Rund um Windows 11 taucht aktuell häufiger die Meldung auf, dass Secure-Boot-Zertifikate im Jahr 2026 ablaufen. Das klingt dramatischer, als es für die meisten Einzel-PCs zunächst ist. Trotzdem sollten Unternehmen und technisch betreute Umgebungen das Thema ernst nehmen, denn es betrifft einen sehr frühen und sicherheitsrelevanten Teil des Startvorgangs.
Wichtig ist die Einordnung: Nicht Secure Boot als Funktion läuft ab. Betroffen sind ältere Microsoft-Zertifikate aus dem Jahr 2011, die in UEFI-Firmware und Secure-Boot-Datenbanken verwendet werden. Microsoft ersetzt sie durch Zertifikate aus dem Jahr 2023, damit Windows-Systeme auch künftig Bootloader, UEFI-Komponenten und sicherheitsrelevante Boot-Updates korrekt vertrauen können.
Warum das Thema jetzt relevant wird
Microsoft nennt für die alten Zertifikate konkrete Ablaufdaten im Jahr 2026. Unter anderem läuft die Microsoft Corporation KEK CA 2011 am 24. Juni 2026 ab, die Microsoft UEFI CA 2011 am 27. Juni 2026 und die Microsoft Windows Production PCA 2011 am 19. Oktober 2026. Damit entsteht kein sofortiger schwarzer Bildschirm bei jedem PC, aber ein Sicherheitsfenster, das sauber geschlossen werden sollte.
Die gute Nachricht: Viele private und nicht zentral verwaltete Windows-Geräte erhalten die neuen Zertifikate über Windows Update. Microsoft rollt die Aktualisierung phasenweise aus. Je nach Gerät, Firmwarestand, Secure-Boot-Konfiguration und Verwaltungsmodell kann aber zusätzliche Prüfung notwendig sein.
Was passiert, wenn nichts getan wird?
Ein ungepflegtes System fällt nicht automatisch am Stichtag aus. Normale Windows-Updates können weiterhin installiert werden und der PC läuft in vielen Fällen erst einmal weiter. Das Risiko liegt tiefer: Neue Schutzmaßnahmen für den frühen Bootprozess, aktualisierte Secure-Boot-Datenbanken und bestimmte Absicherungen rund um Boot Manager, BitLocker und Revocation-Listen können dann nicht mehr zuverlässig greifen.
Für Einzelgeräte ist das unangenehm. Für Firmenumgebungen ist es ein echtes Betriebs- und Sicherheitsrisiko, weil viele Geräte, ältere Firmwarestände, Sonderhardware, virtuelle Maschinen oder zentral verwaltete Images betroffen sein können. Genau dort sollte man nicht darauf warten, dass irgendwann schon alles automatisch passt.
Was Windows-Nutzer jetzt prüfen sollten
- Windows Update aktuell halten: Die Zertifikatsaktualisierung wird in vielen Fällen automatisch verteilt.
- Updateverlauf prüfen: Unter Einstellungen > Windows Update > Updateverlauf kann ein Eintrag zur Secure-Boot-Signaturdatenbank auftauchen.
- Windows-Sicherheit beachten: Microsoft ergänzt Hinweise zum Secure-Boot-Zertifikatsstatus in der Windows-Sicherheits-App.
- Firmware aktualisieren: Bei PCs, Notebooks und Servern lohnt sich ein Blick auf BIOS- beziehungsweise UEFI-Updates des Herstellers.
- Secure Boot nicht vorschnell deaktivieren: Das kann Symptome kaschieren, reduziert aber den Schutz gegen Bootkits und andere Angriffe vor dem Windows-Start.
Bei einzelnen Windows-11-Notebooks reicht oft: Windows Update laufen lassen, Neustarts durchführen und den Updateverlauf kontrollieren. In einer betreuten Umgebung sollte man zusätzlich Inventarisierung, Testgruppe, Firmwarestand und Rollout-Status dokumentieren.
Besonders wichtig für Unternehmen
Wer Windows-Geräte zentral verwaltet, sollte das Thema wie ein kleines Infrastrukturprojekt behandeln. Dazu gehören eine Geräteübersicht, eine Pilotgruppe mit typischen Hardwaremodellen, ein Blick auf Intune, WSUS oder andere Updatewege sowie ein Plan für Geräte, die Firmware-Updates nur manuell oder über Hersteller-Tools erhalten.
Auch virtuelle Umgebungen verdienen Aufmerksamkeit. Bei Azure Virtual Desktop, Windows 365, Azure Local und ähnlichen Plattformen gibt es eigene Microsoft-Hinweise. Entscheidend ist, ob Secure Boot aktiv ist, wie Images gepflegt werden und ob die neuen 2023-Zertifikate im jeweiligen Szenario korrekt ankommen.
Pragmatische Empfehlung
Für normale Anwender lautet die Empfehlung: Windows Update nicht aufschieben, Geräte nach Updates wirklich neu starten und bei älterer Hardware die Herstellerseite auf Firmware-Updates prüfen. Für Unternehmen: Jetzt eine kurze Bestandsaufnahme machen, repräsentative Geräte testen und die Secure-Boot-Aktualisierung nicht erst kurz vor Ablauf der Zertifikate anfassen.
Das Thema ist kein Grund zur Panik, aber ein guter Anlass, die Update- und Firmwarepflege einmal sauber anzuschauen. Gerade kleine Unternehmen profitieren davon, wenn solche Basisthemen nicht erst dann Beachtung bekommen, wenn ein Gerät nicht mehr sauber startet oder Sicherheitsfunktionen nur noch eingeschränkt greifen.
Quelle zur technischen Einordnung: Microsoft Support dokumentiert die Secure-Boot-Zertifikatsabläufe und die Umstellung auf die 2023-Zertifikate unter Windows Secure Boot certificate expiration and CA updates.