Anleitungen, Nachrichten

Für Ihren Windows läuft die Sicherheitsfrist im Juni 2026 ab

von Stefan Dasic | 28. Mai 2026
Windows einem Laptop

Über Windows wird derzeit eine Aktualisierung der Secure-Boot-Zertifikate auf allen unterstützten Windows ausgerollt. Im Juni 2026 laufen die Secure-Boot-Zertifikate ab, die Windows 2011 in Windows enthalten sind, und Microsoft ersetzt sie durch neue Zertifikate mit dem Datum 2023.

Die gute Nachricht: Wenn Sie Ihren PC auf dem neuesten Stand halten, müssen Sie wahrscheinlich nichts unternehmen. Die schlechte Nachricht: Bei einigen älteren Geräten klappt der Übergang möglicherweise nicht reibungslos. Ihr PC wird nicht plötzlich nicht mehr funktionieren, aber mit der Zeit könnten wichtige Sicherheitsmaßnahmen auf Boot-Ebene fehlen, ohne dass Sie es merken.

Hier erfahren Sie, worum es geht, warum das wichtig ist und wie Sie überprüfen können, ob Ihr Gerät die Frist einhält.

Was ist Secure Boot und was läuft aus?

Secure Boot ist eine UEFI-Firmware-Funktion, die in praktisch jedem seit etwa 2012 verkauften PC integriert ist. Sie wird ausgeführt, Windows bevor Windows geladen wird, und hat die Aufgabe zu überprüfen, ob der Bootloader und die frühen Boot-Komponenten von einer vertrauenswürdigen Stelle signiert wurden. Wenn etwas versucht, sich in die Boot-Kette einzuschleusen, das nicht auf der Vertrauensliste steht – beispielsweise ein Bootkit –, verweigert Secure Boot dessen Ausführung.

So funktioniert Secure Boot

Der Aspekt der „vertrauenswürdigen Partei“ ist dabei entscheidend. Das Vertrauen wird durch kryptografische Zertifikate hergestellt, die in die Firmware Ihres Motherboards integriert sind. Die aktuellen Zertifikate wurden 2011 ausgestellt und laufen nun aus. Dabei handelt es sich um drei bestimmte Zertifikate:

  • Microsoft Corporation KEK CA 2011: läuft am 24. Juni 2026 ab
  • Microsoft UEFI CA 2011: läuft am 27. Juni 2026 ab
  • Microsoft Windows PCA 2011: läuft am 19. Oktober 2026 ab

Microsoft ersetzt diese durch ein Set mit Gültigkeitsdatum 2023, darunter Windows CA 2023“ und „Microsoft Corporation KEK 2K CA 2023“. Laut Aussagen von Microsoft-Ingenieuren während einer AMA-Sitzung im März 2026 sind die neuen Zertifikate bis 2038 gültig, und für zukünftige Hardware ist um das Jahr 2030 herum eine separate Umstellung auf postquantene Kryptografie geplant.

„Wird mein Computer nicht mehr funktionieren?“

Nein. Das ist das Wichtigste, was man verstehen muss, denn die Gerüchteküche brodelt lauter als die Fakten.

Wenn die Frist abläuft und Ihr PC weiterhin mit den Zertifikaten von 2011 läuft, Windows weiterhin, Windows funktioniert weiterhin und Ihr PC läuft normal weiter.

Was sich ändert, ist, dass das Gerät – wie Microsoft selbst mitteilt – „keine neuen Sicherheitsupdates mehr erhalten wird“ für den frühen Startvorgang, darunter Updates für Windows Manager, Secure-Boot-Datenbanken, Sperrlisten und Maßnahmen zur Behebung neu entdeckter Sicherheitslücken auf Boot-Ebene.

Einfach ausgedrückt: Mit der Zeit wird es immer schwieriger, Ihren PC zu schützen. Er ist zwar gegen die heute bekannten Boot-Bedrohungen geschützt, aber nicht unbedingt gegen diejenigen, die erst im nächsten Monat oder im nächsten Jahr entdeckt werden.

Das ist ein Problem, da Bootkits unterhalb von Windows Antivirensoftware agieren. Sie werden vor allen anderen Programmen ausgeführt und können die Sicherheitsprogramme deaktivieren, die sie normalerweise aufspüren würden.

Das BlackLotus-Problem

Wenn Sie ein konkretes Beispiel dafür suchen, warum Sicherheit auf Boot-Ebene wichtig ist, schauen Sie sich BlackLotus an.

BlackLotus ist ein UEFI-Bootkit, das 2022 in Hackerforen auftauchte und Anfang 2023 von Forschern in freier Wildbahn bestätigt wurde. Es nutzte die Sicherheitslücke CVE-2022-21894, auch bekannt unter dem Spitznamen „Baton Drop“, aus, um Secure Boot auf vollständig gepatchten Windows zu umgehen. Nach der Installation konnte es BitLocker, Hypervisor-Protected Code Integrity (HVCI) und Microsoft Defender deaktivieren, bevor Windows geladen war.

Microsoft hat die zugrunde liegende Sicherheitslücke unter der KennungCVE-2023-24932 behoben, doch die sichere Korrektur anfälliger Bootmanager ist kompliziert. Werden die falschen Boot-Komponenten deaktiviert, kann dies dazu führen, dass Systeme nicht mehr hochfahren. Aus diesem Grund hat Microsoft die Schutzmaßnahmen schrittweise über mehrere Jahre hinweg eingeführt.

Die Erneuerung der Zertifikate im Jahr 2026 ist ein geplantes Ereignis im Lebenszyklus (die Zertifikate von 2011 wären ohnehin abgelaufen), ermöglicht aber auch die umfassendere Absicherung von Secure Boot, die Microsoft als Reaktion auf anfällige Bootmanager und Angriffe wie BlackLotus vorgenommen hat.

Mit den neuen Vertrauensankern kann Microsoft weiterhin neuere, mit dem Zertifikat von 2023 signierte Startkomponenten bereitstellen und anfällige Komponenten sicher widerrufen, sobald neue Bedrohungen auftreten. Geräte, die diese Umstellung nicht vornehmen, könnten diese zukünftigen Schutzmaßnahmen möglicherweise nicht mehr nutzen.

So funktioniert die Einführung

Microsoft führt die Einführung schrittweise durch, um Systemausfälle zu vermeiden.

Eine geplante Windows wird etwa alle 12 Stunden ausgeführt und wendet das Update schrittweise an:

  1. Fügen Sie die neueWindows CA 2023zur Signaturdatenbank der Firmware hinzu.
  2. Falls das alte Zertifikat eines Drittanbieters aus dem Jahr 2011 noch vorhanden ist, fügen Sie zusätzlich die Zertifikate„Microsoft UEFI CA 2023“und„Microsoft Option ROM UEFI CA 2023“ hinzu.
  3. Fügen Sie den neuen Schlüssel„Microsoft Corporation KEK 2K CA 2023“hinzu.
  4. Aktualisieren Sie den Windows auf eine Version, die mit dem neuen Zertifikat signiert ist. Dieser Schritt wird bis zum nächsten automatischen Neustart zurückgestellt.

Laut den Anleitungen von Microsoft für IT-Experten dauert der gesamte Vorgang schätzungsweise etwa 48 Stunden und erfordert einen oder mehrere Neustarts. Jeder Schritt muss erfolgreich abgeschlossen sein, bevor der nächste ausgeführt wird. Daher kann es vorkommen, dass ein Gerät eine Zeit lang mitten in der Abfolge stehen bleibt, wenn es beispielsweise auf ein Firmware-Update oder einen geplanten Neustart wartet.

Bei den meisten Privatanwendern geschieht dies unbemerkt im Hintergrund im Rahmen der üblichen kumulativen Updates.

Ab dem Windows vom April 2026 enthält die Windows unter „Gerätesicherheit“ aktualisierte Informationen zum Secure-Boot-Status, aus denen hervorgeht, ob die neuen Zertifikate erfolgreich angewendet wurden.

Einstellungen für „Secure Boot“

Was könnte schiefgehen?

Die meisten Systeme werden den Übergang problemlos bewältigen, doch gibt es einige bekannte Problemstellen:

  • Ältere PCs mit veralteter Firmware.Einige ältere UEFI-Firmware-Implementierungen unterstützen die neuen Zertifikate nicht ordnungsgemäß. Bei diesen Systemen ist möglicherweise ein BIOS- oder Firmware-Update vom Hersteller erforderlich, bevor die Umstellung abgeschlossen werden kann.
  • PCs, die die Anforderungen Windows umgangen haben.Wenn „Secure Boot“ deaktiviert wurde, um Windows mithilfe inoffizieller Workarounds zu installieren, können die neuen Zertifikate nicht korrekt angewendet werden.
  • Ältere BIOS-/CSM-Systeme.Geräte, auf denen ein älteres BIOS (oder UEFI mit aktiviertem Compatibility Support Module) läuft, nutzen Secure Boot überhaupt nicht und fallen daher vollständig aus dem Geltungsbereich dieses Updates heraus.
  • Benutzerdefinierte Firmware und ungewöhnliche Konfigurationen.Bestimmte benutzerdefinierte oder ungewöhnliche Firmware-Konfigurationen können nach einer Änderung der Secure-Boot-Einstellungen eine BitLocker-Wiederherstellungsaufforderung auslösen. Microsoft weist ausdrücklich darauf hin, dass BitLocker selbstnichtdeaktiviert wird, doch sollten Nutzer ihre Wiederherstellungsschlüssel für alle Fälle griffbereit halten.

Windows berichtete, dass bei Tests auf Tausenden von PCs mit veralteter Firmware Update-Fehler aufgetreten seien. In den eigenen Hinweisen von Microsoft wird allgemein darauf hingewiesen, dass Einschränkungen hinsichtlich Firmware, Plattform und OEM den Übergang verhindern können. In vielen Fällen kennzeichnet Windows betroffene Systeme mit gelben oder roten Statuswarnungen.

Was Privatanwender tun sollten

Für die meisten Menschen ist der Rat ganz einfach:

  • Halten Sie Windows auf dem neuesten Stand.Microsoft stellt die neuen Zertifikate über Windows regulären Windows bereit, und die meisten Privatanwender müssen nichts weiter tun, als die monatlichen Updates zu installieren.
  • Überprüfen Sie den Status von „Secure Boot“ (den Text, nicht nur die Farbe).Öffnen SieWindows >„Gerätesicherheit“>„Secure Boot“. Ein grünes Symbol mit dem Text„Secure Boot ist aktiviert und verhindert, dass beim Start Ihres Geräts schädliche Software geladen wird“bedeutet, dass alles in Ordnung ist. Microsoft weist darauf hin, dass ein grünes Häkchen allein nicht bestätigt, dass die neuen Zertifikate angewendet wurden.
  • Falls Ihr Gerät älter ist, prüfen Sie, ob der Hersteller ein BIOS-/Firmware-Update bereitstellt. Beieinigen Systemen sind diese Updates erforderlich, damit das Secure-Boot-Update ordnungsgemäß durchgeführt werden kann. Dies ist besonders wichtig für PCs, die vor 2024 hergestellt wurden.
  • Deaktivieren Sie Secure Boot nicht, um ein Problem zu „beheben“.Secure Boot zu deaktivieren ist genau die falsche Vorgehensweise – dadurch wird der Schutz vollständig aufgehoben, anstatt ihn zu aktualisieren. Einige Anti-Cheat-Systeme für Spiele und ältere Apps fordern die Nutzer dazu auf.
  • Mach dir wegen des neuen Ordners „SecureBoot“ keine Sorgen. Das kumulative Update Windows vom Mai 2026 (KB5089549) erstellt einen Ordner unter C:\Windows\SecureBoot mit Beispiel-PowerShell-Skripten für IT-Administratoren. Es handelt sich nicht um Malware, das ist beabsichtigt, und Sie müssen die Datei nicht löschen.
  • Nutzen Sie einen aktuellen Echtzeit-Schutz vor Schadsoftware, der Bedrohungen auf Betriebssystemebene erkennt, selbst wenn etwas den Secure-Boot-Schutz umgeht.

Was IT-Teams tun sollten

Wenn Sie eine Flotte verwalten, hat Microsoftumfassende Leitfädenveröffentlicht, und der Aufwand ist größer. Kurz gesagt:

  • Erstellen Sie jetzt eine Bestandsliste Ihrer Geräte. Rufen Sie für den gesamten Bestand Hersteller, Modell, BIOS-Version und -Datum, Baseboard-Produkt sowie den Secure-Boot-Status ab. Microsoft stellt ein PowerShell-Beispielskript unter aka.ms/GetSecureBoot das die entsprechenden Registrierungsschlüssel und Ereignis-IDs anzeigt.
  • Achten Sie auf die Ereignis-IDs 1801 und 1808.Die Ereignis-ID 1808 bestätigt, dass die neuen Zertifikate vorhanden sind. Die Ereignis-ID 1801 bedeutet, dass das Gerät die Aktualisierung nicht abgeschlossen hat.
  • Vor der flächendeckenden Einführung testen.Microsoft empfiehlt, mindestens vier Geräte pro Kombination aus Hersteller, Modell und Firmware zu testen. Bei einigen Systemen ist möglicherweise ein Firmware-Update des OEM erforderlich, bevor sie die neuen Zertifikate akzeptieren können.
  • Wählen Sie pro Gerät eine Bereitstellungsmethode aus.Verwenden Sie Registrierungsschlüssel, Gruppenrichtlinien, WinCS-Befehlszeilentools oder Intune-/ConfigMgr-Skripte, aber kombinieren Sie auf demselben Rechner nicht verschiedene Methoden.
  • Achten Sie auf PXE-Imaging und Hyper-V. SCCM/MECM-PXE-Server müssen möglicherweise neu signiert werden boot.wim, und Hyper-V-Hosts müssen möglicherweise aktualisiert werden, bevor neue VMs mit dem 2023 KEK in der Firmware-Vorlage erstellt werden.
  • Erfassen Sie Geräte, die nicht aktualisiert werden können.Ältere Hardware ohne OEM-Firmware-Unterstützung muss möglicherweise vor Ablauf der Frist ausgetauscht oder durch Ausgleichsmaßnahmen als Ausnahme offiziell akzeptiert werden. Diese Geräte funktionieren zwar weiterhin, können jedoch künftige Schutzmaßnahmen auf Boot-Ebene möglicherweise nicht mehr nutzen.

Das Fazit

Dies ist eines jener Sicherheitsereignisse, die am 24. Juni 2026 keine dramatischen Zwischenfälle auslösen werden. An diesem Tag wird nichts Sichtbares ausfallen.

Das Risiko besteht darin, was in den folgenden Monaten und Jahren geschieht. Geräte, bei denen der Übergang zur neuen Vertrauenskette nicht gelingt, könnten bei künftigen Schutzmaßnahmen auf Boot-Ebene allmählich ins Hintertreffen geraten, da Microsoft weiterhin auf Bedrohungen wie BlackLotus und andere Bootkits reagiert.

Für die meisten Privatanwender übernimmt Windows die Umstellung automatisch. Ihre Hauptaufgabe besteht darin, Ihr System auf dem neuesten Stand zu halten und den Status von Secure Boot zu überprüfen, bevor die Fristen ablaufen.

Falls Ihre Hardware schon etwas älter ist, ist jetzt ein guter Zeitpunkt, um zu prüfen, ob der Hersteller noch Firmware-Updates bereitstellt – und ob Ihr PC für die nächsten zehn Jahre mit Secure-Boot-Sicherheitsmaßnahmen gerüstet ist.

CNET-Auszeichnung „Editors' Choice“ 2026

„Eine der besten Cybersicherheits-Suiten weltweit.“ 

Laut CNET.Lesen Sie den Testbericht

Über den Autor

Stefan Dasic

Stefan Dasic

Stefan ist ein leidenschaftlicher Anhänger von Antiviren-Lösungen und hat sich schon früh mit Malware-Tests und der Qualitätssicherung von AV-Produkten beschäftigt. Als Teil des Malwarebytes widmet sich Stefan dem Schutz der Kunden und der Gewährleistung ihrer Sicherheit.

NEUESTE ARTIKEL

Datenschutzverletzungen
Frau und Kreuzfahrtschiff

Carnival bestätigt Datenpanne, von der fast 6 Millionen Menschen betroffen sind

Mai 28, 2026

Der Kreuzfahrtriese Carnival ist erneut Opfer eines Datenlecks geworden; die Hackergruppe ShinyHunters behauptet, personenbezogene Daten von fast 6 Millionen Menschen gestohlen zu haben.

AI
Bedrohungsinformationen: Verborgene Bedrohungen

Gefälschte ChatGPT-Download-Seite infiziert Windows Mac mit Malware

Mai 28, 2026

Auf der Suche nach ChatGPT? Diese gefälschte Download-Seite verbreitet Malware sowohl an Windows an Mac , wobei für jede Plattform eigene, maßgeschneiderte Schadprogramme zum Einsatz kommen.

Nachrichten
Phishing in großem Stil

Das Phishing-Kit „Kali365“ umgeht die MFA und stiehlt Microsoft-Anmeldedaten

Mai 27, 2026

Das FBI hat davor gewarnt, dass Angreifer ein neues Phishing-Kit einsetzen, um sich langfristigen Zugriff auf Microsoft Outlook-, Teams und OneDrive-Konten zu verschaffen.

Verwandte Artikel

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug