Secure Boot Zertifikate 2026: Windows-PCs rechtzeitig absichern

Tief in der Firmware Ihres Computers tickt eine Uhr — und sie betrifft die Secure Boot Zertifikate, auf denen die Sicherheit des Windows-Starts seit anderthalb Jahrzehnten ruht. Am 24. Juni 2026 läuft das erste von drei Zertifikaten ab. Sie zeigt kein Datum auf dem Bildschirm, sie meldet sich nicht mit einem Warnton – und doch entscheidet sie darüber, wie gut Ihr Rechner ab diesem Sommer noch geschützt ist.

Was dann passiert, ist kein lauter Knall. Es ist etwas Unauffälligeres – und gerade deshalb tückisch: Stille. Wer die Secure Boot Zertifikate jetzt nicht prüft, riskiert einen Schutz, der im Verborgenen einfriert.

Secure Boot Zertifikate: Eine Uhr, die 2011 zu ticken begann

Secure Boot ist die Türsteher-Funktion Ihres PCs. Sie sitzt in der UEFI-Firmware, noch vor dem Betriebssystem, und prüft beim Einschalten: Darf diese Startsoftware geladen werden – oder hat sich hier jemand eingeschlichen? Damit das funktioniert, vertraut der Rechner einer Handvoll digitaler Zertifikate. Nur was damit signiert ist, kommt durch die Tür.

Diese Vertrauensbasis stammt zum großen Teil aus dem Jahr 2011 – und jedes Zertifikat hat ein Verfallsdatum. Microsoft ersetzt die alten Schlüssel jetzt durch neue aus dem Jahr 2023. Drei Secure Boot Zertifikate erreichen das Ende ihrer Laufzeit, gestaffelt über vier Monate:

• KEK CA 2011 – läuft ab am 24. Juni 2026
• UEFI CA 2011 – läuft ab am 27. Juni 2026
• Windows Production PCA 2011 – läuft ab am 19. Oktober 2026

Der erste harte Schnitt fällt also Ende Juni. Der zweite, schwerere folgt im Oktober.

Die gute Nachricht zuerst: Ihr PC stirbt nicht

Atmen Sie durch. Anders als manche Schlagzeile suggeriert, fällt am 24. Juni kein einziger Rechner in Ohnmacht. Windows prüft beim Start derzeit gar nicht, ob diese Zertifikate noch gültig sind. Bereits vorhandene Signaturen bleiben wirksam. Ihr Computer bootet weiter, als wäre nichts geschehen – und bekommt auch ganz normale Windows-Updates. Genau hier liegt die Falle.

Die schlechte Nachricht: Der Schutz erodiert im Verborgenen

Ein Gerät, das den Sprung auf die 2023er-Zertifikate verpasst, kann ab dem Stichtag keine neuen Signaturen auf Boot-Ebene mehr akzeptieren. Klingt technisch, hat aber eine konkrete Konsequenz: Sobald Microsoft einen frisch gehärteten Bootmanager ausliefert – etwa als Antwort auf ein neu entdecktes Bootkit – prallt dieses Update an Ihrem veralteten PC ab.

Der Schutz friert ein. Lautlos, ohne Fehlermeldung im Alltag, auf dem Stand von Juni 2026. Schädlinge wie der Bootkit BlackLotus (CVE-2023-24932) haben gezeigt, wie real diese Gefahr ist: Solche Angriffe nisten sich noch vor Windows ein und sind für klassische Virenscanner praktisch unsichtbar. Wer den Zertifikatswechsel verschläft, lässt die Tür für die nächste Generation dieser Angriffe einen Spalt offen – und merkt es nicht einmal.

Es ist also kein Notfall. Es ist eine Frist. Und Fristen, die niemand spürt, sind die, die man am leichtesten verpasst. Genau deshalb gehört das Thema auf die Agenda jeder ernsthaften IT-Sicherheit-Strategie.

Secure Boot Zertifikate prüfen: Der Zwei-Minuten-Test

Bevor Sie sich Sorgen machen, schauen Sie nach. Seit den Updates vom Frühjahr 2026 verrät Windows den Status selbst:

• App Windows-Sicherheit öffnen (über die Suche in der Taskleiste)
• In den Bereich Gerätesicherheit wechseln
• Den Abschnitt Sicherer Start aufrufen

Dort wartet eine von drei Ampelfarben:

• Grün – alles aktuell. Lehnen Sie sich zurück.
• Gelb – der PC läuft noch mit dem alten Zertifikat, das passende Update steht aber bereit. Jetzt handeln.
• Rotes Stopp-Symbol – ein Boot-Sicherheitsupdate liegt vor, lässt sich aber nicht mehr installieren. Das dringendste Signal überhaupt.

Der einfache Weg: einfach updaten

In den allermeisten Fällen erledigt sich die Sache von selbst. Microsoft verteilt die neuen Zertifikate seit Januar 2026 über Windows Update – allerdings bewusst in kleinen Wellen: Ein Gerät bekommt sie erst, wenn es zuvor genug fehlerfreie Updates gemeldet hat. Was Sie tun können, um nachzuhelfen:

• Einstellungen → Windows Update (Windows 11) bzw. Update & Sicherheit (Windows 10) öffnen
• Nach Updates suchen, alles installieren, neu starten
• In Einzelfällen ein BIOS-/Firmware-Update des Herstellers nachziehen, damit das Gerät die neuen Zertifikate annimmt
• Status erneut in Windows-Sicherheit prüfen

Wenn die Updates ausbleiben

Tut sich nichts, gibt es zwei typische Verdächtige.

Verdächtiger 1 – das Update ist gescheitert. Spuren finden Sie in der Ereignisanzeige unter `Anwendungs- und Dienstprotokolle/Microsoft/Windows/WindowsUpdateClient/Operational`. Manche UEFI-Setups bieten einen Schalter, der Secure Boot auf Werkseinstellungen zurücksetzt – die Brechstange für hartnäckige Fälle.

Verdächtiger 2 – kein Support, keine Updates. Ohne gültigen Support liefert Microsoft die Zertifikate schlicht nicht aus:

• Windows 10 ist seit Oktober 2025 aus dem regulären Support. Zertifikate und Statusanzeige bekommen nur noch Geräte im kostenpflichtigen ESU-Programm.
• Windows 11 wird je Version nur zwei Jahre versorgt (Enterprise/Education: drei). Home und Pro brauchen daher mindestens den Stand 24H2; ältere wie 23H2 oder 22H2 gehen leer aus.

Wer partout bei einer alten Version bleiben will, kann das Zertifikatsupdate teils manuell nachziehen. Microsoft dokumentiert das Vorgehen im Knowledge-Base-Artikel KB5025885, der laufend ergänzt wird – ein Lesezeichen, das sich lohnt.

Server vergessen sich selbst

Für alle, die mehr als den eigenen Schreibtisch-PC verantworten, der wichtigste Satz dieses Artikels: Windows Server tauscht die Secure Boot Zertifikate nicht von allein. Anders als bei Client-PCs müssen Administratoren die Umstellung selbst anstoßen – per Skript, Gruppenrichtlinie oder über ein Management-Werkzeug wie Microsoft Intune. Ausnahme sind Systeme mit Hardwarezertifizierung für Windows Server 2025.

Auch bei zentral verwalteten Firmen-Clients erscheint die Statusanzeige nicht von selbst; die IT muss sie aktivieren. Wer einen größeren Gerätepark betreut, sollte vor Juni 2026 einen Pilotlauf einplanen, statt blind auf die Automatik zu vertrauen – ein klassischer Fall für strukturierte Managed Services mit zentralem Patch-Management. Microsoft stellt dafür ein eigenes „Secure Boot Playbook“ bereit.

Die Notbremse – und warum Sie sie meiden sollten

Wenn wirklich nichts hilft, lässt sich Secure Boot im UEFI abschalten. Damit verschwindet das Zertifikatsproblem – zusammen mit dem Schutz, den die Funktion überhaupt erst bietet. Für produktive Systeme ist das keine Lösung, sondern eine Notbremse für wenige Stunden. Geräte mit klassischem BIOS oder im Legacy-/CSM-Modus sind ohnehin nicht betroffen, ebenso Systeme, auf denen Secure Boot nie aktiv war.

Ihre Checkliste gegen den Stichtag

• Status prüfen: Windows-Sicherheit → Gerätesicherheit → Sicherer Start
• Grün? Nichts tun.
• Gelb? Alle Windows-Updates einspielen, neu starten, ggf. BIOS-Update nachziehen.
• Keine Updates? Support-Status klären (Windows-Version, ESU bei Windows 10).
• Server und verwaltete Geräte? Umstellung aktiv anstoßen – nicht auf die Automatik warten.
• KB5025885 als Lesezeichen speichern. Dort steht stets der aktuelle Stand.

Orientierung zum sicheren Systemstart und zu UEFI/Secure Boot bietet auch das BSI zum Thema Secure Boot. Als IT-Systemhaus aus Düsseldorf begleiten wir Unternehmen seit 1992 bei genau solchen Stichtagen – von der IT-Systembetreuung bis zur Reaktion im Ernstfall.

Häufige Fragen zu den Secure Boot Zertifikaten

Wann genau laufen die Zertifikate ab?

KEK CA 2011 am 24. Juni 2026, UEFI CA 2011 am 27. Juni 2026, Windows Production PCA 2011 am 19. Oktober 2026.

Bootet mein PC danach nicht mehr?

In aller Regel doch. Windows prüft das Ablaufdatum beim Start derzeit nicht, vorhandene Signaturen bleiben gültig. Verloren geht die Fähigkeit, neue Sicherheitsupdates auf Boot-Ebene zu installieren.

Muss ich selbst etwas tun?

Auf einem aktuell gehaltenen PC meist nicht – die neuen Zertifikate kommen automatisch. Den Status sollten Sie trotzdem einmal prüfen.

Was ist mit Windows 10?

Windows 10 ist seit Oktober 2025 aus dem regulären Support. Zertifikate und Statusanzeige erhalten nur noch Geräte im kostenpflichtigen ESU-Programm.

Und Server?

Windows Server aktualisiert die Secure Boot Zertifikate nicht automatisch – Administratoren müssen die Umstellung selbst initiieren.

_Stand: Juni 2026. Termine und Empfehlungen können sich ändern – maßgeblich ist der jeweils aktuelle Stand der Microsoft-Dokumentation (KB5025885)._