Kontakt

Windows Secure Boot Zertifikate laufen ab – sind Sie vorbereitet?

Ablauf Windows Secure Boot Zertifikat
Allgeier Blog Windows Secure Boot Zertifikate laufen ab – sind Sie vorbereitet?

Ab Juni 2026 laufen zentrale und sicherheitskritische Microsoft Zertifikate für UEFI (Unified Extensible Firmware Interface) Secure Boot aus. Die Aktualisierung erfolgt in vielen Fällen über reguläre Windows-Updates – jedoch nicht immer vollständig und nicht in jeder Umgebung zuverlässig nachvollziehbar. Betroffen sind neben klassischen Windows PCs auch Server und virtuelle Maschinen.

Im Folgenden zeigen wir, was sich konkret verändert, worauf Sie achten sollten und in welchen Fällen es sinnvoll ist, die eigene Umgebung zu überprüfen.

Was passiert beim Ablauf der Secure Boot Zertifikate?

Der Ablauf der Secure Boot Zertifikate klingt zunächst nach einem rein technischen Detail, hat jedoch eine grosse Relevanz für die IT-Sicherheit von Unternehmen. Secure Boot schützt den Startvorgang eines Systems vor Manipulationen wie Bootkits oder Rootkits, also Angriffen, die noch vor dem Betriebssystem ansetzen. Läuft die zugrunde liegende Zertifikatskette aus oder wird nicht korrekt aktualisiert, verliert diese Schutzfunktion schrittweise an Wirksamkeit.

Microsoft ersetzt 2026 mehrere Secure Boot Zertifikate aus dem Jahr 2011 durch neue Zertifikate aus 2023. Konkret betroffen sind unter anderem:

  • Microsoft Corporation KEK CA 2011 (Ablauf: Juni 2026)
  • Microsoft UEFI CA 2011 (Ablauf: Juni 2026)
  • Microsoft Windows Production PCA 2011 (Ablauf: Oktober 2026)

 

Diese Zertifikate sind Teil der Vertrauenskette, mit der UEFI Secure Boot prüft, ob Bootloader, Firmware-Komponenten und früh geladene Treiber als vertrauenswürdig gelten. Der Ablauf bedeutet keinen sofortigen Systemausfall. Windows startet in vielen Fällen weiterhin ganz normal und erhält auch weiterhin Standard-Updates. Kritisch ist jedoch, dass betroffene Systeme keine neuen Secure Boot Schutzmechanismen mehr übernehmen können und damit in einen sicherheitstechnisch veralteten Zustand geraten.

Warum ist das für Unternehmen wichtig?

Secure Boot gehört zur ersten Verteidigungslinie moderner Windows-Systeme. Angriffe auf Boot- oder Firmware-Ebene werden von klassischer Endpoint-Security oft nicht erkannt. Ohne aktuelle Zertifikate kann Microsoft künftig keine neuen Sperrlisten (DBX) oder Sicherheitsanpassungen für den Bootprozess mehr ausrollen. Das erhöht das Risiko für:

  • Bootkit- und Rootkit-Angriffe unterhalb des Betriebssystems
  • Manipulierte Bootloader oder Treiber
  • Compliance- und Audit-Probleme in regulierten Umgebungen

 

Besonders wichtig ist, dass nicht nur PCs, sondern auch Windows Server, VMs sowie spezielle oder selten genutzte Systeme betroffen sind. Gerade virtuelle Maschinen oder Offline-Systeme werden in der Praxis häufig übersehen.

Was muss konkret getan werden?

Microsoft verteilt die neuen Secure Boot Zertifikate grundsätzlich über Windows-Updates. In vielen Umgebungen erfolgt die Aktualisierung automatisch – allerdings nicht immer vollständig. Entscheidend ist, dass die neuen Zertifikate nicht nur vorhanden sind, sondern auch korrekt aktiviert wurden.

Empfohlene Schritte auf einen Blick:
Inventarisierung

Zunächst sollte klar sein, welche Clients, Server und virtuellen Maschinen überhaupt Secure Boot nutzen. Gerade in gewachsenen Umgebungen sind oft nicht alle Systeme zentral erfasst oder berücksichtigt.

Status prüfen & aktualisieren

Im nächsten Schritt gilt es zu überprüfen, ob die neuen 2023er Zertifikate tatsächlich aktiv sind und ggf. die Aktualisierung durchzuführen. Dabei reicht es nicht aus, dass Updates installiert wurden – entscheidend ist der effektive Status der Secure Boot Konfiguration.

Abhängigkeiten berücksichtigen

Firmware, Windows-Versionen und spezifische Konfigurationen können Updates beeinflussen und sind häufig die Ursache für Lücken. Diese Faktoren sollten im Zusammenhang betrachtet werden.

Validierung & Dokumentation

Zum Abschluss empfiehlt sich eine gezielte Validierung des Status, damit ersichtlich ist, welche Systeme korrekt aktualisiert sind. Eine einfache Dokumentation hilft zudem, den Überblick zu behalten und Nachvollziehbarkeit für Security & Compliance zu gewährleisten.

Gerade in gewachsenen IT-Landschaften zeigt sich häufig, dass einzelne Systeme oder VMs nicht korrekt aktualisiert wurden – obwohl Windows Updates auf den ersten Blick sauber durchgelaufen sind.

Beratung anfragen

Welche Risiken entstehen, wenn nicht aktualisiert wird?

Unternehmen, die den Ablauf der Secure-Boot-Zertifikate ignorieren, riskieren mittel- bis langfristig:

  • Erhöhte Angriffsfläche durch fehlende Boot-Sicherheitsupdates
  • Vertrauensverlust in neu signierte Komponenten
  • Probleme bei zukünftigen Sicherheits- oder Firmware-Updates
  • Erhöhten Aufwand bei Incidents, da Root-Cause-Analysen auf Boot-Ebene komplex sind

 

Wichtig: Das Risiko entsteht schleichend. Gerade dieser trügerische Normalbetrieb macht das Thema gefährlich, da Sicherheitslücken oft erst bei gezielten Angriffen sichtbar werden.

Wie Allgeier Schweiz unterstützen kann

Allgeier Schweiz unterstützt Unternehmen dabei, Sicherheit nicht dem Zufall zu überlassen. Im Zusammenhang mit dem Ablauf der Secure-Boot-Zertifikate bieten wir:

  • Überprüfung Ihrer Umgebung: Clients, Server und virtuelle Maschinen
  • Validierung des Secure-Boot-Status inkl. Zertifikats- und Aktivierungsprüfung
  • Unterstützung bei Updates von Betriebssystem, Firmware und Secure-Boot-Komponenten
  • Beratung zur nachhaltigen Verwaltung Ihrer Windows-Umgebung

 

Darüber hinaus prüfen wir gemeinsam mit Ihnen, wie Ihre IT künftig so aufgestellt werden kann, dass sicherheitsrelevante Updates – inklusive Zertifikaten – automatisch, kontrolliert und nachvollziehbar umgesetzt werden. Auf Wunsch übernehmen wir dies im Rahmen eines Managed Workplace Services – beispielsweise über Intune.

Jetzt Klarheit schaffen

Der Ablauf der Secure-Boot-Zertifikate ist ein planbares Ereignis. Die Auswirkungen zeigen sich jedoch oft erst verzögert. Wenn Sie für Ihre Umgebung einschätzen möchten, ob alles korrekt aktualisiert wurde oder ob es sinnvoll ist, genauer hinzuschauen, unterstützen wir Sie gerne bei einer strukturierten Überprüfung.
Überprüfung jetzt anfragen

FAQ – Häufige Fragen aus der Praxis

Sind unsere Systeme auch betroffen, wenn Windows Updates aktiviert sind?

Nicht zwingend – aber das lässt sich nicht pauschal sagen. Entscheidend ist, ob die neuen Secure-Boot-Zertifikate nicht nur installiert, sondern auch korrekt aktiviert wurden.

Sind nur Windows-Clients betroffen?

Nein. Auch Windows Server, virtuelle Maschinen und spezielle Systeme mit Secure Boot sind relevant.

Was passiert, wenn wir die Secure-Boot-Zertifikate nicht erneuert haben?

Die Systeme laufen häufig weiter, verlieren aber schrittweise ihre Schutzwirkung im Bootprozess. Dies stellt ein hohes Sicherheitsrisiko dar.

Ist das Thema compliance-relevant?

Ja. Gerade in regulierten Umgebungen kann ein veralteter Secure-Boot-Status zu Audit‑ und Compliance‑Problemen führen.

Zurück zur Übersicht

Sie haben Fragen oder wünschen weitere Infos dazu?

Schreiben Sie uns!

Weitere Artikel

  • Blog

GovAI – sichere KI-Assistenz für den Arbeitsalltag

GovAI ist eine sichere KI‑Plattform, die Mitarbeitende davor schützt, sensible Daten mit der KI zu teilen. Gleichzeitig profitieren Mitarbeitende vom vollen Funktionsumfang der KI. 
Weiterlesen
TEO - der KI-Schichtplaner von Allgeier Schweiz
  • Blog

TEO – der KI-Assistent für personelle Einsatzplanung

Manuelle Schichtplanung ist zeitaufwändig, fehleranfällig und führt oft zu Unter- oder Überbesetzungen. Mit TEO wird die Planung effizienter, stabiler und transparenter.
Weiterlesen
Ablauf Windows Secure Boot Zertifikat
  • Blog, News

Windows Secure Boot Zertifikate laufen ab – sind Sie vorbereitet?

Ab Juni 2026 laufen zentrale Microsoft Zertifikate für UEFI Secure Boot aus, was die IT-Sicherheit von Unternehmen gefährden kann. Betroffen sind neben Windows PCs auch Server und virtuelle Maschinen. Erfahren Sie, welche Schritte Sie ergreifen sollten, um Ihre Umgebung zu überprüfen und Sicherheitsrisiken zu minimieren.
Weiterlesen
MAX - der KI-Assistent für den Kundendienst
  • Blog

MAX – der KI-Assistent für den Kundendienst

Service-Hotlines leiden oft unter verstreuten Informationen und fehlender Dokumentation, was zu falschen Antworten und langen Wartezeiten führt. Mit dem KI-Agenten MAX lassen sich Kundendienstanfragen schneller und zuverlässiger lösen.
Weiterlesen
Headerbild von KI-Mitarbeiterin RITA
  • Blog

RITA – die KI-Buchhaltungsmitarbeiterin

Mit RITA, der KI-gestützten Rechnungs-Assistenz, lassen sich Rechnungsabläufe automatisieren und deutlich effizienter gestalten. Von der E-Mail ins ERP, mit RITA.
Weiterlesen
Headerbild von KI-Mitarbeiter KLAUS
  • Blog

KLAUS – die intelligente Hilfe bei der Schadenfallbearbeitung

Hohe Mengen an Schadensmeldungen führen durch manuelle Prüfung zu langen Bearbeitungszeiten und inkonsistenten Entscheidungen. Mit dem KI-Agenten KLAUS werden Fälle automatisch analysiert und priorisiert.
Weiterlesen
INA - die smarte HR-Assistenz
  • Blog

INA – die intelligente HR-Unterstützung

Mit der KI-Assistentin INA lassen sich wiederkehrende Fragen nach Ferienanspruch, Benefits oder Reisekostenrichtlinie automatisiert beantworten und die HR-Abteilung spürbar entlasten.
Weiterlesen
Headerbild von KI-Mitarbeiterin HILDE
  • Blog

HILDE – der smarte IT Support Agent

Wiederkehrende IT-Anfragen wie Passwortprobleme überlasten den Helpdesk und führen zu langen Wartezeiten. Mit HILDE lassen sich IT-Fragen automatisiert klären – noch bevor ein Ticket entsteht.
Weiterlesen

Webinar-Reihe "Von Chaos zu Kontrolle: Automatisierung in 3 Schritten"

Anmelden