Bootprobleme durch ablaufende Microsoft Secure-Boot-Zertifikate 2026

Von / 15. Juni 2026 / Schreibe einen Kommentar / Boot Lizenzen, EUFI, Secure Boot, Secure Boot Zertifikat, Windows, Windows Update

Betriebssysteme, Windows

StilisierterLaptop_mit_Sicherheitssymbol_auf_Schirm

Es klingt nach einem dieser sperrigen Themen, die man getrost den Admins überlassen kann: UEFI, Zertifikate, Schlüsseldatenbanken. Dann liest man in der Fachpresse von einem Secure-Boot-Desaster, von Millionen potenziell betroffener PCs, und plötzlich landet die Frage auch auf dem Schreibtisch im Handwerksbetrieb, in der Steuerkanzlei oder im häuslichen Arbeitszimmer: Bootet mein Rechner morgen noch?

Die kurze Antwort vorweg: ja, mit hoher Wahrscheinlichkeit schon. Die lange Antwort ist interessanter, und sie hat Konsequenzen, die Sie kennen sollten.

Technischer Hintergrund

Secure Boot ist eine Funktion in der UEFI-Firmware moderner Mainboards. Für Systeme die nicht im UEFI, sondern im “alten” im Legacy- oder CSM-Modus laufen, existiert das Problem nicht. UEFI prüft beim Hochfahren, ob der Bootloader (also die Software, die Windows oder Linux startet) mit einem vertrauenswürdigen Zertifikat signiert ist. Ziel: Schadsoftware, die sich vor dem Betriebssystem in den Startvorgang einklinkt (sogenannte Bootkits), soll keine Chance bekommen.

Damit das funktioniert, hat Microsoft 2011 eine eigene Zertifikatshierarchie aufgebaut, die auf praktisch jedem ab Windows 8 ausgelieferten PC im UEFI hinterlegt ist. Diese Zertifikate haben eine Laufzeit von 15 Jahren, und genau die endet jetzt.

Konkret betroffen sind laut Microsoft und IT-Administrator-Magazin drei Zertifikate:

  • Microsoft Corporation KEK CA 2011, Ablauf am 24. Juni 2026. Sie signiert Aktualisierungen der Schlüsseldatenbanken DB und DBX.
  • Microsoft Corporation UEFI CA 2011, Ablauf am 27. Juni 2026. Sie signiert Bootloader und Option-ROMs von Drittanbietern, darunter viele Linux-Distributionen, aber auch Firmware auf Grafikkarten oder RAID-Controllern.
  • Microsoft Windows Production PCA 2011, Ablauf am 19. Oktober 2026. Sie signiert den Windows-Boot-Manager selbst.

Microsoft stellt parallel neue Zertifikate aus dem Jahr 2023 bereit, die nach und nach über Windows Update in die UEFI-Firmware geschrieben werden. Soweit der Plan.

Konsequenzen des Zertifikatsablaufs

An dieser Stelle muss man die Panik etwas dämpfen. Microsoft schreibt in seinem deutschen Support-Dokument ausdrücklich: Geräte, die die neuen 2023er Zertifikate nicht erhalten haben, starten weiterhin normal und installieren auch reguläre Windows-Updates wie gewohnt. Auch heise und das IT-Administrator-Magazin bestätigen diese Einschätzung.

Das eigentliche Problem ist subtiler und schleichend:

  1. Keine Sicherheitsupdates mehr für den Startprozess. Microsoft signiert künftige Patches für den Windows-Boot-Manager mit den 2023er Schlüsseln. Wer die nicht im UEFI hat, kann diese Updates nicht mehr verifizieren. Sicherheitslücken auf Boot-Ebene (etwa in der Klasse von BlackLotus) bleiben offen.
  2. Keine Aktualisierung der Sperrliste DBX. Kompromittierte Bootloader können nicht mehr nachträglich gesperrt werden.
  3. Neue Hardware könnte Probleme machen. Grafikkarten oder RAID-Controller, die nach November 2026 produziert werden, tragen Option-ROMs mit 2023er Signaturen. Ohne die passenden Zertifikate im UEFI verweigert Secure Boot den Start solcher Komponenten.
  4. Linux-Distributionen. Auch die signiert Microsoft über die UEFI CA 2011. Aktuelle Installations- und Rescue-Medien funktionieren noch, künftige Versionen nicht mehr ohne Zertifikatsupdate.
  5. Rettungs- und Setup-Medien. Laut c’t 13/2026 sind auch Recovery- und Installationssticks betroffen, sofern sie mit den alten Zertifikaten signiert sind.

Sofort unbrauchbare Rechner sind also nicht das Hauptszenario. Das Hauptszenario ist eine Sicherheitslücke, die dort sitzt, wo sie potentiell gefährlich ist: vor dem Betriebssystem, also außerhalb der Reichweite jeder Virenschutzsoftware.

Wie real ist die Bootkit-Gefahr wirklich? Mäßig. Das prominenteste Beispiel BlackLotus setzt physischen Zugriff auf das Gerät und administrative Rechte voraus. Wer beides hat, kann ohnehin tiefgreifenden Schaden anrichten. Die c’t 13/2026 bewertet das reale Bootkit-Risiko für Privatanwender entsprechend als überschaubar.

So prüfen Sie Ihren Windows-PC

Microsoft verlangt für Windows 11, dass der Rechner Secure-Boot-fähig ist, nicht zwingend, dass die Funktion auch aktiv ist. Das heißt: Auch ein regulär installiertes Windows 11 kann mit deaktiviertem Secure Boot laufen, etwa weil der Nutzer es im UEFI ausgeschaltet hat (häufiger Grund: Dualboot mit älteren Linux-Systemen oder Live-USB-Sticks). Eine Statusprüfung lohnt sich also auf jedem System.

Interessanter als die Status-Frage ist beim aktuellen Thema, welche Zertifikate in der UEFI-Datenbank liegen. Drei Wege:

Systeminformationen für den Schnellblick: Windows-Taste + R, msinfo32 eingeben, Enter. Den Eintrag Sicherer Startzustand prüfen. Steht dort Ein, ist Secure Boot aktiv.

PowerShell als Administrator: Mit Confirm-SecureBootUEFI lässt sich der Zustand kurz abfragen. Das Cmdlet liefert True oder False.

Zertifikatsbestand auslesen: Die UEFI-Variable mit den Signaturdatenbanken kann in einer PowerShell mit Administratorrechten ausgelesen werden, etwa mit Get-SecureBootUEFI db. Die Ausgabe enthält die hinterlegten Zertifikate. Wer Treffer mit 2023 findet, hat die neuen Zertifikate bereits in der Firmware liegen. Die c’t 13/2026 hat zu diesem Thema fertige PowerShell-Skripte veröffentlicht, die den Inhalt strukturiert aufbereiten.

Empfehlungen für Privatanwender

Für die meisten privaten Nutzer mit Windows 10 oder Windows 11 ist die Sache vergleichsweise entspannt, sofern drei Bedingungen erfüllt sind:

  1. Windows Update läuft regelmäßig und vollständig. Microsoft verteilt die neuen Zertifikate seit 2024 in Wellen über Windows Update. Wer Updates nicht blockiert, bekommt das Update in aller Regel automatisch.
  2. Die Mainboard-Firmware ist aktuell. Schauen Sie auf der Support-Seite Ihres PC-Herstellers oder Mainboard-Herstellers nach einem BIOS-/UEFI-Update aus dem Jahr 2025 oder 2026. Hersteller wie Asus, Lenovo oder Prowise haben angepasste Firmware veröffentlicht.
  3. BitLocker-Wiederherstellungsschlüssel griffbereit. Ein BIOS-Update oder eine Änderung der Secure-Boot-Konfiguration kann eine BitLocker-Wiederherstellung auslösen. Ohne Schlüssel sitzen Sie ausgesperrt vor Ihrem eigenen Rechner. Den Schlüssel finden Sie in Ihrem Microsoft-Konto unter aka.ms/myrecoverykey. Ausdrucken oder als Datei sichern, bevor Sie etwas verändern.

Nach dem Update lohnt sich eine erneute Kontrolle der UEFI-Datenbank mit Get-SecureBootUEFI db, um zu sehen, ob die 2023er Zertifikate eingespielt wurden.

So prüfen Sie Ihr Linux-System

Linux hängt beim Secure Boot stärker am Microsoft-Zertifikatswesen, als vielen klar ist. Fast alle gängigen Distributionen nutzen einen sogenannten Shim als ersten Bootloader, und dieser Shim ist von Microsoft signiert, exakt mit jenen 2011er Zertifikaten, die jetzt ablaufen. Das IT-Administrator-Magazin bringt es auf den Punkt: Die standardkonforme Vertrauenskette endet faktisch beim Shim.

Die wichtigste Entwarnung kommt von Red Hat: Bestehende Linux-Installationen, die heute booten, booten auch nach dem 27. Juni 2026 weiter. Das Ablaufdatum betrifft die Möglichkeit, neue Boot-Komponenten zu signieren, nicht das Vertrauen in bereits installierte. Red Hat hat angekündigt, neue Shim-Versionen mit Doppelsignatur (2011er und 2023er Zertifikate) auszuliefern, für RHEL 9 und 10 im Mai 2026, für RHEL 8 im Juni 2026. Ubuntu, Fedora, openSUSE und Debian gehen denselben Weg.

Status prüfen, drei Schritte im Terminal:

# 1. Ist Secure Boot überhaupt aktiv?
mokutil --sb-state

# 2. Welche Zertifikate liegen in der UEFI-DB?
sudo mokutil --db | grep -E "Issuer|Microsoft|2023|2011"

# 3. Sind die 2023er Zertifikate schon da?
sudo mokutil --db | grep "2023"

Wenn der dritte Befehl Treffer wie Microsoft UEFI CA 2023 oder Windows UEFI CA 2023 liefert, ist Ihre Firmware bereits aktualisiert. Wenn nicht, gibt es mehrere Wege, die neuen Zertifikate nachzurüsten. Anders als unter Windows läuft das nicht über einen einzigen, einheitlichen Mechanismus, sondern hängt stark vom Hardwarehersteller ab.

Drei realistische Wege zur Aktualisierung:

  1. fwupdmgr und LVFS. Das Linux Vendor Firmware Service ist der etablierte Kanal für Firmware-Updates unter Linux. Über LVFS werden inzwischen auch dbx-, KEK- und db-Updates verteilt, signiert von Microsoft. Prüfen mit fwupdmgr refresh, dann fwupdmgr get-updates und gegebenenfalls sudo fwupdmgr update. Funktioniert in der Praxis gut bei Lenovo ThinkPads, Dell, Framework und einigen weiteren Vendor-Reihen. Feldberichte zeigen, dass auf älterer oder schlecht unterstützter Hardware (etwa HP EliteDesk-Modelle, ältere Lenovo ThinkCentres) der Update-Prozess fehlschlägt oder schlicht nichts angeboten wird.
  2. BIOS-Update direkt vom Hersteller. Der klassische Weg: Update-Datei von der Herstellerseite ziehen und über das UEFI-Setup einspielen. Dell weist in aktuellen BIOS-Releases explizit darauf hin, dass das Update die 2023er Zertifikate mitbringt.
  3. Dualboot-Trick. Wer ein Windows neben Linux installiert hat, kann das Zertifikatsupdate über Windows Update einspielen lassen. Die UEFI-Variablen sind systemübergreifend, Linux profitiert davon.

Rescue- und Live-Medien. Ein wichtiger Punkt aus der c’t 13/2026: Aktualisieren Sie Ihre Rettungs-USB-Sticks. Ein älteres Live-System mit Shim, der nur gegen die 2011er Zertifikate signiert ist, bootet auf einem frisch geupdateten UEFI-System eventuell nicht mehr. Bevor Sie Ihre Firmware aktualisieren: aktuelles Live-Medium der Distribution Ihrer Wahl ziehen.

Wer Secure Boot ohnehin deaktiviert betreibt, ist von der Zertifikatsfrage nicht betroffen, verzichtet aber auf den Schutz vor Bootkits. Eine bewusste Entscheidung, keine bequeme. Die Chance dass man sich ein solches “Bootvirus” einfängt ist deutlich geringer, als andere Einfallstore, das denke ich und das denkt man auch beispielsweise bei Heise.

Unterstützung vor Ort

Ein Update der Secure-Boot-Zertifikate ist im Idealfall ein Knopfdruck. Im realen Alltag stehen Sie eventuell vor einem nicht mehr bootenden Rechner, einer BitLocker-Sperre ohne Schlüssel oder einer Mainboard-Firmware, für die der Hersteller keinen Support mehr liefert. Genau in diesen Momenten ist es sinnvoll, jemanden anzurufen, der das schon zehnmal gesehen hat, statt es selbst auf gut Glück zu versuchen.

Wenn Sie in Remscheid, Wuppertal, Solingen oder im weiteren Bergischen Land sitzen und sich nicht sicher sind, ob Ihre Rechner sauber durch den Zertifikatswechsel kommen: Ich schaue mir das gerne an. Eine halbe Stunde Bestandsaufnahme ist deutlich günstiger als eine Notreparatur im Herbst.

Quellen:

Bild von Unsplash, Unsplash+Lizenz

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen