Secure-Boot-Zertifikate laufen ab Juni 2026 ab: Windows warnt jetzt selbst

Microsoft hat begonnen, Windows-Nutzer aktiv vor dem Ablauf der ursprünglichen Secure-Boot-Zertifikate zu warnen. Die Zertifikate aus dem Jahr 2011, auf die die meisten aktuell betriebenen Windows-Geräte noch setzen, laufen ab Juni 2026 ab. Geräte, die bis dahin keine neuen Zertifikate erhalten haben, können danach keine Boot-Level-Sicherheitsupdates mehr installieren. Windows zeigt den Status seit den Mai-Updates erstmals direkt in der Sicherheits-App an. Weitere Meldungen zu Microsofts Betriebssystem sammelt Ghacks Deutschland in der Kategorie Windows.

Was der Ablauf der Secure-Boot-Zertifikate konkret bedeutet

Secure Boot ist eine Sicherheitsfunktion im UEFI-Firmware-Standard, die verhindert, dass beim Systemstart nicht autorisierte Software geladen wird. Damit Secure Boot funktioniert, vertraut das System bestimmten Zertifikaten – darunter den Zertifikaten von Microsoft, die den Windows Boot Manager signieren.

Die betroffenen PCA-2011-Zertifikate (Platform Certificate Authority 2011) hat Microsoft ursprünglich vor über zehn Jahren ausgestellt. Ihr Ablauf hat keine unmittelbaren Auswirkungen auf das Systemstart-Verhalten: Windows startet weiterhin, bestehende Signaturen bleiben gültig. Was wegfällt, ist die Möglichkeit, neue Boot-Level-Sicherheitsmaßnahmen zu erhalten. Dazu gehören:

  • Updates für den Windows Boot Manager
  • Aktualisierungen der Secure-Boot-Datenbanken
  • Neue Widerrufslisten für unsichere Boot-Komponenten
  • Mitigationen für neu entdeckte Boot-Level-Sicherheitslücken

Geräte ohne aktualisierte Zertifikate bleiben also nutzbar, lassen sich aber ab diesem Zeitpunkt nicht mehr gegen neue Boot-Angriffe absichern. Microsoft plant, die Durchsetzung neuer Zertifikatanforderungen ab Oktober 2026 vollständig umzusetzen.

So prüft man den Secure-Boot-Status in Windows

Mit den Mai-2026-Updates hat Microsoft die Windows-Sicherheits-App um eine Statusanzeige erweitert. Der Weg dorthin:

  1. Windows-Sicherheit öffnen (Suchfeld oder Systemsteuerung)
  2. Auf Gerätesicherheit klicken
  3. Unter Details zum Sicherheitsprozessor den Abschnitt Secure Boot aufrufen

Das System zeigt dort einen von drei Zuständen: Aktiviert (aktuell, kein Handlungsbedarf), Deaktiviert (manuell abgeschaltet oder nicht eingerichtet) oder Nicht unterstützt (ältere Hardware ohne UEFI-Secure-Boot). Microsoft plant, künftig einen farbcodierten Indikator mit Grün, Gelb und Rot zu ergänzen, um Handlungsbedarf noch schneller zu signalisieren. Der genaue Rollout-Termin für diese Visualisierung steht noch aus.

Windows 10 erhält die neue Statusanzeige über das Mai-Update KB5087544. Windows 11 wird über KB5089549 auf den Wechsel vorbereitet. Für Windows 10 gilt zusätzlich: Das Update steht nur für Geräte bereit, die am Extended Security Update-Programm (ESU) teilnehmen.

Was Microsoft tut und wie die neuen Zertifikate verteilt werden

Microsoft verteilt die neuen 2023-Zertifikate über Windows Update. Auf den meisten aktuellen Geräten mit aktiviertem Windows Update und einer unterstützten Windows-Version sollte das Update automatisch ankommen. Der genaue Rollout-Stand variiert je nach Gerätekonfiguration.

Für den Übergang gelten laut Microsoft folgende Grundsätze:

  • Geräte mit den neuen 2023-Zertifikaten: kein Handlungsbedarf
  • Geräte ohne 2023-Zertifikat und mit aktivem Windows Update: Zertifikat wird automatisch verteilt
  • Geräte mit deaktiviertem Update oder Managed Environments ohne Intune-Rollout: manueller Eingriff nötig
  • Geräte mit UEFI-Firmware ohne Secure-Boot-Unterstützung: nicht betroffen, da Secure Boot dort nicht aktiv ist

Unternehmen, die Windows-Updates über WSUS, SCCM oder ähnliche Verwaltungstools steuern, sollten prüfen, ob das Zertifikats-Update in ihrer Update-Richtlinie enthalten ist.

Was passiert, wenn das System das Zertifikats-Update nicht erhält

Geräte mit abgelaufenen PCA-2011-Zertifikaten und ohne neue 2023-Zertifikate starten weiterhin normal. Vorhandene Boot-Signaturen bleiben gültig. Der Unterschied zeigt sich erst, wenn Microsoft neue Boot-Manager-Versionen oder Secure-Boot-Datenbankeinträge verteilt: Diese lassen sich auf Geräten ohne aktualisierte Zertifikate nicht mehr installieren.

Praktisch bedeutet das: Ein Gerät ohne aktualisiertes Zertifikat erhält ab Juni 2026 zwar weiterhin Standard-Windows-Updates, aber keine Schutzmaßnahmen gegen neu entdeckte UEFI-Bootkits oder ähnliche Angriffe, die auf Boot-Level-Signaturen angewiesen sind. Für Privatnutzer ist das Risiko derzeit überschaubar. Für Unternehmens- und Server-Umgebungen ist eine zeitnahe Prüfung empfohlen.

Microsoft hat laut eigener Support-Dokumentation bisher keine Liste veröffentlicht, welche Gerätemodelle die neuen Zertifikate automatisch erhalten und welche nicht. Nutzer, die nach der Prüfung in der Sicherheits-App Unsicherheit haben, finden in der verlinkten Microsoft-Supportseite zur Secure-Boot-Zertifikatserneuerung weitere Details.

Stand 25. Mai 2026 plant Microsoft die vollständige technische Durchsetzung der neuen Zertifikatanforderungen für Oktober 2026. Bis dahin ist Zeit, betroffene Geräte zu identifizieren und die Zertifikats-Updates einzuspielen.