SICHERHEIT & INFRASTRUKTUR
Secure Boot Zertifikate laufen ab – Was IT-Admins jetzt tun müssen
📖 Lesezeit: ca. 4 Minuten
Im Juni 2026 laufen die UEFI Secure Boot-Zertifikate aus, die Microsoft seit 2011 auf nahezu allen Windows-Systemen einsetzt. Betroffen sind alle Geräte ab Baujahr 2012 – von Workstations über Server bis hin zu virtuellen Maschinen. Wer nicht rechtzeitig handelt, riskiert fehlende Sicherheitsupdates für den Boot-Prozess und langfristig Kompatibilitätsprobleme.
Die Zertifikate Microsoft Corporation KEK CA 2011 und UEFI CA 2011 verlieren im Juni 2026 ihre Gültigkeit. Im Oktober 2026 folgt das Windows Production PCA 2011-Zertifikat. Systeme ohne neue Zertifikate erhalten keine Boot-Sicherheitsupdates mehr.
Was genau passiert beim Ablauf?
Zunächst die gute Nachricht: Betroffene Systeme starten weiterhin, auch wenn die alten Zertifikate abgelaufen sind. Windows prüft beim Boot-Vorgang aktuell nicht das Ablaufdatum der Secure Boot-Zertifikate. Die Systeme funktionieren also erst einmal normal weiter.
Die schlechte Nachricht: Ohne aktualisierte Zertifikate können Systeme ab Juni 2026 keine neuen Secure Boot-Sicherheitsupdates mehr installieren. Das bedeutet konkret:
Neue Bootloader-Signaturen werden nicht mehr erkannt. Sicherheitsupdates für den Windows Boot Manager bleiben aus. Software von Drittanbietern, die mit den neuen 2023er-Zertifikaten signiert wurde, wird nicht als vertrauenswürdig eingestuft. Bekannte Angriffsvektoren wie das BlackLotus UEFI-Bootkit (CVE-2023-24932) können dann nicht mehr durch Boot-Updates entschärft werden.
Die neuen Zertifikate im Überblick
Microsoft ersetzt die ablaufenden 2011er-Zertifikate durch aktualisierte Versionen:
| Altes Zertifikat | Neues Zertifikat | Ablaufdatum |
|---|---|---|
| KEK CA 2011 | KEK 2K CA 2023 | Juni 2026 |
| UEFI CA 2011 | UEFI CA 2023 / Option ROM UEFI CA 2023 | Juni 2026 |
| Windows Production PCA 2011 | Neues Signaturzertifikat | Oktober 2026 |
🔧 Passende Tools von IT-Service Walter
Certificate Manager Pro – Zertifikate zentral überwachen, Ablaufdaten im Blick behalten
CA Backup & Restore & Migration & Health – Certificate Authority sichern und migrieren
Security Configuration Manager – Windows-Sicherheitseinstellungen nach CIS, BSI & NIST prüfen
Status prüfen: So finden Sie heraus, ob Ihr System betroffen ist
Prüfen Sie zunächst, ob Secure Boot auf Ihren Systemen überhaupt aktiviert ist. Über die Systeminformationen (msinfo32) finden Sie den Eintrag „Sicherer Startzustand”. Alternativ per PowerShell:
Confirm-SecureBootUEFI# Detaillierte Zertifikatsinformationen anzeigen
[System.Text.Encoding]::ASCII.GetString(
(Get-SecureBootUEFI -Name db).Bytes
) | Select-String -Pattern “Microsoft”
Microsoft stellt außerdem ein PowerShell-Script auf GitHub bereit (Check-UEFISecureBootVariables), mit dem Sie den exakten Status der Zertifikatskette auf einem System ermitteln können.
Handlungsempfehlungen für IT-Admins
🔍 1. Bestandsaufnahme
Identifizieren Sie alle Geräte mit Secure Boot (physisch + virtuell). Prüfen Sie den Zertifikatsstatus mit msinfo32 oder PowerShell-Scripten.
🔄 2. BIOS/UEFI-Updates
Prüfen Sie bei Ihren OEM-Herstellern (Lenovo, Dell, HP etc.) ob aktuelle BIOS-Updates mit den neuen Zertifikaten verfügbar sind. Diese sollten vor dem Windows-Zertifikatsupdate installiert werden.
📊 3. Diagnosedaten
Stellen Sie sicher, dass mindestens „Erforderliche Diagnosedaten” aktiviert sind. Microsoft nutzt diese zur automatischen Zertifikatsverteilung über Windows Update.
🔑 4. BitLocker-Schlüssel sichern
Der Zertifikatstausch kann ein BitLocker-Recovery auslösen. Sichern Sie vorab alle Wiederherstellungsschlüssel und dokumentieren Sie diese sorgfältig.
Checkliste: Vor Juni 2026 erledigen
Secure Boot-Status auf allen Systemen inventarisieren
BitLocker-Wiederherstellungsschlüssel dokumentieren und sichern
BIOS/UEFI-Firmware-Updates der OEM-Hersteller einspielen
Diagnosedaten mindestens auf „Erforderlich” konfigurieren
Windows-Sicherheitsupdates zeitnah installieren (Patchday beachten)
Pilotgruppe für Zertifikatstausch definieren und testen
Dual-Boot-Systeme (Linux) auf Kompatibilität prüfen
Windows 10-Systeme: ESU-Lizenzen klären (regulärer Support endet Oktober 2025)
PowerShell-Script: Zertifikatsstatus automatisiert prüfen
Für größere Umgebungen empfiehlt sich ein automatisiertes Reporting. Das folgende Script prüft den Secure Boot-Status und die vorhandenen Zertifikate:
$computers = Get-ADComputer -Filter * -SearchBase “OU=Server,DC=domain,DC=local”$results = foreach ($pc in $computers) {
Invoke-Command -ComputerName $pc.Name -ScriptBlock {
[PSCustomObject]@{
Computer = $env:COMPUTERNAME
SecureBoot = Confirm-SecureBootUEFI
OS = (Get-CimInstance Win32_OperatingSystem).Caption
BIOSVersion = (Get-CimInstance Win32_BIOS).SMBIOSBIOSVersion
}
} -ErrorAction SilentlyContinue
}
$results | Export-Csv -Path “SecureBoot_Audit.csv” -NoTypeInformation
📡 Sicherheitslage im Blick behalten
Security Advisory Dashboard – BSI CERT-BUND Warnungen in Echtzeit überwachen und auf Bedrohungen reagieren
CVE Scanner – NIST Database – Installierte Software automatisiert gegen bekannte Schwachstellen prüfen
Fazit
Der Ablauf der Secure Boot-Zertifikate ist kein Grund zur Panik, aber ein klarer Handlungsauftrag. Systeme, die regelmäßig Windows-Updates erhalten, werden in den meisten Fällen automatisch aktualisiert. Trotzdem sollten IT-Verantwortliche den Status proaktiv prüfen, BIOS-Updates einspielen und besonders BitLocker-geschützte Umgebungen sorgfältig vorbereiten. Drei Monate vor Ablauf ist jetzt der richtige Zeitpunkt, um die Umstellung systematisch anzugehen.