingt, sollten Sie BlackLotus in Betracht ziehen. BlackLotus wurde 2023 entdeckt und war das erste UEFI-Bootkit, das Secure Boot auf vollständig aktualisierten Windows 11-Systemen umgeht. Es nutzte CVE-2022-21894, bekannt als Baton Drop, und CVE-2023-24932 aus, die als Schutzversuch gegen BlackLotus entstanden waren. Hierbei handelte es sich um Schwachstellen, die es Angreifern ermöglichten, einen modernen, sicheren Bootloader gegen einen älteren, anfälligen Bootloader auszutauschen, dem die Systemzertifikate noch vertrauenswürdig waren. Der Angriff machte sich die Tatsache zunutze, dass der DBX von Secure Boot nicht aktualisiert wurde, um diese älteren Boot-Manager zu widerrufen, ein Fehler, der direkt auf die Komplexität der Verwaltung des zertifikatbasierten Vertrauens auf Firmware-Ebene zurückzuführen ist.
Nach dem Laden konnte BlackLotus BitLocker, Hypervisor-Protected Code Integrity und Windows Defender deaktivieren, und zwar noch bevor das Betriebssystem überhaupt startete. Es lief auf Firmware-Ebene und war für Antivirensoftware unsichtbar. Wenn Sie sich jemals gefragt haben, warum Sicherheit auf Boot-Ebene wichtig ist, dann ist dies genau der Grund. Ein Angreifer mit Zugriff auf Ihre Boot-Kette kann effektiv Ihr gesamtes System übernehmen, und kein Endpunktschutz in Windows kann dagegen etwas unternehmen.
Seitdem arbeitet Microsoft daran, die anfälligen Boot-Manager zu deaktivieren, aber die Aktualisierung des DBX von Secure Boot, um diese alten Bootloader zu blockieren, war quälend langsam, gerade weil ein Fehler dazu führen kann, dass ein System nicht mehr gestartet werden kann, und Microsoft hat dies sogar direkt bestätigt. HP hatte beispielsweise einen Firmware-Fehler, der verhindern konnte, dass Systeme nach der Anwendung bestimmter Secure-Boot-Sperren vollständig starteten, was bedeutete, dass Microsoft vor der Einführung der Abhilfemaßnahmen gerätespezifische Prüfungen hinzufügen musste.
Die auslaufenden Zertifikate verschlimmern die Situation noch. Ohne aktualisierte Zertifikate kann Ihr PC nicht die Sperrungen erhalten, die zum Blockieren von Exploits wie BlackLotus erforderlich sind. Sie stecken in einem Boot-Prozess fest, der Software vertraut, die er nicht sollte, und es gibt keinen Mechanismus, um das Problem nachträglich zu beheben. Microsoft hat ausdrücklich darauf hingewiesen, dass die aktualisierten 2023-Zertifikate die neueste Sicherheitsmaßnahme zur Behebung der BlackLotus-Schwachstelle sind, sodass es sich um einen Sicherheitsupdate handelt, an dem seit drei Jahren gearbeitet wird.
Nicht jeder PC sitzt im selben Boot
Copilot+ PCs sind sicher
Copilot+-PCs und die meisten seit 2024 hergestellten Geräte werden bereits mit den neuen 2023-Zertifikaten ausgeliefert, und fast alle im Jahr 2025 ausgelieferten Geräte enthalten diese auch. Wenn Sie in den letzten ein oder zwei Jahren einen neuen PC gekauft haben, sind Sie wahrscheinlich bereit. Für alle anderen, also die meisten Windows-PCs, die heute aktiv genutzt werden, muss das Update durchgeführt werden.
Microsoft hat damit begonnen, die neuen Zertifikate über regelmäßige Windows-Updates auf unterstützten Systemen bereitzustellen. Für Heimanwender unter Windows 11 mit von Microsoft verwalteten Updates sollte dies automatisch durch den monatlichen Update-Zyklus geschehen. Microsoft führt dies schrittweise ein und erweitert es auf der Grundlage von Diagnosedaten von Geräten, um sicherzustellen, dass Updates sicher sind, bevor es breiter verbreitet wird. In den kommenden Monaten wird der Zertifikatsaktualisierungsstatus auch in der Windows-Sicherheits-App angezeigt, was den Verbrauchern die Nachverfolgung erleichtern soll.
Aber für Unternehmensumgebungen ist es komplizierter. IT-Administratoren müssen mindestens die „erforderliche“ Stufe der Windows-Diagnosedaten aktivieren, damit Microsoft prüfen kann, ob ein Gerät für das Update bereit ist. Es gibt auch einen Registrierungsschlüssel, den Sie aktivieren können: Der Pfad lautet HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot, wobei ein DWORD-Wert namens „MicrosoftUpdateManagedOptIn“ auf einen beliebigen Wert ungleich Null gesetzt ist. Darüber hinaus bietet Microsoft vier verschiedene Bereitstellungsmethoden an: Intune, Gruppenrichtlinien, Registrierungsschlüssel und die Windows-Konfigurationssystem-API, was Aufschluss darüber gibt, wie vielfältig die Umgebungen sind, die sie unterstützen möchten. Dies ist keine Ein-Klick-Lösung für jemanden, der eine Geräteflotte verwaltet.
Hier ist jedoch der Haken: Das Update von Microsoft allein reicht nicht aus. Der OEM Ihres PCs muss zunächst ein Firmware-Update bereitstellen. Dieses Firmware-Update aktualisiert den Plattformschlüssel und bereitet die UEFI-Umgebung auf die Annahme der neuen Zertifikate vor. Ohne sie könnte die Anwendung des Zertifikatsupdates über Windows fehlschlagen oder im schlimmsten Fall zu Startproblemen führen. Microsoft hat diesbezüglich eng mit OEMs zusammengearbeitet und viele haben ihre eigenen Anleitungsseiten veröffentlicht, aber nicht jeder OEM stellt Firmware-Updates für ältere Hardware bereit. Wenn Ihr PC älter als fünf oder sechs Jahre ist, ist die Wahrscheinlichkeit groß, dass Ihr Hersteller schon weitergezogen ist und Sie möglicherweise mit ablaufenden Zertifikaten und einem Weg nach vorne nicht weiterkommen.
Benutzer von Windows 10 befinden sich in einer besonders schwierigen Lage
Der letzte Todesstoß für 10

Es gibt eine Gruppe, die davon besonders betroffen ist, und zwar eine große: Windows 10-Benutzer. Microsoft hat den Support für Windows 10 im Oktober 2025 eingestellt und Geräte, auf denen nicht unterstützte Windows-Versionen ausgeführt werden, erhalten überhaupt keine Windows-Updates. Das bedeutet, dass sie die neuen Secure Boot-Zertifikate nicht erhalten. Sofern Sie sich nicht für erweiterte Sicherheitsupdates angemeldet haben (was mit eigenen Kosten und Einschränkungen verbunden ist), wird Ihr Windows 10-Computer die 2023-Zertifikate einfach nie über normale Kanäle erhalten.
Die offizielle Empfehlung von Microsoft lautet, auf eine unterstützte Version von Windows zu aktualisieren, was für die meisten Menschen Windows 11 bedeutet. Aber das ist nicht immer eine Option. Die Hardwareanforderungen von Windows 11, insbesondere die TPM 2.0-Anforderung, haben Millionen ansonsten einwandfrei funktionierender PCs gesperrt, auch wenn es Workarounds gibt. Möglicherweise haben Sie also einen Computer, der für Windows 11 zu alt ist, auf dem aber immer noch Windows 10 läuft, und jetzt ist er auch zu alt, um aktualisierte Secure Boot-Zertifikate zu erhalten. Diese Probleme häufen sich, und für diese Benutzer gibt es keine eindeutige Antwort.
Die betroffenen Systeme gehen auch über physische Desktops und Laptops hinaus. Virtuelle Maschinen, die auf VMware, Hyper-V und Azure ausgeführt werden, unterliegen alle demselben Zertifikatablauf. Microsoft hat separate Leitlinien für Windows Server, Windows 365 und Azure Virtual Desktop veröffentlicht, die jeweils ihre eigenen Überlegungen zur Bereitstellung enthalten. Wenn Sie Secure Boot-fähige VMs ausführen, was auch der Fall sein sollte, benötigen diese ebenfalls die Zertifikatsaktualisierung.
Was Sie jetzt eigentlich tun sollten

Wenn Sie ein Heimanwender sind, stellen Sie sicher, dass Ihr PC so eingestellt ist, dass er automatisch Windows-Updates empfängt, und dass Sie eine unterstützte Version von Windows verwenden. Erkundigen Sie sich beim Hersteller Ihres PCs nach verfügbaren BIOS- oder Firmware-Updates und installieren Sie diese zunächst. Lassen Sie anschließend Windows Update seine Arbeit erledigen. Behalten Sie die Windows-Sicherheits-App im Auge, um Benachrichtigungen zum Zertifikatsstatus zu erhalten, während Microsoft diese einführt.
Wenn Sie Geräte in einem Unternehmen verwalten, ist dies viel dringender. Microsoft empfiehlt, die Zielseite zum Rollout des Secure Boot-Zertifikats zu überprüfen, um aktuellere Anleitungen zu erhalten. Überprüfen Sie zunächst den Registrierungsschlüssel „UEFICA2023Status“, um Bereitstellungen zu verfolgen, und wenden Sie OEM-Firmware-Updates auf allen Ihren Geräten an, bevor das Windows-Zertifikat-Update verfügbar ist. Microsoft veranstaltet am 12. März außerdem eine „Ask Microsoft Anything“-Sitzung speziell zum Thema Secure Boot, die sich lohnt, wenn Sie viele Geräte verwalten.
Die Frist ist nicht flexibel. Am 27. Juni 2026 laufen die ersten Zertifikate aus, dicht gefolgt vom Oktober 2026. Ihr PC wird sich an diesem Datum nicht selbst kaputt machen, aber jeder Tag danach ohne aktualisierte Zertifikate ist ein Tag, an dem Ihr Startvorgang weniger sicher ist, als er sein sollte. Microsoft hat dies als Eintritt in einen „degradierten Sicherheitszustand“ beschrieben, und wenn man bedenkt, was BlackLotus gezeigt hat, ist dies kein Risiko, das es wert ist, in Kauf genommen zu werden. Die Boot-Kette ist der einzige Ort, an dem die Sicherheit funktionieren muss, denn alles, was danach kommt, hängt davon ab.
*️⃣ Quelllink:
das erste dieser Zertifikate läuft ab, Secure Boot, eine Vertrauenskette, die neueste Sicherheitsmaßnahme , Windows 10 , auch wenn es Workarounds gibt,