IT-Dienstleister
19.05.2026
Secure Boot-Zertifikate laufen 2026 aus: Was Unternehmen jetzt prüfen müssen
Wir haben unsere Kunden in den vergangenen Monaten immer wieder auf dieses Thema hingewiesen – in Mailings, in Gesprächen und bei Wartungsterminen. Und trotzdem sehen wir es in der Praxis ständig: Der anstehende Ablauf der Secure-Boot-Zertifikate wird unterschätzt oder ganz übersehen. Deshalb sagen wir es hier noch einmal in aller Deutlichkeit – denn die Frist rückt näher, und sie betrifft fast jeden Windows-Rechner und jeden Server im Unternehmen.
Kurz und ehrlich vorweg: Secure Boot ist die Schutzfunktion, die beim Einschalten dafür sorgt, dass nur vertrauenswürdige, signierte Software startet. Die dafür hinterlegten Microsoft-Zertifikate stammen aus dem Jahr 2011 – und sie laufen ab Juni 2026 aus. Ihre Geräte starten danach zwar weiter, erhalten aber keine neuen Secure-Boot-Schutzupdates mehr, solange sie nicht auf die neuen 2023er-Zertifikate umgestellt sind. Bei vielen Arbeitsplatz-PCs läuft das – je nach Firmware – weitgehend automatisch, bei Servern und virtuellen Maschinen nicht. Dieser Beitrag zeigt, was genau passiert, wen es trifft und welche Schritte jetzt anstehen.
Was ist Secure Boot – und warum hat es ein Ablaufdatum?
Secure Boot ist eine Funktion der modernen Firmware (UEFI, der Nachfolger des klassischen BIOS). Sie prüft bei jedem Start, ob der Bootloader und die frühe Startsoftware eine gültige digitale Signatur tragen. Nur was vertrauenswürdig signiert ist, darf laden. Das verhindert, dass sich Schadsoftware noch vor dem Betriebssystem einnistet – sogenannte Bootkits, die für klassische Virenscanner praktisch unsichtbar sind.
Damit dieses Vertrauen funktioniert, liegen in der Firmware kryptografische Schlüssel und Zertifikate – im Kern die KEK (Key Exchange Key) und die Signaturdatenbank DB. Genau diese Zertifikate hat Microsoft 2011 ausgestellt, mit einer Laufzeit von 15 Jahren. 2026 endet sie. Microsoft hat deshalb einen neuen Satz Zertifikate mit Jahrgang 2023 bereitgestellt, der die alten ablöst und bis 2038 gültig ist.
Dass ein Bootkit kein theoretisches Risiko ist, zeigte spätestens BlackLotus – eine Schadsoftware, die 2023 Secure Boot aushebelte und Microsoft zu Sperrlisten-Updates zwang. Solche Updates greifen aber nur mit gültigen Zertifikaten. Läuft das Zertifikat ab, altert der Schutz.
Was genau passiert im Juni 2026?
Drei Microsoft-Zertifikate von 2011 verlieren 2026 ihre Gültigkeit. Für die Praxis zählt vor allem das erste Datum:
| Zertifikat (2011) | Läuft ab | Ersetzt durch (2023) |
|---|---|---|
| Microsoft Corporation KEK CA 2011 | 24. Juni 2026 | KEK 2K CA 2023 |
| Microsoft UEFI CA 2011 | 27. Juni 2026 | Microsoft UEFI CA 2023 |
| Microsoft Windows Production PCA 2011 | 19. Oktober 2026 | Windows UEFI CA 2023 |
Aktualisiert werden müssen die KEK und die Signaturdatenbank DB in der Firmware. Der Platform Key und die Sperrliste DBX sind von diesem Stichtag nicht betroffen. Klingt nach einer Kleinigkeit – ist es im Rechenzentrum aber nicht, wie der nächste Abschnitt zeigt.
Was passiert, wenn Sie nichts tun?
Die gute Nachricht zuerst: Es gibt keinen schwarzen Bildschirm am Stichtag. Geräte mit abgelaufenen 2011-Zertifikaten starten weiter ganz normal, und auch die gewohnten Windows-Updates installieren sich wie bisher.
Die schlechte Nachricht: Der Schutz friert ein. Ohne die neuen Zertifikate kann das Gerät keine neuen Secure-Boot-Sicherheitsupdates mehr empfangen – also keine Aktualisierungen des Windows-Startmanagers, keine neuen Einträge in den Secure-Boot-Datenbanken und keine frischen Sperrlisten gegen neu entdeckte Boot-Schwachstellen. Sie behalten den Schutzstand von heute, während Angreifer weiterforschen. Für ein einzelnes Notebook ist das ein überschaubares Risiko, für eine Server-Landschaft mit sensiblen Daten eines, das man bewusst entscheiden sollte – nicht versehentlich verpassen.
Der entscheidende Punkt: Clients ja, Server und Hyper-V nein
Hier trennt sich die Spreu vom Weizen. Für einen großen Teil der Windows-11- und Windows-10-Clients liefert Microsoft die neuen Zertifikate über Windows Update aus und schaltet sie gestaffelt frei – geräteklassenweise nach Hersteller, Mainboard und Firmware-Stand. Auf vielen modernen, regelmäßig gewarteten Arbeitsplätzen greift das dadurch weitgehend von selbst.
„Von selbst" heißt aber nicht „garantiert": Ob das Zertifikat überhaupt geschrieben werden kann, hängt an der UEFI-Firmware. Manche – vor allem ältere – Geräte brauchen zuerst ein BIOS-/Firmware-Update des Herstellers, und einzelne bekommen es gar nicht mehr und müssen als Ausnahme dokumentiert oder ersetzt werden. Deshalb gehört auch bei Clients eine aktive Statusprüfung dazu, statt blind auf den Automatismus zu vertrauen.
Anders sieht es bei der Infrastruktur aus: Windows Server und virtuelle Maschinen der Generation 2 – der Standard in jeder modernen Hyper-V-Umgebung – bekommen die neuen Zertifikate nicht automatisch. Hier muss ein Administrator die 2023er-Zertifikate kontrolliert ausrollen, pro Host und pro VM, in der richtigen Reihenfolge. Das Gleiche gilt für physische Server mit aktiviertem Secure Boot und für VMs auf anderen Plattformen.
Genau deshalb ist das kein reines Endgeräte-Thema, sondern eine Aufgabe für die Server- und Virtualisierungsbetreuung. In den von uns betreuten Hyper-V-Umgebungen prüfen wir den Zertifikatsstand der Hosts und Gen-2-VMs gezielt mit – denn ein vergessener Server fällt erst auf, wenn das nächste Boot-Sicherheitsupdate nicht mehr greift. Wer sein Datacenter und seine Virtualisierung sauber dokumentiert hat, ist hier klar im Vorteil.
Wie Sie den aktuellen Status prüfen
Bevor irgendetwas ausgerollt wird, steht die Bestandsaufnahme. Drei Wege führen zum Status:
- in der Windows-Sicherheit-App, die den Aktualisierungsstand der Secure-Boot-Zertifikate inzwischen anzeigt
- per PowerShell, etwa mit Confirm-SecureBootUEFI für den Aktivierungsstatus und einer Abfrage der hinterlegten Zertifikate
- zentral über Ihr Management-Werkzeug, wenn Geräte und Server per zentrales Endpoint-Management verwaltet werden
Wichtig ist die Reihenfolge: erst die KEK, dann die DB – und vor dem Massen-Rollout immer ein Test an einem Referenzgerät. Eine fehlerhaft gesetzte Secure-Boot-Datenbank kann im schlimmsten Fall den Start verhindern. Bewusst offen gesagt: Die einzelnen Schritte sind dokumentiert, aber im Server- und VM-Umfeld fehleranfällig genug, dass sich ein geplanter, getesteter Rollout lohnt.
Typische Fehler bei der Secure-Boot-Umstellung
Aus unserer täglichen Praxis in den von uns betreuten IT-Umgebungen sehen wir dieselben vermeidbaren Stolperfallen:
- blind darauf vertrauen, dass Windows das schon automatisch macht – das gilt für viele Clients, aber nicht für Server und Hyper-V-VMs
- bei physischen Geräten die Firmware-Updates der Hersteller vergessen, die für die neuen Zertifikate teils nötig sind
- die Vorlagen für neue Gen-2-VMs nicht aktualisieren, sodass frisch ausgerollte Maschinen wieder mit alten Zertifikaten starten
- KEK und DB in falscher Reihenfolge oder ganz ohne Test einspielen
- ältere Hardware übersehen, für die es womöglich gar kein Firmware-Update mehr gibt – hier ist eine Risikobewertung oder ein Austausch fällig
Checkliste: Ihr Secure-Boot-Fahrplan bis Juni 2026
Mit diesen Schritten kommen Sie strukturiert durch die Umstellung:
- Bestand aufnehmen: Welche Clients, Server und Gen-2-VMs nutzen Secure Boot
- Status prüfen: Sind die 2023er-Zertifikate bereits vorhanden
- Clients sicherstellen: Werden alle Arbeitsplätze regelmäßig per Windows Update versorgt
- Server und VMs einplanen: kontrollierter, getesteter Rollout von KEK und DB
- Firmware der physischen Geräte aktualisieren, wo nötig
- VM-Vorlagen aktualisieren, damit neue Maschinen korrekt starten
- Alt-Hardware bewerten: Update möglich oder Austausch sinnvoll
Häufige Fragen zum Secure-Boot-Zertifikatsablauf
Muss ich etwas tun, wenn meine PCs Windows 11 nutzen?
Oft, aber nicht garantiert: Ein großer Teil der Windows-11- und Windows-10-Clients erhält die neuen Zertifikate gestaffelt über Windows Update. Ob sie sich tatsächlich setzen lassen, hängt jedoch von der UEFI-Firmware ab, und der Rollout erfolgt geräteklassenweise – nicht überall gleichzeitig. Eine kurze Statusprüfung schafft Gewissheit, statt sich auf eine Annahme zu verlassen.
Muss ich dafür BIOS- oder Firmware-Updates einspielen?
Bei vielen neueren Geräten nicht – sie können die neuen Zertifikate direkt übernehmen. Bei älteren Modellen kann jedoch zuerst ein UEFI-/BIOS-Update des Herstellers nötig sein, damit die Umstellung überhaupt greift. Ein Blick auf die Support-Seite des jeweiligen Modells klärt das. Geräte, für die es kein passendes Firmware-Update mehr gibt, sollten Sie gesondert bewerten oder austauschen.
Betrifft das auch meine Server und virtuellen Maschinen?
Ja, und das ist der wichtigste Punkt. Windows Server und Hyper-V-VMs der Generation 2 aktualisieren sich nicht automatisch. Hier müssen die 2023er-Zertifikate manuell und kontrolliert ausgerollt werden – andernfalls altert der Boot-Schutz Ihrer Kernsysteme.
Startet mein Rechner nach dem Ablauf nicht mehr?
Doch. Geräte mit abgelaufenen Zertifikaten starten weiter normal, und Windows-Updates laufen weiter. Was wegfällt, sind ausschließlich neue Secure-Boot-Schutzupdates für den frühen Startprozess. Es ist also kein Ausfall-, sondern ein schleichendes Sicherheitsrisiko.
Was ist mit älterer Hardware ohne Firmware-Update?
Für manche ältere Geräte stellt der Hersteller kein passendes Firmware-Update mehr bereit. Diese Systeme lassen sich dann nicht vollständig umstellen. Hier sollten Sie das Risiko bewerten und einen Austausch einplanen – häufig fällt das mit ohnehin anstehenden Hardwarewechseln zusammen.
Bis wann habe ich Zeit?
Die ersten und wichtigsten Zertifikate laufen am 24. und 27. Juni 2026 ab, ein weiteres im Oktober 2026. Da Server- und VM-Rollouts geplant und getestet werden sollten, ist der richtige Zeitpunkt für die Bestandsaufnahme jetzt – nicht erst im Juni.
Fazit: Kein Stichtag-Drama, aber eine Pflichtaufgabe für die Infrastruktur
Der Secure-Boot-Zertifikatswechsel 2026 ist kein Weltuntergang: Ihre Geräte starten weiter, und viele Arbeitsplätze regeln die Umstellung automatisch. Die eigentliche Arbeit liegt bei Servern und Hyper-V-VMs, die manuell und getestet aktualisiert werden müssen – sonst altert der Schutz Ihrer wichtigsten Systeme unbemerkt. Wer jetzt eine Bestandsaufnahme macht und einen geordneten Fahrplan aufsetzt, hat das Thema bis Juni 2026 entspannt erledigt.
Sie sind nicht sicher, ob Ihre Server und virtuellen Maschinen bereit sind? Wir prüfen den Secure-Boot-Stand Ihrer Umgebung und übernehmen den Rollout der neuen Zertifikate – kontrolliert, getestet und ohne Risiko für den laufenden Betrieb. Für Unternehmen in Mühldorf, Waldkraiburg, Altötting und der Region Inn-Salzach gehört die Betreuung der Secure-Boot-Zertifikate für uns einfach dazu.
Secure-Boot-Status jetzt prüfen lassen
Passende Beiträge
- Windows 10-Support-Ende: Warum der Mittelstand jetzt auf Windows 11 umsteigen muss
- Zero Trust im Mittelstand: So gelingt die sichere IT-Zukunft
- Microsoft Intune: Sichere Geräteverwaltung aus der Cloud
- Microsoft Defender für den Mittelstand: Effektiver Schutz, einfache Integration
- Alle Beiträge im Salfer-Blog
