
Was ist Secure Boot – und warum läuft es dir gerade die Hacken hoch?
Stell dir vor, dein Computer wäre ein Hochsicherheitsgebäude. Jede Person, die morgens reinkommt, muss einen Ausweis vorzeigen – nur wer auf der Liste steht, darf rein. Secure Boot ist genau dieser Türsteher. Nur dass er nicht an der Eingangstür sitzt, sondern tief im Inneren deines Computers: in der UEFI-Firmware, noch bevor Windows oder Linux auch nur ein einziges Mal blinzelt.
Seit Windows 8 ist Secure Boot auf nahezu allen modernen PCs standardmäßig aktiv. Die Idee dahinter ist brilliant einfach: Bevor das Betriebssystem startet, prüft die Firmware anhand kryptografischer Zertifikate, ob der Bootloader wirklich vertrauenswürdig ist. Stimmt etwas nicht – etwa weil Malware sich in den Startprozess eingeschleust hat – verweigert der Rechner den Start. Kein Ton, kein Startlogo, keine Chance für den Angreifer.
Aber was, wenn der Türsteher seinen eigenen Ausweis vergisst?
Das Problem: Die Schlüssel aus dem Jahr 2011 laufen ab

Hier wird es konkret – und hier fangen viele Artikel an, wichtige Details wegzulassen. Deshalb schauen wir tiefer rein.
Die Secure-Boot-Zertifikate, die Microsoft 2011 gemeinsam mit den ersten UEFI-Systemen ausgestellt hat, wurden für eine Lebensdauer von rund 15 Jahren konzipiert. Diese Zeit läuft jetzt ab. Microsoft hat das Thema im Juni 2025 offiziell adressiert – der entsprechende TechCommunity-Beitrag „Act now: Secure Boot certificates expire in June 2026″ beschreibt die Situation und die betroffenen Zertifikate im Detail.
- 🔴 Juni 2026: Microsoft Corporation KEK CA 2011 und UEFI CA 2011 verlieren ihre Gültigkeit
- 🔴 Oktober 2026: Windows Production PCA 2011 folgt
Microsoft hat 2023 bereits Nachfolger-Zertifikate veröffentlicht und rollt diese seither aus. Die gute Nachricht zuerst: Dein Rechner wird nach dem Stichtag nicht einfach nicht mehr starten. Windows prüft beim Bootvorgang aktuell nicht das Ablaufdatum der Zertifikate.
Aber – und das ist der Teil, den die meisten Artikel nur im Kleingedruckten erwähnen – das eigentliche Problem liegt tiefer:
Ohne die neuen Zertifikate kann dein System künftig keine neuen Schutzmechanismen für Secure Boot mehr übernehmen. Der Rechner läuft, aber er ist sicherheitstechnisch eingefroren – und neue Boot-Bedrohungen können nicht mehr abgewehrt werden.
Das klingt nach einem technischen Detail. Es ist aber der Unterschied zwischen einem Sicherheitssystem, das wächst, und einem, das langsam blind wird.
Warum das Timing so brisant ist: BlackLotus und die neue Generation der Bootkits

Um zu verstehen, warum der Zertifikatsablauf so gefährlich ist, müssen wir einen kurzen Schritt zurücktreten und uns ansehen, was Angreifer in den letzten Jahren damit gemacht haben – und was sie in Zukunft machen werden.
BlackLotus war 2023 ein Weckruf für die gesamte Security-Branche. Es war das erste bekannte UEFI-Bootkit, das Secure Boot auf vollständig gepatchten Windows-11-Systemen umgehen konnte. Nicht durch einen Zero-Day in der Firmware – sondern durch eine elegante, fast geniale Hintertür: Es nutzte ältere, aber noch gültig signierte Bootloader-Binaries, die zwar gepatcht, aber nie aus der Vertrauensliste entfernt wurden. ESET hat die technische Analyse von BlackLotus als erste veröffentlicht und dokumentiert, wie tief sich das Bootkit im System verankert.
Das Ergebnis: BlackLotus konnte sich tief im Startprozess verankern, bevor Windows auch nur geladen war. Einmal drin, deaktivierte es BitLocker, Windows Defender und sogar Hyper-V-Schutzfunktionen. Und das Schlimmste: Es war für ca. 5.000 Dollar im Darknet kaufbar – kein staatlicher Akteur nötig.
Die Verbindung zum Zertifikatsablauf: Genau diese Art von Angriff – neue Bootkit-Varianten, neue Schwachstellen – kann nach Juni 2026 auf Systemen ohne die neuen Zertifikate nicht mehr durch Boot-Updates entschärft werden. Das System empfängt schlicht keine neuen Sicherheitsupdates für den Bootprozess mehr.
Parallel dazu wurde Ende 2024 mit Bootkitty das erste UEFI-Bootkit für Linux öffentlich dokumentiert. Es ist bisher nur ein Proof-of-Concept – aber die Richtung ist klar: Die Bedrohungslage betrifft inzwischen alle Plattformen.
Was viele vergessen: Der Unterschied zwischen „aktualisiert“ und „aktiviert“
Hier ist das Detail, das selbst IT-erfahrene Nutzer und Admins regelmäßig übersehen – und das die meisten anderen Artikel nicht erklären:
Es reicht nicht, die neuen Zertifikate auf dein System zu importieren. Sie müssen auch vollständig aktiviert sein. Das sind drei verschiedene Zustände:
- Vorbereitet: Das Zertifikat ist auf dem System vorhanden, aber noch nicht in der Firmware aktiv
- Importiert: Es wurde in die UEFI-Datenbank geschrieben – aber der Neustart fehlt noch
- Aktiviert: Nach einem Reboot hat die Firmware die Änderung übernommen. Erst jetzt ist das System wirklich geschützt
Microsoft dokumentiert, dass der geplante Task „Secure-Boot-Update“ für diesen Prozess entscheidend ist. Fehlt dieser Task, ist er deaktiviert, oder läuft er nicht sauber durch – etwa weil ein vorheriges fehlgeschlagenes Update das System in einem Zwischenzustand hinterlassen hat – kann ein Gerät in einem halbfertigen Zustand hängen. Auf den ersten Blick sieht das wie ein Erfolg aus. Technisch ist es keiner.
Genau das ist vielen Administratoren passiert, die versucht haben, die Zertifikate in Windows 10 IoT oder älteren Enterprise-Versionen manuell zu aktualisieren – und am Ende mit Fehlermeldungen wie UEFICA2023Error=0x80070002 oder Datei nicht gefunden konfrontiert wurden.
Für Privatanwender: Was musst du konkret tun?

Die gute Nachricht: Für die meisten Heimanwender mit aktuellem Windows ist der Aufwand überschaubar. Hier ist was du brauchst:
Schritt 1: Prüfen ob Secure Boot überhaupt aktiv ist
- Drücke Windows-Taste + R, tippe
msinfo32und drücke Enter - Suche den Eintrag „Sicherer Startzustand“
- Steht dort „Ein“, ist Secure Boot aktiv ✅
- Steht dort „Aus“ oder „Nicht unterstützt“: Secure Boot ist deaktiviert oder die Hardware unterstützt es nicht
Schritt 2: Windows-Updates durchführen
Wenn du Windows 11 nutzt und regelmäßig Updates installierst, passiert das meiste automatisch. Microsoft verteilt die neuen Zertifikate über Windows Update im Rahmen eines sogenannten Controlled Feature Rollout. Stelle sicher, dass du:
- Mindestens Windows 11 22H2 oder neuer installiert hast
- Alle angebotenen Updates inklusive optionaler Firmware-Updates installierst
- Deinen PC nach Updates neu startest – ohne Neustart wird kein Zertifikat aktiviert
Windows 10: Besondere Vorsicht
Windows 10 hat seit Oktober 2025 keinen regulären Support mehr. Microsoft hat die Zertifikatsupdates zwar in die letzten Windows-10-Updates integriert – aber nur für Version 22H2. Ältere Versionen erhalten schlicht keine Updates mehr. Wenn du Windows 10 weiter nutzt, überprüfe:
- Hast du Windows 10 22H2? (Prüfen: Windows + R →
winver) - Falls nicht: Führe das Feature-Update auf 22H2 durch, bevor der Patch-Kanal schließt
- Prüfe beim Hersteller deines PCs ob ein BIOS/UEFI-Update verfügbar ist
BitLocker-Nutzer: Wiederherstellungsschlüssel sichern
Das wird oft vergessen: Wenn du BitLocker (die Windows-Laufwerkverschlüsselung) aktiviert hast, solltest du jetzt deinen BitLocker-Wiederherstellungsschlüssel sichern und griffbereit haben. Nach Firmware- oder Secure-Boot-Änderungen kann Windows beim nächsten Start diesen Schlüssel anfordern. Ohne ihn kommst du nicht mehr an deine Daten.
Den Schlüssel findest du unter: Einstellungen → Datenschutz & Sicherheit → Geräteverschlüsselung, oder unter deinem Microsoft-Konto auf account.microsoft.com/devices/recoverykey
Für Unternehmen: Wo die wirkliche Arbeit liegt

Für IT-Admins und Unternehmen ist das Thema deutlich komplexer – und der Zeitdruck ist real. Hier sind die Punkte, die in der täglichen Praxis am meisten Aufwand erzeugen:
Windows Server: Kein automatisches Update
Das ist der größte Unterschied zu Consumer-Systemen: Windows Server erhält die neuen Zertifikate nicht automatisch über Windows Update. Administratoren müssen die Aktualisierung manuell anstoßen. Eine Ausnahme bilden nur Systeme mit Hardware-Zertifizierung für Windows Server 2025 – dort sind die 2023er-Zertifikate bereits in der Firmware enthalten.
Für alle anderen gilt: manuell, kontrolliert, mit Testlauf in einer Pilotgruppe. Microsoft stellt dafür das offizielle Secure Boot Playbook für ablaufende Zertifikate bereit – ein Pflicht-Lesezeichen für jeden Admin.
Inventarisierung zuerst
Bevor irgendetwas aktualisiert wird, braucht ihr einen vollständigen Überblick. Mit PowerShell lässt sich das effizient automatisieren:
# Secure Boot Status auf allen Domänenrechnern prüfen
$computers = Get-ADComputer -Filter * -SearchBase "OU=Server,DC=domain,DC=local"
$results = foreach ($pc in $computers) {
Invoke-Command -ComputerName $pc.Name -ScriptBlock {
[PSCustomObject]@{
Computer = $env:COMPUTERNAME
SecureBoot = Confirm-SecureBootUEFI
OS = (Get-CimInstance Win32_OperatingSystem).Caption
BIOSVersion = (Get-CimInstance Win32_BIOS).SMBIOSBIOSVersion
}
} -ErrorAction SilentlyContinue
}
$results | Export-Csv -Path "SecureBoot_Audit.csv" -NoTypeInformation
Die häufigsten Probleme in der Praxis
Aus der Community und IT-Foren kristallisieren sich immer wieder dieselben Stolpersteine heraus:
- Ältere Hardware ohne UEFI-Update: Manche Hersteller (z.B. Acer für bestimmte Gerätegenerationen) haben angekündigt, BIOS-Updates erst im ersten Quartal 2026 bereitzustellen – oder gar nicht. Vor allem für Geräte, die 10+ Jahre alt sind, gibt es schlicht keine Firmware-Updates mehr.
- Halbfertige Zertifikatszustände: Ein Zertifikat kann laut Status als „installiert“ gelten, obwohl der entscheidende Neustart noch fehlt. Das PowerShell-Modul
UEFIv2hilft bei der Diagnose:Get-UEFISecureBootCerts db | select SignatureSubject - Dual-Boot-Systeme (Windows + Linux): Wer beide Systeme auf einem Rechner betreibt, muss sicherstellen, dass der Linux-GRUB-Bootloader mit den neuen Zertifikaten kompatibel ist – und entsprechend aktuell gehalten wird.
- Windows 10 Enterprise LTSC / IoT-Varianten: Diese Versionen folgen anderen Update-Zyklen und haben in der Praxis die meisten Probleme beim Zertifikatswechsel gezeigt. Microsoft hat eigene Fehler in der Dokumentation eingeräumt (falsch dokumentierte Bitwerte für den Installationstask).
BSI-Empfehlung im Blick behalten
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in seinen IT-Grundschutz-Kompendium die konsequente Aktivierung und Pflege von Secure Boot als Teil der Absicherung des Boot-Prozesses. Unternehmen, die nach BSI-Standards oder ISO 27001 zertifiziert sind oder anstreben, sollten den Zertifikatswechsel explizit in ihrer Dokumentation abbilden.
Die Admin-Checkliste für 2026
Als strukturierte Roadmap für IT-Abteilungen:
- ✅ Secure-Boot-Status aller Systeme inventarisieren (inkl. VMs)
- ✅ BitLocker-Wiederherstellungsschlüssel dokumentieren und zentral sichern
- ✅ BIOS/UEFI-Firmware-Updates aller OEM-Hersteller recherchieren und einplanen
- ✅ Pilotgruppe für Zertifikatstausch definieren und testen
- ✅ Windows-Server-Systeme manuell aktualisieren (kein automatisches Rollout!)
- ✅ Dual-Boot-Systeme auf Kompatibilität prüfen
- ✅ Windows 10-Systeme: ESU-Lizenzen klären (ab 61 $ pro Gerät/Jahr)
- ✅ Nach jedem Update: Status via PowerShell verifizieren, nicht nur optisch annehmen
Der Elefant im Raum: Was passiert, wenn gar nichts gemacht wird?
Kurz und ehrlich gesagt: Dein Rechner startet auch nach Juni 2026 noch. Das ist keine Fehlfunktion, das ist so designed. Microsoft hat angekündigt, den Stichtag weich zu gestalten – kein harter Cut, bei dem plötzlich Millionen Rechner nicht mehr booten.
Aber was du verlierst:
- Neue Bootloader-Signaturen werden nicht mehr erkannt
- Sicherheitsupdates für den Windows Boot Manager bleiben aus
- Drittanbieter-Software, die mit den neuen 2023er-Zertifikaten signiert wurde, gilt als nicht vertrauenswürdig
- Bekannte Angriffsvektoren wie BlackLotus-Varianten können nicht mehr durch Boot-Updates entschärft werden – Microsoft beschreibt die technischen Details dazu in KB5025885
Das System läuft weiter – aber es ist, als würdest du deinen Türsteher beurlauben und die Schlossliste einfrieren. Funktioniert eine Weile. Bis jemand einen neuen Schlüssel kopiert.
Fazit: Kein Grund zur Panik – aber ein klarer Handlungsauftrag

Secure Boot ist keine Randnotiz in der Systemkonfiguration – es ist die erste und tiefste Verteidigungslinie deines Computers. Die Tatsache, dass die Zertifikate aus dem Jahr 2011 jetzt ablaufen, ist kein Versagen des Systems. Es ist der normale Lebenszyklus kryptografischer Infrastruktur. Aber er muss aktiv gemanagt werden.
Die drei wichtigsten Takeaways:
- Privat: Windows-Updates laufen lassen, nach Updates neu starten, BitLocker-Schlüssel sichern. Das war’s.
- Unternehmen: Inventar aufnehmen, Server manuell aktualisieren, Pilottests durchführen – und das noch vor Juni 2026.
- Alle: Den Status nicht nur optisch checken. Ein Zertifikat gilt erst dann als aktiv, wenn der Neustart vollständig war und die Firmware die Änderung übernommen hat.
Die Bedrohungslage durch UEFI-Bootkits ist real und wächst. Wer Secure Boot sauber hält, hat die tiefste Verteidigungsschicht seines Systems im Griff – und das ist im Jahr 2026 kein Nice-to-have mehr, sondern Pflicht.
Hat dir dieser Artikel geholfen? Teile ihn mit jemandem aus deiner IT-Abteilung oder deinem Bekanntenkreis, der noch nicht von diesem Thema gehört hat. Und falls du Fragen hast oder auf konkrete Probleme beim Update gestoßen bist – schreib es in die Kommentare.