Microsoft hat endlich konkret verraten, was mit Ihrem Windows-Rechner passiert, wenn dessen Secure-Boot-Zertifikate nicht vor Juni 2026 erneuert werden.
Darum geht es
Im Juni 2026 laufen die originalen Secure-Boot-Zertifikate ab, mit denen Windows seit 2011 jede Hardware signiert. “Secure Boot ist ein von Vertretern der PC-Branche entwickelter Sicherheitsstandard, der sicherstellt, dass ein Gerät ausschließlich mit Software startet, der der Originalhersteller (OEM) vertraut“, fasst es Windowslatest zusammen. Bei jedem PC-Start überprüft die Firmware die kryptografische Signatur jeder einzelnen Boot-Softwarekomponente. Dazu gehören auch die Secure-Boot-Zertifikate, die 2011 ausgegeben wurden. Erst danach wird der Windows-Boot-Manager geladen.
Mit dem Ablauf der vorhandenen Secure-Boot-Zertifikate würden Millionen Windows-PCs ab Juni unsicher werden oder überhaupt nicht mehr booten (siehe hierzu Ihr Windows-PC bekommt ab Sommer echte Probleme – der Grund). Um das zu verhindern, liefert Microsoft seit einiger Zeit neue Secure-Boot-Zertifikate an die Rechner aus beziehungsweise trifft dafür Vorbereitungen.
Die Auslieferung dieser neuen “2023er Secure Boot”-Zertifikate ist keine triviale Angelegenheit, weil diese direkt in die UEFI-Hardware der Hauptplatine Ihres Rechners eingreifen. “Microsoft muss die neuen Zertifikate aus dem Jahr 2023 in die Firmware übertragen, den Boot-Manager durch eine mit den neuen Schlüsseln signierte Version ersetzen und schließlich das Vertrauen in die alten Zertifikate aufheben”, beschreibt Windowslatest den komplexen Vorgang.
Microsoft hat dafür bereits einen neuen Secure-Boot-Ordner auf den Windows-Rechnern eingerichtet, wie wir in Mysteriöser ‘Secure Boot’-Ordner in Windows 11 aufgetaucht: Das steckt dahinter berichtet haben. In diesem Ordner speichert Windows die kryptografischen Dateien, bevor sie auf Ihr Motherboard übertragen werden.
Das sind die Folgen, wenn Sie die neuen Secure-Boot-Zertifikate nicht installieren
Um über die Folgen der ganzen Angelegenheit zu informieren, hat Microsoft eine “Fragestunde” mit Principal Security Engineer Arden White, Principal Software Architect Scott Shell und Group Engineering Manager Richard Powell dazu veranstaltet. Die US-amerikanische IT-Nachrichtenseite Windowslatest nahm daran teil und fasst die Ergebnisse zusammen. Demnach lassen sich die Folgen für Windows-PCs mit veralteten, abgelaufenen Secure-Boot-Zertifikaten folgendermaßen zusammenfassen:
Wenn Sie die Frist für das Secure-Boot-Zertifikat im Juni 2026 ignorieren, starten Ihre Windows-11-PCs zwar weiterhin und laufen normal, doch die Systemsicherheit wird dauerhaft beeinträchtigt, da Microsoft keine bootkritischen Updates und Malware-Blacklists (DBX-Sperrlisten) mehr bereitstellt. Sie können den Secure-Boot-Status in der Windows-Sicherheits-App überprüfen.
Wenn Sie das neue Secure_Boot-Zertifikat für 2023 nicht installiert haben, wird Ihr PC den neuesten Windows Boot Manager nicht ausführen. Daher wird Microsoft Ihnen keine Sicherheitsupdates mehr für bootkritische Binärdateien zur Verfügung stellen. Außerdem kann Ihr System keine neuen DBX-Sperrlisten mehr herunterladen, wodurch Sie dauerhaft der Gefahr durch zukünftige Bootkit-Malware ausgesetzt sind. Zudem werden sich künftige Windows-Updates, die neue Funktionen für das Betriebssystem bringen, nicht mehr installieren lassen.
Gut zu wissen
Sehr alte Rechner, die noch nicht UEFI, sondern BIOS nutzen, sollen von dem Problem nicht betroffen sein und das entsprechende Update nicht bekommen. Microsoft ergänzt, dass es vollkommen normal sei, dass Ihr Windows-Rechner für die Installation der neuen Secure-Boot-Zertifikate mehrmals neu startet (wie wir in diesem Artikel erklärt haben). Eine eventuell vorhandene Bitlocker-Verschlüsselung muss nicht aufgehoben werden. In komplexen Unternehmensumgebungen können aber zusätzliche Maßnahmen erforderlich sein.
So checken Sie den Status Ihres Windows-PCs
In den Windows-Einstellungen können Sie unter “Datenschutz und Sicherheit, Windows-Sicherheit, Gerätesicherheit” prüfen, ob mit Secure Boot auf Ihrem Rechner alles in Ordnung ist. Erscheint dort bei “Sicherer Start” ein kleiner grüner Kreis mit einem weißen Haken darin, dann passt alles: Alle neuen Secure-Boot-Zertifikate sind installiert und Ihr Windows-Rechner ist somit fit für die Juni-2026-Deadline.
Erscheint dort dagegen ein gelber oder roter Alarm, dann sollten Sie die dort angebotenen weiterführenden Informationen lesen.
