So überprüfen Sie, ob Windows 11 die neuen Secure Boot 2023-Zertifikate angewendet hat (ersetzt Secure Boot 2011)

/de/images/how-to-verify-if-secure-certificate-has-been-updated.jpg

Wenn Sie kürzlich die Ereignisanzeige überprüft haben, sind möglicherweise einige neue TPM-WMI-Fehler zu Secure Boot-Zertifikaten aufgetreten. Mach dir keine Sorgen, du bist nicht allein. Viele Benutzer von Windows 11 sehen, dass diese Protokolle aus dem Nichts auftauchen, insbesondere nach der Installation des Patch Tuesday-Updates vom Februar 2026.

/de/images/Windows-Event-Viewer-showing-Event-ID-1801-errors.png

Glücklicherweise ist dies kein Fehler. Microsoft ist gerade dabei, Secure Boot-Zertifikate zu aktualisieren, die bis ins Jahr 2011 zurückreichen. Diese älteren Schlüssel erreichen das Ende ihrer Nutzungsdauer und Windows stellt Geräte jetzt auf eine neuere Zertifizierungsstelle namens Windows UEFI CA 2023 um.

Secure Boot ist die Funktion, die Ihren PC während des Startvorgangs schützt, indem nur vertrauenswürdige Firmware, Bootloader und Systemkomponenten ausgeführt werden, bevor Windows geladen wird. Wenn diese Zertifikate ablaufen oder nicht mehr vertrauenswürdig sind, wäre Secure Boot natürlich unwirksam.

Microsoft hat die Zertifikatsaktualisierung mit dem Windows 11-Update vom Februar 2026 (KB5077181) gebündelt. Typischerweise handelt es sich dabei um einen schrittweisen, gerätespezifischen Rollout, bei dem wahrscheinlich Telemetrie- und Vertrauensprüfungen zum Einsatz kommen, bevor die neuen Schlüssel in die Firmware Ihres PCs übertragen werden.

Infolgedessen sehen viele Benutzer in den Protokollen der Ereignisanzeige Dinge wie „aktualisierte Zertifikate verfügbar“ oder „unter Beobachtung“, obwohl sich an ihrem System noch nichts geändert hat.

Beachten Sie, dass diese Protokolle nicht bedeuten, dass etwas nicht stimmt. In den meisten Fällen bereitet Windows Ihr Gerät wahrscheinlich vor und prüft die Kompatibilität für den richtigen Zeitpunkt, um die neuen Secure Boot-Schlüssel sicher anzuwenden.

Warum in der Ereignisanzeige möglicherweise TPM-WMI-Fehler angezeigt werden

Viele Benutzer von Windows 11 haben die Ereignis-ID 1801 bemerkt, zusammen mit Meldungen wie:

„BucketConfidenceLevel: Unter Beobachtung – Weitere Daten erforderlich“

/de/images/Windows-Event-Viewer-showing-Event-ID-1801-errors-where-the-BucketConfidenceLevel-is-listed-as-Under-Observation-More-Data-Needed.png

Seien Sie versichert, Ihr PC ist sicher und nichts ist kaputt. Was Windows hier protokolliert, ist eine Statusprüfung und kein Fehler oder Ausfall.

Secure Boot-Schlüssel sind auf Firmware-Ebene vorhanden und werden im gesamten PC-Ökosystem gemeinsam genutzt, einschließlich OEM-Firmware, Motherboard-Anbietern und Windows. Aus diesem Grund muss die Änderung sorgfältig koordiniert werden, um zu verhindern, dass Geräte nicht mehr bootfähig sind, wenn etwas schief geht.

Dieser Prozess umfasst zwei separate Schritte:

  1. Das neue Secure Boot-Zertifikat wird für Windows verfügbar

  2. Dieses Zertifikat wird später auf die System-Firmware angewendet

Die meisten Systeme liegen eine Zeit lang zwischen diesen beiden Schritten.

Wenn die Ereignisanzeige meldet, dass aktualisierte Secure Boot-Zertifikate verfügbar, aber noch nicht angewendet sind, bedeutet dies, dass Ihr Gerät erkannt, bewertet und für die nächste Stufe in die Warteschlange gestellt wurde. Das Konfidenzniveau „Unter Beobachtung“ zeigt an, dass Microsoft immer noch Update-Zuverlässigkeitssignale von Ihrem Gerät sammelt, bevor die Änderung der Firmware-Ebene vorangetrieben wird. Das sind Dinge, bei denen Telemetrie sinnvoll ist.

Außerdem kann Windows die neuen Zertifikate herunterladen und im Betriebssystem bereitstellen, lange bevor die Firmware sie übernimmt. Bis die Firmware die neuen Schlüssel akzeptiert und aufzeichnet, protokolliert die Ereignisanzeige möglicherweise weiterhin Statusmeldungen, die darauf hinweisen, dass der Übergang aussteht.

Aus diesem Grund werden die Protokolle als Fehler angezeigt, obwohl es sich um informative Staging-Protokolle handelt. Dies bedeutet nicht, dass das TPM defekt ist, Secure Boot fehlgeschlagen ist oder das BIOS beschädigt ist. Beachten Sie, dass viele Systeme vorübergehend in diesem Zustand bleiben, insbesondere während einer schrittweisen Einführung wie dieser.

So überprüfen Sie, ob das neue Secure Boot-Zertifikat bereits auf Ihrem PC angewendet wurde

Windows bietet eine einfache Möglichkeit, zu überprüfen, ob das Windows UEFI CA 2023-Zertifikat bereits auf Ihrem System vorhanden ist. Diese Methode verändert nichts und ist absolut sicher.

Schritt 1: Öffnen Sie PowerShell als Administrator

Klicken Sie mit der rechten Maustaste auf die Schaltfläche „Start“ und wählen Sie „Windows PowerShell (Admin)“ oder „Terminal“ (Admin).

Schritt 2: Führen Sie diesen Befehl genau wie gezeigt aus

(System.Text.Encoding::ASCII.GetString((Get-SecureBootUEFI db).bytes)-match ‚Windows UEFI CA 2023‘)

/de/images/How-to-check-if-the-new-Secure-Boot-certificate-has-already-applied-to-your-PC.jpg

Schritt 3: Überprüfen Sie das Ergebnis

  • True: Dies bedeutet, dass das Windows UEFI CA 2023-Zertifikat bereits in Ihrer Secure Boot-Datenbank vorhanden ist. Ihr System ist bereit, auch wenn die Ereignisanzeige weiterhin Staging- oder Beobachtungsmeldungen anzeigt.

  • Falsch: Dies bedeutet, dass Ihr Gerät das Zertifikat noch nicht erhalten hat. Dies ist kein Fehler und erfordert keine Maßnahmen. Ihr PC wartet einfach darauf, dass er mit dem Rollout an die Reihe kommt.

So überprüfen Sie das Update in der Ereignisanzeige

Wenn der PowerShell-Befehl „True“ zurückgibt und Sie sich zur Sicherheit die offiziellen Protokolle ansehen möchten, finden Sie diese im Systemprotokoll. Hier ist der einfachste Weg, sie aufzuspüren, ohne durch Tausende von Ereignissen scrollen zu müssen:

  1. Öffnen Sie die Ereignisanzeige (suchen Sie im Startmenü danach).

  2. Navigieren Sie zu Windows-Protokolle > System.

  3. Klicken Sie im rechten Bereich auf Aktuelles Protokoll filtern….

  4. Scrollen Sie im Dropdown-Menü „Ereignisquellen“ nach unten und aktivieren Sie das Kontrollkästchen für TPM-WMI (es könnte als Microsoft-Windows-TPM-WMI aufgeführt sein).

  5. Klicken Sie auf OK.

/de/images/How-to-verify-the-update-in-Event-Viewer.jpg

Suchen Sie nach dem Filtern nach der Ereignis-ID 1808. Wenn Sie diese sehen, bedeutet dies, dass das neue Secure Boot-Zertifikat erfolgreich angewendet wurde. Möglicherweise wird auch die Ereignis-ID 1034 angezeigt, die bestätigt, dass die DBX-Aktualisierung (Sperrliste) ebenfalls verarbeitet wurde.

/de/images/Windows-11-Event-Viewer-Secure-Boot-Key-Update-Success-Event-1808.jpg /de/images/Secure-Boot-Dbx-Revocation-List-Update-Event-1034.jpg

Beachten Sie, dass diese beiden Prüfungen möglicherweise nicht synchron sind. Einige Benutzer sehen in PowerShell „True“, während die Ereignisanzeige weiterhin Warnungen darüber protokolliert, dass Zertifikate nicht auf die Firmware angewendet werden. Das ist normal.

Das Update auf Betriebssystemebene kann zuerst erfolgen, während die Firmware-Anwendung später erfolgt, manchmal nach Neustarts oder Updates.

Wenn PowerShell „True“ zurückgibt, verfügt Ihr System bereits über alles, was es benötigt. Zu diesem Zeitpunkt können die Einträge in der Ereignisanzeige getrost ignoriert werden.

Müssen Sie Ihr BIOS jetzt aktualisieren?

Nein, Sie müssen kein BIOS-Update überstürzen.

Eines der größten Missverständnisse rund um diesen Rollout ist die Annahme, dass Microsoft Firmware-Änderungen direkt vorantreibt. Das ist es nicht. BIOS und UEFI-Firmware werden von Ihrem Gerätehersteller gesteuert, nicht von Windows Update. Das bedeutet, dass Microsoft Secure Boot-Schlüssel nicht blind auf Firmware-Ebene auf jedem PC aktualisieren kann, ohne die Koordination von OEMs wie Dell, Lenovo, HP, ASUS, Acer und anderen.

/de/images/SUR25-COMMR-Laptop-13inch-Snapdragon-Platinum-Desk-02-1600x1067-1.jpg

Firmware-Änderungen sind weitaus heikler als Betriebssystem-Updates. Sie können ein fehlgeschlagenes Windows-Update rückgängig machen, aber ein fehlgeschlagenes Firmware-Update kann dazu führen, dass Ihr PC nicht mehr booten kann. Daher müssen OEMs die Schlüsselübergänge für den sicheren Start sorgfältig validieren und sie nur dann freigeben, wenn sie sicher sind, dass das Update plattformspezifische Konfigurationen nicht beeinträchtigt.

Sie sollten Ihr BIOS nur dann aktualisieren, wenn:

  • Ihr Gerätehersteller weist Sie ausdrücklich dazu an

  • In der Update-Dokumentation werden Änderungen des Secure Boot-Zertifikats erwähnt

  • Sie sind mit der Durchführung von Firmware-Updates vertraut und verstehen die Risiken

Wir empfehlen außerdem, Workarounds wie das Löschen von Secure Boot-Schlüsseln, das Aktivieren des Setup-Modus oder das manuelle Ändern von Firmware-Einstellungen zu vermeiden. Diese sind für Unternehmen gedacht und können bei falscher Ausführung die Sicherheit beeinträchtigen.

Wenn sich das alles so anfühlt, als würde Microsoft in letzter Zeit mehr hinter den Kulissen arbeiten, dann liegt das daran, dass sie es sind. Obwohl das Update des Secure Boot-Zertifikats unvermeidlich war, da das vorherige 15 Jahre alt ist, hat sich das Unternehmen zum Ziel gesetzt, Windows standardmäßig sicher zu machen.

Zuhause

Teilen

Newsletter

WL-Newsletter

/de/images/WL-logo-new.svg

WL-Newsletter!

Bleiben Sie mit den neuesten Windows-, IT- und KI-Updates auf dem Laufenden. Mehr als 50.000 Abonnenten vertrauen darauf.

Name

E-Mail

Kostenlos beitreten

*️⃣ Quelllink:

nicht allein , Microsoft ist gerade dabei, Secure Boot-Zertifikate zu aktualisieren, KB5077181, Windows standardmäßig sicher, Zuhause ,

Newsletter

,