Windows Secure Boot

Windows Secure Boot schützt den Startprozess – 2026 laufen wichtige Zertifikate aus. Wer nicht aktualisiert, riskiert eine veraltete Boot-Sicherheitsbasis, obwohl der PC weiter startet.

Windows Secure Boot ist ein Sicherheitsmechanismus im UEFI, der schon beim Einschalten prüft, ob Boot-Komponenten (z. B. Bootloader) vertrauenswürdig signiert sind. UEFI (Unified Extensible Firmware Interface) ist die moderne Nachfolge des BIOS und startet den PC: Es initialisiert die Hardware und lädt das Betriebssystem – noch bevor Windows beginnt.

Damit soll verhindert werden, dass manipulierte oder unbekannte Software noch vor dem Start von Windows ausgeführt wird – ein typischer Einstiegspunkt für Bootkits. Secure Boot ist damit ein zentraler „Vertrauensanker“ moderner Windows-Systeme und spielt besonders in Unternehmensumgebungen eine wichtige Rolle, weil viele Schutzmechanismen erst nach dem Systemstart greifen.

Microsoft beschreibt die anstehende Aktualisierung als geplante, generationenübergreifende Erneuerung des Secure-Boot-Ökosystems, um die Plattform langfristig widerstandsfähig zu halten.

Warum 2026 ein Stichtag ist

Die heute weit verbreiteten Secure-Boot-Zertifikate wurden ursprünglich im Jahr 2011 ausgestellt und erreichen nun nach mehr als 15 Jahren ihr Lebensende. Ab Juni 2026 beginnen zentrale Zertifikate auszulaufen; weitere Abläufe folgen dann im Herbst. Microsoft betont dabei ausdrücklich: Windows-PCs werden auch nach Juni 2026 weiter booten – es gibt also keinen „Stichtag, ab dem nichts mehr geht“.

Der Haken liegt in der Zukunftsfähigkeit: Systeme, die die neuen Zertifikate nicht erhalten, können in einen Zustand geraten, in dem sie künftige, neu signierte Boot-Komponenten nicht mehr als vertrauenswürdig akzeptieren. Dann drohen langfristig Lücken genau in der Startphase, wo Angriffe besonders kritisch sind.

Was passiert, wenn Zertifikate nicht aktualisiert werden?

Ohne die aktualisierten CA-Einträge ist das Gerät nicht sofort „kaputt“, aber die Sicherheitsbasis im Boot-Prozess veraltet. Microsoft und mehrere Technikmedien sprechen in diesem Zusammenhang von einem möglichen „degraded security state“: Der Rechner läuft zwar weiter, aber Schutzmaßnahmen, die neue Signaturen oder aktualisierte Bootloader erfordern, können ausbleiben.

Das betrifft insbesondere Updates, die den frühen Startprozess härten – also genau die Stelle, die Bootkits ausnutzen. Für Unternehmen ist das riskant, weil sich die Wirksamkeit von Security-Updates nicht nur an „Patch installiert“ misst, sondern daran, ob die gesamte Chain of Trust vom UEFI bis ins OS aktuell bleibt. Kurz: Ohne Zertifikats-Refresh bleibt Secure Boot funktionsfähig, aber nicht zwingend updatefähig.

Zusammenhang mit Bootkits wie BlackLotus

Warum diese Änderung so viel Aufmerksamkeit bekommt, zeigt der Blick auf reale Bedrohungen: Bootkits setzen extrem früh an und können Schutzmechanismen umgehen, bevor Endpoint-Security oder EDR überhaupt aktiv sind.

Das BlackLotus-Bootkit (CVE-2023-24932) gilt als prominentes Beispiel für einen Secure-Boot-Bypass, zu dem Microsoft ausführliche Enterprise-Guidance bereitstellt. Ziel der Maßnahmen ist es, verwundbare oder missbrauchte Boot-Artefakte (z. B. alte Bootloader) zu blockieren und die Integrität der Boot-Kette wiederherzustellen.

Genau dafür braucht es aber eine aktuelle, gepflegte Signatur- und Zertifikatslandschaft im UEFI. Wenn Geräte beim Zertifikatsstand von 2011 „stehen bleiben“, wird es schwieriger, neue Schutzmaßnahmen zuverlässig auszurollen – und das spielt Angreifern in die Karten.

So rollt Microsoft die neuen 2023-Zertifikate aus

Microsoft verteilt die neuen Secure-Boot-Zertifikate (2023-Generation) schrittweise – in vielen Fällen automatisch über reguläre Windows-Updates. Neuere Geräte (häufig ab 2024) sollen die aktualisierten Zertifikate teilweise bereits ab Werk enthalten.

Für Standard-Setups läuft der Wechsel meist im Hintergrund, sodass Anwender idealerweise nichts aktiv tun müssen außer Updates zu installieren und Firmware-Updates des Herstellers einzuspielen. Parallel stellt Microsoft ein „Playbook“ bereit, das die Umstellung, Tools und Vorgehensweisen beschreibt.

Wichtig ist der Zusammenspiel-Gedanke: Secure Boot sitzt im UEFI, daher kann es je nach Gerät erforderlich sein, dass OEM-Firmware-Updates den Prozess unterstützen. Wer Updates blockiert oder sehr alte Systeme betreibt, erhöht das Risiko, den Anschluss zu verlieren.

Sonderfälle: Dual-Boot, Altgeräte und IT-managed Updates

In manchen Umgebungen läuft die Umstellung nicht einfach im Hintergrund – hier lohnt sich ein genauer Blick, um späteren Problemen vorzubeugen. Komplexer wird etwa es bei Dual-Boot-Konfigurationen, Spezialhardware und älteren PCs mit Legacy-Altlasten: Dort können Bootloader-Signaturen, Secure-Boot-Policies und Firmware-Stände stärker variieren.

In Unternehmensumgebungen kommt hinzu, dass Updates oft zentral gesteuert werden. Microsoft dokumentiert für IT-managed Geräte einen Weg, den Zertifikats-Rollout gezielt anzustoßen und zu überwachen – unter anderem über den Registry-Wert AvailableUpdates sowie Statusfelder wie UEFICA2023Status. Damit lässt sich der Fortschritt pro Gerät nachvollziehen und Fehler können systematisch ausgewertet werden.

Für Admins heißt das nun konkret: nicht lange abwarten, sondern Bestände zeitnah inventarisieren (Secure-Boot-Status, Firmware-Versionen, Boot-Setups) und Sonderfälle frühestmöglich testen, bevor die Fristen näher rücken.

Was Sie jetzt konkret tun sollten

Für Endnutzer ist die Empfehlung simpel – und lässt sich ohne großen Aufwand umsetzen: Windows aktuell halten, Secure Boot aktiviert lassen und Firmware-/BIOS-Updates vom Hersteller einspielen. In Unternehmen sollte das Thema als Mini-Projekt laufen: Gerätebestand erfassen, Pilotgruppe definieren, Updatepfade (Windows Update vs. IT-managed) klären, Sonderfälle (Dual-Boot, Offline-Geräte, alte OEM-Images) priorisieren und Rollout-Monitoring etablieren.

So vermeiden Sie, dass einzelne Systeme unbemerkt auf einem alten Secure-Boot-Stand verharren. Wenn es Unsicherheiten gibt – etwa bei gemischten Hardware-Generationen oder strengen Change-Prozessen – lohnt sich Unterstützung durch IT-Experten: Sie helfen bei Inventarisierung, Firmware-Strategie, sauberer Update-Orchestrierung und Tests, damit Secure Boot auch 2026+ wirklich Schutz bietet.

Unterstützung durch IT-Experten: Secure Boot und Boot-Sicherheit

Der sichere Windows-Start erfordert mehr als nur „Secure Boot ist an“. Damit der Schutz wirksam bleibt, müssen UEFI-Firmware, Zertifikate und Boot-Komponenten dauerhaft gepflegt werden – sonst droht ab 2026 ein Sicherheitsstand, der zwar noch bootet, aber künftige Boot-Sicherheitsupdates ggf. nicht mehr sauber übernimmt.

Gerade in Unternehmen gehört dazu eine klare Update-Strategie, die auch Sonderfälle wie Dual-Boot, ältere Hardware oder streng gesteuerte Patchprozesse berücksichtigt. Im Mittelstand fehlen dafür häufig Zeit, Inventartransparenz oder das Spezialwissen rund um UEFI/Secure-Boot-Ketten. Das kann riskant werden, weil Bootkits und Secure-Boot-Bypässe wie BlackLotus gezielt die frühe Startphase angreifen – also bevor klassische Schutztools greifen.

Die Experten aus dem IT-SERVICE.NETWORK unterstützen bei Bestandsaufnahme (Secure-Boot-Status, Firmware-Stand), Rollout-Planung der 2023-Zertifikate (inkl. IT-managed Updates/Registry-Steuerung), Tests für Dual-Boot sowie bei Update- und Compliance-Dokumentation. Ziel ist ein Startprozess, der nicht nur funktioniert, sondern auch langfristig updatefähig und widerstandsfähig bleibt.

---

Weiterführende Informationen:
Golem, techcommunity.microsoft, support.microsoft
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.