Microsoft ersetzt Secure-Boot-Zertifikate, denen viele Windows-PCs seit 2011 vertrauen. Zwei dieser alten Zertifizierungsstellen laufen ab Juni 2026 aus, das Windows-Boot-Zertifikat folgt im Oktober 2026.

Das klingt nach einem Countdown an jedem PC. Ganz so ist es nicht. Microsoft sagt, ein nicht unterstützter Zertifikatszustand sollte einen normalen PC am 1. Juni 2026 nicht schlagartig am Starten hindern. Das realistischere Risiko ist leiser, aber wichtig: Ein PC ohne 2023-Zertifikatsaktualisierung kann künftig von frühen Boot-Schutzmaßnahmen, Boot-Manager-Sicherheitsupdates, Sperrlisten und Änderungen an Rettungsmedien abgeschnitten werden.

Die richtige Reaktion ist also nicht Panik. Die richtige Reaktion ist: jetzt prüfen, sauber aktualisieren und den eigenen Wiederherstellungspfad nicht versehentlich kaputtmachen.

Kurzantwort

Zuerst tun

Windows-Updates installieren, neu starten, dann Windows-Sicherheit prüfen

Die meisten unterstützten privaten Windows-Geräte sollten die Secure-Boot-Zertifikate von 2023 über Windows Update erhalten. Öffne danach Windows-Sicherheit > Gerätesicherheit > Secure Boot und lies den Statustext, nicht nur die Farbe des Symbols.

Privater PC
Meist aktualisieren und prüfenWindows aktuell halten, bei Aufforderung neu starten und den Zertifikatsstatus von Secure Boot prüfen.
Arbeits-PC
Nicht selbst reparierenBei Geräten von Arbeitgeber oder Schule sollte die IT den Rollout steuern.
Kleines Büro
Erst inventarisierenBitLocker-Schlüssel sichern, Firmware aktualisieren, nach Modell pilotieren und Microsoft-Status/Ereignisse überwachen.
Alte Hardware
Firmware zähltWenn der PC-Hersteller nie 2023-Zertifikatsunterstützung ergänzt hat, kann Windows das eventuell nicht allein beheben.

Deaktiviere Secure Boot nicht als vermeintliche “Lösung”. Setze Secure-Boot-Schlüssel nicht zurück und erzwinge keine Sperrlisten, wenn du nicht genau weißt, warum und ob deine Rettungsmedien danach noch starten.

Wenn du nur die sichere Antwort suchst

Für einen normalen Heim-PC ist die sichere Vorgehensweise bewusst einfach gehalten:

  1. Installiere die Windows-Updates.
  2. Starte den PC so oft neu, bis Windows Update meldet, dass keine Neustarts mehr ausstehen.
  3. Öffne Windows-Sicherheit > Gerätesicherheit > Secure Boot und lies die Statusmeldung zum Zertifikat.
  4. Öffne msinfo32 und bestätige den BIOS-Modus sowie den Secure-Boot-Zustand.
  5. Sichere deinen BitLocker-Wiederherstellungsschlüssel vor jeglichen Arbeiten an Firmware, Secure Boot, CSM, UEFI, Boot-Reihenfolge oder Rettungsmedien.
  6. Wenn Windows meldet, dass Firmware- oder Herstellermaßnahmen erforderlich sind, nutze die offizielle Support-Seite deines Laptops, Desktops oder Mainboards, nicht ein beliebiges BIOS-Erklärvideo.

Wenn der PC von der Arbeit oder Schule verwaltet wird, stoppe hier und frage die IT. Wenn es sich um einen Dual-Boot-PC, PXE, WinPE, eine VM oder einen alten Eigenbau-PC handelt, behandle dies als geplante Wartungsaufgabe und nicht als einfaches Update für nebenbei.

Wenn du jemanden um Hilfe bittest, sende Screenshots vom Secure-Boot-Zertifikatsstatus in Windows-Sicherheit, der Systemzusammenfassung von msinfo32, dem Windows-Update-Verlauf/Neustart-Zustand sowie dem genauen Modell deines PCs oder Mainboards. Mache Computernamen, Produkt-IDs, Seriennummern, Microsoft-Konto-E-Mails, BitLocker-Schlüssel-IDs und den Wiederherstellungsschlüssel selbst unkenntlich.

Anzeige

Wird mein PC im Juni 2026 aufhören zu funktionieren?

Für die meisten unterstützten Windows-10/11- und Windows-11-PCs sollte die Antwort nein lauten. Microsoft beschreibt den Zertifikatsablauf 2026 als Sicherheits- und Wartungsübergang, nicht als universelles Boot-Fehldatum.

Niedriges Risiko

Ein unterstützter Windows-11-PC, der normal Windows Update erhält, aktuelle Firmware hat, Secure Boot aktiviert hat und in Windows-Sicherheit alle nötigen Zertifikatsupdates als angewendet zeigt.

Braucht Aufmerksamkeit

Ein PC ohne Neustart seit Monaten, mit alter BIOS-/UEFI-Firmware, BitLocker, alten USB-Wiederherstellungsmedien oder gelb/rot markiertem Secure-Boot-Zertifikatsstatus.

Hohes Risiko

Verwaltete Flotten, alte Eigenbau-PCs, nicht unterstützte Windows-10-Systeme, PXE-/WinPE-Umgebungen, Dual-Boot-Systeme, VMs oder Geräte, deren OEM-Firmware die 2023-Vertrauensupdates nicht akzeptiert.

Wenn du das Thema lieber erst einmal als deutschen Überblick sehen willst, passt dieses Video gut vor die eigentliche Checkliste. Entscheidend bleibt danach: nicht Secure Boot abschalten, sondern Updates, Neustart und Status prüfen.

Video abspielen: Windows Einfach Erklärt: Secure Boot 2026 - neue Zertifikate erklärt
Windows Einfach Erklärt: Secure Boot 2026 - neue Zertifikate erklärt

Die irreführende Version lautet: “Windows-PCs werden durch ablaufende Zertifikate unbrauchbar.” Nützlicher ist: Dein PC startet wahrscheinlich weiter, aber die frühe Boot-Vertrauenskette muss von 2011-Zertifikaten auf 2023-Zertifikate wechseln, damit künftiger Secure-Boot-Schutz funktioniert.

Deinen PC in 5 Minuten prüfen

Beginne mit sicheren Checks. Sie ändern keine Secure-Boot-Datenbanken, Firmware-Schlüssel oder BitLocker-Zustände.

1. Windows-Updates installieren und neu starten

Öffne Einstellungen > Windows Update, installiere verfügbare Sicherheits- und kumulative Updates und starte neu, wenn Windows es verlangt. Microsoft liefert die Secure-Boot-Zertifikatsaktualisierung für viele unterstützte Geräte über normale Wartung aus.

Wenn du Neustarts gern verschiebst, ist jetzt ein schlechter Zeitpunkt dafür. Mehrere Secure-Boot-Aktualisierungsschritte brauchen einen Neustart, bevor der nächste Zustand sichtbar wird.

Der Grundsatz ist schlicht: Halte die Vertrauenskette aktuell, bevor du sie in einer Wiederherstellungssituation brauchst.

2. Secure-Boot-Status öffnen

Öffne Windows-Sicherheit, dann Gerätesicherheit, dann Secure Boot.

Lies den Meldungstext. Microsoft warnt, dass ein grünes Symbol allein nicht genügt; der vollständig aktualisierte Zustand braucht eine Formulierung, dass die nötigen Zertifikatsupdates und der aktualisierte Boot Manager angewendet wurden.

Wenn Windows-Sicherheit ausstehende Updates meldet, installiere Windows-Updates und starte erneut. Wenn Firmware- oder Herstellermaßnahmen verlangt werden, gehe zur Supportseite deines PC-Herstellers, bevor du Registry-Fixes versuchst.

3. Bestätigen, dass Secure Boot aktiv ist

Drücke Win + R, tippe msinfo32 ein und öffne Systeminformationen.

FeldGewünschtBedeutung
BIOS-ModusUEFISecure Boot hängt von UEFI-Boot ab, nicht von Legacy-BIOS-Boot.
Secure Boot StateOnSecure Boot ist aktuell aktiviert.
PCR7 ConfigurationMeist Binding Possible oder BoundNützlicher Kontext für Geräteverschlüsselung/BitLocker, aber kein vollständiger Zertifikatsstatus.

Diese Ansicht bestätigt Secure Boot. Sie beweist nicht, dass alle 2023-Zertifikate installiert sind.

4. Optionaler PowerShell-Check

Öffne PowerShell als Administrator und führe aus:

Confirm-SecureBootUEFI

True bedeutet, Secure Boot ist aktiv. False bedeutet, es ist aus. Ein Fehler heißt meist, dass der Befehl UEFI Secure Boot auf der Plattform nicht lesen kann.

Das ist nützlich, aber nicht die ganze Geschichte. Zertifikatsbereitschaft prüfst du besser über Windows-Sicherheitsstatus, Microsoft-Admin-Statuswerte und Ereignisprotokolle.

Welcher Pfad passt zu dir?

Windows-11-Heim-PC
Aktualisieren, neu starten, prüfenWindows Update und Windows-Sicherheit nutzen. BIOS/UEFI nur vom OEM aktualisieren, wenn Windows oder OEM Firmware-Support verlangt.
Windows-10-PC
Zuerst Supportstatus prüfenWindows 10 erreichte am 14. Oktober 2025 das Supportende, außer bei Extended Security Updates. Nicht unterstützte Systeme sind ein schwacher Ort für künftige Boot-Chain-Wartung.
Windows-7-Maschine
Als Altlast-Risikoprojekt behandelnErwarte nicht, dass der Secure-Boot-Zertifikatswechsel 2026 sie rettet. Plane Migration, Isolation oder unterstützten Ersatz.
Arbeits- oder Schullaptop
Vor Schlüsseländerungen IT fragenVerwaltete Geräte können Statushinweise per Richtlinie ausblenden und gestaffelte Deployment-Tools nutzen.
Eigenbau-Desktop
Mainboard-BIOS-Hinweise prüfenIn Release Notes nach UEFI/Secure Boot/Windows UEFI CA 2023 suchen, etwa bei ASUS, MSI, Gigabyte, ASRock oder dem Board-Hersteller.
Dual Boot oder Linux
Beide Seiten aktualisierenWindows, Firmware und Linux-Boot-/shim-Pakete aktuell halten. Alte Boot-Vertrauensketten nicht breit widerrufen, bevor der Nicht-Windows-Bootpfad bereit ist.
Kleine Büroflotte
Nach Hardwaregruppe pilotierenBitLocker-Schlüssel sichern, Firmware inventarisieren, repräsentative Modelle testen, dann ausrollen und Ereignisse überwachen.
Anzeige

Was läuft tatsächlich ab?

Secure Boot ist ein Vertrauenssystem auf Firmware-Ebene. Bevor Windows startet, prüft UEFI, ob frühe Boot-Komponenten von vertrauenswürdigen Zertifizierungsstellen signiert sind. Diese Vertrauensdatenbanken liegen in Firmware/NVRAM, nicht nur in einem Windows-Ordner.

Diagramm: UEFI-Firmware nutzt KEK, DB und DBX, um den Windows Boot Manager vor dem Start zu prüfen.
Secure Boot ist eine Kette von Firmware-Vertrauen, nicht nur eine Windows-Einstellung.
ZweckAltes ZertifikatErsatzAblaufdruck
Autorisiert Secure-Boot-DatenbankupdatesMicrosoft Corporation KEK CA 2011Microsoft Corporation KEK 2K CA 2023Juni 2026
Vertraut Windows Boot ManagerMicrosoft Windows Production PCA 2011Windows UEFI CA 2023Oktober 2026
Vertraut Drittanbieter-UEFI-Apps/LoadernMicrosoft UEFI CA 2011Microsoft UEFI CA 2023Juni 2026
Vertraut Option ROMs, etwa manchen Gerätefirmware-BootkomponentenMicrosoft UEFI CA 2011Microsoft Option ROM UEFI CA 2023Juni 2026

Die 2023-Struktur ist granularer. Statt dass eine alte UEFI CA mehrere Aufgaben abdeckt, trennt Microsoft Windows-Boot, Drittanbieter-EFI-Apps und Option-ROM-Vertrauen klarer.

Warum BlackLotus und KB5025885 ständig auftauchen

Zwei Geschichten werden oft in einen Topf geworfen:

  1. Der Zertifikatswechsel 2026. Alte Secure-Boot-Zertifizierungsstellen laufen ab, daher brauchen PCs die 2023-Vertrauenskette.
  2. CVE-2023-24932 / BlackLotus-Härtung. Microsoft bereitet außerdem Sperrungen und Boot-Manager-Änderungen vor, um verwundbare signierte Bootloader zu blockieren, die von Bootkits genutzt werden.

Beides berührt Secure-Boot-Vertrauensdatenbanken und Boot-Manager-Signaturen. Es ist aber nicht dieselbe Aufgabe.

Der Unterschied ist praktisch wichtig. Nach 2023-Zertifikaten zu schauen, ist für Heimanwender sinnvoll. DBX-Sperrungen oder Registry-getriebene Enterprise-Maßnahmen ohne Vorbereitung können alte Bootmedien, Wiederherstellungsumgebungen, PXE-Workflows oder Dual-Boot-Pfade brechen. Microsoft dokumentiert die CVE-2023-24932-Sperrungen separat; deren permanente Durchsetzung solltest du als Microsoft-gesteuert behandeln, nicht erraten.

Was du nicht tun solltest

Secure Boot nicht deaktivieren und als gelöst abhaken

Das versteckt das Statusproblem und schwächt frühen Bootschutz.

Secure-Boot-Schlüssel nicht beiläufig zurücksetzen

Manche ältere Firmware-Defaults enthalten die 2023-Zertifikate nicht. Nach einem 2023-signierten Boot Manager kann das Startprobleme erzeugen.

Sperrlisten nicht zuerst auf Produktion erzwingen

Alte WinRE-, WinPE-, PXE-, Installations-USB- und Dual-Boot-Loader können scheitern, wenn sie noch auf widerrufenen 2011-signierten Komponenten beruhen.

BitLocker nicht ignorieren

Sichere Wiederherstellungsschlüssel vor Firmware- oder Secure-Boot-Arbeiten. Wenn eine Änderung Recovery auslöst, willst du den Schlüssel nicht erst suchen müssen.

BitLocker, Wiederherstellungsmedien und USB-Installer

BitLocker und Secure Boot arbeiten eng zusammen. Das ist gut für Sicherheit, bedeutet aber auch: Änderungen an Firmware und Boot-Vertrauen können eine Wiederherstellungsabfrage auslösen.

Sichere vor BIOS-/UEFI-Änderungen, Secure-Boot-Key-Resets oder admin-gesteuerter Secure-Boot-Wartung den BitLocker-Wiederherstellungsschlüssel. Auf vielen Windows-11-PCs führt der Pfad über Einstellungen > Datenschutz und Sicherheit > Geräteverschlüsselung > BitLocker-Laufwerkverschlüsselung.

Oder melde dich bei deiner Microsoft-Konto-Seite für Wiederherstellungsschlüssel an, wenn dein Gerät den Schlüssel dort speichert.

Für kleine Büros gilt: Schlüssel vor dem Pilot exportieren und validieren, nicht nach dem ersten Neustart.

Rettungsmedien sind die andere Falle. Ein Windows-Installations-USB, WinRE-Image, WinPE-Stick oder PXE-Boot-Image von vor dem 2023-Boot-Manager-Übergang startet nach bestimmten Sperrungen möglicherweise nicht mehr. Admins sollten Medien mit aktuellen Windows-Wartungstools neu bauen oder aktualisieren. Heimanwender sollten Rettungs- und Installationsmedien mit aktuellen Microsoft-Tools neu erstellen, statt einen jahrealten USB-Stick als einzigen Rettungsweg zu behalten.

OEM-Firmware: Wann der PC-Hersteller zählt

Windows Update kann viel liefern, aber Secure-Boot-Datenbanken leben letztlich in Firmware. Wenn die Firmware die richtigen Updates nicht akzeptiert, kann Windows einen blockierten oder eingeschränkten Zustand melden.

HerstellerPraktischer nächster Schritt
DellDell Update/SupportAssist und Modell-Supportseite prüfen. Dell sagt, Client-BIOS-Updates nach dem 1. Januar 2026 enthalten die 2023-Zertifikate.
HPHP Support Assistant oder Modell-Supportseite nutzen und nach BIOS-/UEFI-Updates zu Secure-Boot-Zertifikaten suchen.
LenovoLenovo Vantage oder Supportseite nutzen; bei Enterprise-Modellen Deployment-Hinweise zu Windows Boot Manager und WinPE prüfen.
ASUSASUS bevorzugt Windows Update; BIOS/manueller Key-Reset ist vor allem für Fälle gedacht, in denen Windows das Update nicht erhalten oder anwenden kann.
Eigenbau-MainboardExaktes Boardmodell und BIOS-Release Notes prüfen. Suchbegriffe: Windows UEFI CA 2023, Secure Boot certificate, UEFI CA, KEK, DB, DBX, BlackLotus.

Installiere Firmware nur vom Geräte- oder Mainboard-Hersteller. Zufällige “BIOS updater”-Tools sind keine Abkürzung.

Eigenbau-PCs sollten das als Mainboard-Support-Thema betrachten, nicht nur als Windows-Häkchen. Prüfe das exakte Boardmodell und die BIOS-Hinweise, bevor du Secure-Boot-Schlüssel oder Sperrlisten anfasst.

Checkliste für kleine Büros und IT-Admins

Wenn du mehr als ein paar PCs verwaltest, ist das kein Ein-Klick-Verbraucherupdate. Behandle es wie einen Rollout nah an Firmware und Wiederherstellung.

  1. Modelle, BIOS-/UEFI-Versionen, Secure-Boot-Status und Windows-Supportstatus inventarisieren.
  2. Sicherstellen, dass BitLocker-Wiederherstellungsschlüssel hinterlegt und abrufbar sind.
  3. Firmware zuerst für Hardwaregruppen aktualisieren, die es brauchen.
  4. Mehrere Geräte pro Modell-/Firmware-Kategorie pilotieren.
  5. Microsoft-dokumentierte Statuswerte und Ereignisse zur Prüfung nutzen.
  6. WinRE-, WinPE-, Installations-USB- und PXE-Medien neu bauen oder validieren.
  7. Rollback- und Wiederherstellungsschritte dokumentieren, bevor breite Sperrungen angewendet werden.

Microsoft dokumentiert Enterprise-Auslösung über AvailableUpdates, die geplante Aufgabe \Microsoft\Windows\PI\Secure-Boot-Update und Statuswerte unter HKLM\SYSTEM<wbr>CurrentControlSet<wbr>Control<wbr>SecureBoot<wbr>Servicing.

Kopiere keine Enterprise-Registry-Befehle auf beliebige Geräte, nur weil ein Forenbeitrag Erfolg meldet. Microsoft weist darauf hin, dass Secure-Boot-Wartung Zeit brauchen, Neustarts verlangen und durch Firmware, BitLocker-Zustand oder fehlende Voraussetzungen blockiert werden kann.

Nützliche Systemprotokoll-Quelle für Admins:

TPM-WMI
Event IDBedeutung in einfachem Deutsch
1036Secure-Boot-DB-Update angewendet.
1043KEK-Update angewendet.
1044Microsoft Option ROM UEFI CA 2023 installiert.
1045Microsoft UEFI CA 2023 installiert.
17992023-signierter Windows Boot Manager installiert.
1800Neustart erforderlich.
1801Aktualisierte Zertifikate sind noch nicht in der Firmware angewendet.
1802Blockiert wegen bekanntem Firmwareproblem.
1803OEM-PK-signierter KEK fehlt; Microsoft sagt, Windows könne manche dieser Fälle nicht umgehen.
1808Vollständig aktualisiert.

Windows 10, Windows 7 und ältere PCs

Windows 10 erreichte am 14. Oktober 2025 das Ende des normalen Verbraucher-Supports. Manche Nutzer und Organisationen können über Extended Security Updates weiterlaufen, aber ein nicht unterstützter Windows-10-PC ist keine gute Basis für künftige Boot-Chain-Wartung.

Wenn du Windows 10 nutzt:

  • prüfen, ob das Gerät in ESU ist oder anderweitig noch Sicherheitsupdates erhält;
  • alle verfügbaren Wartungsupdates installieren und neu starten;
  • prüfen, ob Secure Boot aktiv ist und ob Windows-Sicherheit den Zertifikatsstatus meldet;
  • Firmware vom OEM aktualisieren, falls das Gerät noch unterstützt wird;
  • einen Plan machen, wenn PC oder Software die nötige Firmware-/Windows-Wartung nicht erhalten können.

Für sehr alte PCs, die Windows 11 nicht ausführen können und keinen sinnvollen OEM-Firmware-Support mehr haben, lautet die ehrliche Antwort möglicherweise Ersatz statt Registry-Workaround.

Wenn du noch Windows 7 hast

Windows 7 ist anders als Windows 10 oder 11. Microsoft beendete den normalen Windows-7-Support am 14. Januar 2020; das Mainstream-ESU-Programm lief nur bis 10. Januar 2023. Eingebettete, medizinische, industrielle oder Kassensysteme können real noch existieren, sind aber keine normalen Kandidaten für eine Windows-Update-getriebene Secure-Boot-Zertifikatsaktualisierung.

Secure Boot nicht beiläufig einschalten

Viele Windows-7-Installationen nutzen Legacy-BIOS/CSM-Boot oder alte UEFI-Annahmen. Secure Boot oder Firmware-Key-Resets können die Maschine unstartbar machen.

Nicht als geschützt zählen, nur weil die Firmware modern ist

Mainboard oder Laptop können neuere Firmware-Zertifikate erhalten, während das nicht unterstützte Windows 7 weiterhin keine aktuelle Windows-Sicherheitswartung bekommt.

Ersatz- oder Isolationsplan erstellen

Wenn die Maschine ein Werkzeug, eine Kasse, ein Laborgerät oder eine alte Business-App steuert, dokumentiere die Funktion, sichere sie, isoliere sie vom Internet und plane einen unterstützten Ersatzpfad.

Praktische Windows-7-Checkliste:

  1. Vollständiges Datenträgerabbild und getesteten Restore-Pfad sichern, bevor Firmware angefasst wird.
  2. Secure Boot, CSM, UEFI-Modus oder TPM nicht ändern, ohne den exakten Bootpfad auf Ersatzhardware oder geklontem Laufwerk getestet zu haben.
  3. Web, E-Mail und tägliche Nutzerarbeit von dieser Maschine entfernen.
  4. In ein eingeschränktes Netzwerk/VLAN setzen oder offline halten, wenn möglich.
  5. Firewall-Allowlist nur für nötige Server oder Geräte nutzen.
  6. Nicht unterstützte Fernzugriffstools ersetzen und eingehenden Zugriff blockieren.
  7. Software-/Hardwarehersteller nach einem unterstützten OS-Pfad fragen.

Wenn eine Maschine wichtig genug ist, dass “einfach upgraden” nicht realistisch ist, ist sie wichtig genug, um als Betriebsrisiko behandelt zu werden.

Was du senden solltest, bevor jemand die Firmware anfasst

Wenn du eine zweite Meinung einholen möchtest, sende folgende, datenschutzfreundliche Informationen:

  • Die Statusmeldung zu den Secure-Boot-Zertifikaten aus Windows-Sicherheit > Gerätesicherheit > Secure Boot.
  • Die Systemzusammenfassung aus msinfo32 mit BIOS-Modus, Secure-Boot-Zustand, Systemhersteller und Systemmodell.
  • Die Windows Update-Seite, die zeigt, ob ein Neustart oder ein fehlgeschlagenes Update aussteht.
  • Die genaue BIOS/UEFI-Version, falls deine Hersteller-Update-App diese anzeigt.
  • Ob BitLocker/die Geräteverschlüsselung aktiv ist und ob der Wiederherstellungsschlüssel gesichert wurde. Sende nicht den Schlüssel selbst.
  • Deine Situation: Heim-PC, Arbeits-/Schullaptop, kleine Büroflotte, Dual Boot, VM, altes Windows 10 oder eine Windows 7/Legacy-Maschine.

Das gibt einem Helfer genügend Kontext, um zu sagen: „Einfach weiter aktualisieren und neu starten“, „Auf der OEM-BIOS-Seite nachsehen“, „Nichts anfassen, da verwaltet“ oder „Das ist ein Fall für Legacy-Risikoplanung“. Es verhindert auch das typische Muster, bei dem jemand eine Warnung sieht und sofort Secure-Boot-Schlüssel zurücksetzt.

Linux-Dual-Boot, PXE und VMs

Dual-Boot-Systeme brauchen mehr Vorsicht als reine Windows-PCs. Viele Linux-Distributionen nutzen einen Microsoft-signierten shim-Bootloader für Secure Boot. Der genaue Übergang zu 2023-signierten Komponenten hängt von Distribution, shim-Paket und Firmware-Vertrauensdatenbank ab.

Praktischer Ansatz:

  • Windows und Linux-Distribution aktualisieren, bevor Secure-Boot-Vertrauen geändert wird;
  • Secure-Boot-/shim-Hinweise der Distribution prüfen;
  • breite DBX-Sperrungen erst anwenden, wenn beide Bootpfade weiter funktionieren;
  • aktuellen Recovery-USB für jedes OS bereithalten.

PXE- und WinPE-Umgebungen sind ähnlich. Wenn Netzwerkboot- oder Deployment-Medien noch von alten 2011-signierten Bootkomponenten abhängen, können Sperrschritte sie brechen.

Auch VMs verdienen einen Check. Hyper-V-Hosts und -Gäste brauchen aktuelle Windows-Wartung für den Zertifikatswechsel. Bei VMware oder anderen Plattformen sollten Admins Herstellernotizen lesen, bevor sie Secure-Boot-Sperrungen breit anwenden.

Begriffe ohne Nebel

BegriffEinfach erklärtWarum es wichtig ist
Secure BootUEFI-Funktion, die Bootsoftware-Signaturen vor Windows prüft.Blockiert manche Bootkits und unerlaubten frühen Bootcode.
UEFIModerne Firmware-Schnittstelle, die Legacy-BIOS auf den meisten PCs ersetzt hat.Secure Boot hängt vom UEFI-Modus ab.
KEKKey Exchange Key; autorisiert Änderungen an Secure-Boot-Vertrauensdatenbanken.Wenn KEK-Vertrauen veraltet oder fehlt, können Updates scheitern.
DBDatenbank erlaubter Signaturen.Enthält Zertifikate und Hashes, denen Firmware vertraut.
DBXDatenbank verbotener Signaturen.Blockiert bekannte schlechte oder widerrufene Bootkomponenten.
Windows UEFI CA 2023Neues Zertifikat für das Vertrauen in den Windows Boot Manager.Windows braucht es für die 2023-Bootkette.
Microsoft UEFI CA 2023Neues Zertifikat für Drittanbieter-UEFI-Apps/Loader.Relevant für Nicht-Windows-Bootpfade und Tools.
Option ROM UEFI CA 2023Neues Zertifikat für bestimmte Gerätefirmware-Bootkomponenten.Relevant für Hardware mit Option-ROM-Bootpfaden, etwa manche Netzwerk-/Speichergeräte.
Boot ManagerFrühe Windows-Komponente, die das Betriebssystem startet.Alte verwundbare Boot Manager gehören zur BlackLotus-Härtungsgeschichte.

Die ruhige Version ist auch die ernste Version: normal aktualisieren, den tatsächlichen Zertifikatsstatus prüfen und aus einem handhabbaren Zertifikatswechsel kein selbst verursachtes Bootproblem machen.

Sichere Reihenfolge zum Schluss

Nutze Microsofts Übersicht zum Ablauf der Secure-Boot-Zertifikate, die Windows-Sicherheits-Statusseite und das Windows IT Pro Playbook als Richtschnur für den genauen Wortlaut und den Rollout-Status. Für den normalen Anwender ist die Vorgehensweise jedoch einfacher:

  1. Halte Windows aktuell.
  2. Starte neu und prüfe die Statusmeldung der Zertifikate in Windows-Sicherheit.
  3. Sichern vor Firmware-Arbeiten die BitLocker-Wiederherstellungsschlüssel.
  4. Prüfe das genaue Gerätemodell und die OEM-Update-Hinweise, wenn Windows Firmware-Maßnahmen meldet.
  5. Baue alte Rettungsmedien neu, bevor breite Sperrungen oder Flottenänderungen vorgenommen werden.
  6. Setze keine Schlüssel zurück, deaktiviere Secure Boot nicht, schalte CSM/UEFI nicht um und flashe das BIOS nicht voreilig, nur weil eine Warnung existiert.

Wenn das Gerät so alt ist, dass der OEM keine Firmware-Updates mehr anbietet, plane um diese Realität herum, anstatt Registry-Workarounds zu erzwingen.

Offizielle Seiten, die sich lohnen

Bei diesem Thema sind Microsofts Seiten kein Schmuck, sondern der sicherste Ort, um Statusmeldungen vor Firmware-Änderungen zu prüfen. Starte mit der Übersicht zum Ablauf der Secure-Boot-Zertifikate, der Statusseite in Windows-Sicherheit und dem Secure-Boot-2026-Playbook. Wenn es um Revocations, BitLocker, Wiederherstellungsmedien oder mehrere Geräte geht, lies zusätzlich die Anleitung des Geräteherstellers.