Secure-Boot-Zertifikate laufen ab – jetzt handeln

Secure-Boot ist eine zentrale Sicherheitsfunktion moderner Windows-Systeme. Sie stellt sicher, dass beim Systemstart nur vertrauenswürdige Software ausgeführt wird. Was viele Unternehmen aktuell unterschätzen: Die zugrunde liegenden Zertifikate laufen in naher Zukunft ab. Ohne rechtzeitige Maßnahmen entsteht schleichend ein Sicherheitsrisiko – und perspektivisch auch technischer Handlungsdruck.

Die aktuell in Windows verwendeten Secure-Boot-Zertifikate stammen aus dem Jahr 2011 und laufen im Juni bzw. Oktober 2026 aus.

Ablaufendes Zertifikat	Ablaufdatum	Neues Zertifikat	Speicherort	Funktion
Schlüsselaustauschschlüssel (KEK) 2011 der Microsoft Corporation	Juni 2026	Microsoft Corporation KEK 2K CA 2023	Im KEK gespeichert	Signiert Updates für DB und DBX
Microsoft Windows Production PCA 2011	Oktober 2026	Windows UEFI CA 2023	In der Datenbank gespeichert	Wird zum Signieren des Windows-Startladeprogramms verwendet
Microsoft UEFI CA 2011*	Juni 2026	Microsoft UEFI CA 2023	In der Datenbank gespeichert	Signiert Startladeprogramme von Drittanbietern und EFI-Anwendungen
Microsoft UEFI CA 2011*	Juni 2026	Microsoft Option ROM UEFI CA 2023	In der Datenbank gespeichert	Signiert Options-ROMs von Drittanbietern

 

Begriffe:

• KEK: Schlüsselregistrierungsschlüssel
• CA: Zertifizierungsstelle
• DB: Signaturdatenbank für sicheren Start
• DBX: Datenbank für widerrufene Signaturen für den sicheren Start

*Während der Verlängerung des Microsoft Corporation UEFI CA 2011-Zertifikats werden zwei Zertifikate verwendet, um die Bootloader-Signatur von der Option-ROM-Signatur zu trennen.
Dies ermöglicht eine präzisere Kontrolle über die Systemvertrauensstellung. Systeme, die Options-ROMs vertrauen müssen, können z. B. die Microsoft Option ROM UEFI CA 2023 hinzufügen, ohne gleichzeitig eine Vertrauensstellung für Startladeprogramme von Drittanbietern zu schaffen (Quelle).

Für Unternehmen bedeutet das: Systeme verlieren schrittweise den Schutz auf Boot-Ebene – und damit eine zentrale Sicherheitsfunktion gegen moderne Angriffe.

Was wichtig ist

Geräte funktionieren zunächst weiter – jedoch in einem zunehmend unsicheren Zustand („degraded security state“).

Ein „degraded security state“ hat aktuell keine direkten Auswirkungen auf Startverhalten, TPM oder BitLocker, erhöht jedoch langfristig das Risiko für Sicherheitslücken sowie zukünftige Update- und Boot-Probleme.

Windows 10 ist End of Life

Windows 10 (ohne Extended Security Updates) erhält keine neuen Secure-Boot-Zertifikate mehr, da der Support am 14. Oktober 2025 ausgelaufen ist.
Unternehmen sollten betroffene Systeme zeitnah auf Windows 11 migrieren oder das ESU-Programm prüfen.

Wichtig für Server-Systeme

Im Gegensatz zu Windows-Clients erfolgt die Verteilung der Zertifikatsupdates bei Windows Server nicht automatisch über Microsoft-Rollout-Mechanismen.
Hier ist ein aktives Eingreifen durch die IT erforderlich.

Ausnahme: Neuere Server-Hardware (ab ca. 2024/2025) enthält die aktuellen 2023-Zertifikate in der Regel bereits ab Werk.

Herausforderung für Unternehmen

In der Praxis ist das Thema weniger technisch als organisatorisch herausfordernd:

• Welche Geräte sind betroffen?
• Welche Systeme haben die neuen Zertifikate bereits?
• Wo fehlen Firmware- oder Update-Voraussetzungen?
• Welche Altgeräte können ggf. nicht mehr aktualisiert werden?

Gerade in größeren Umgebungen mit heterogener Hardware entsteht hier schnell Intransparenz.

Unser Ansatz

Wir unterstützen Unternehmen dabei, diese Herausforderung strukturiert und skalierbar zu lösen – insbesondere im Client-Umfeld mit Microsoft Intune.

Im Fokus stehen dabei drei Punkte:

1. Transparenz über die gesamte Geräteflotte (Clients)
Über Intune lassen sich relevante Zustände zentral erfassen und konsolidieren.
So entsteht eine klare Übersicht darüber, welche Geräte Handlungsbedarf haben.

2. Steuerung von Updates und Rollout
Die Aktualisierung der Secure-Boot-Zertifikate kann über zentrale Mechanismen orchestriert werden – inklusive kontrollierter Verteilung und abgestimmter Rollout-Strategie.

3. Risikobewertung und Priorisierung
Nicht alle Geräte lassen sich gleich behandeln.
Wir helfen dabei, kritische Systeme zu priorisieren und Altgeräte gezielt zu bewerten (z. B. Upgrade vs. Austausch).

Hinweise

Hinweis – BitLocker
Die Aktualisierung der Secure-Boot-Zertifikate kann Änderungen an der Boot-Vertrauenskette verursachen.
In der Praxis führt dies häufig dazu, dass BitLocker einen veränderten Systemzustand erkennt und eine Recovery auslöst. Daher sollte der Update-Prozess zentral gesteuert und BitLocker temporär ausgesetzt werden.

Hinweis – Windows Updates
Die Verteilung der neuen Secure-Boot-Zertifikate erfolgt zwar über Windows Updates, deren Anwendung ist jedoch von der zugrunde liegenden UEFI-Firmware abhängig. In vielen Fällen sind daher zusätzliche BIOS- bzw. Firmware-Updates erforderlich.

Hinweis – BIOS/UEFI-Einstellungen
Auch wenn die Firmware-Updates der Hersteller eingespielt sind und die neuen Zertifikate über Windows Update verteilt werden, können bei bestimmten Modellen zusätzliche Konfigurationen im UEFI/BIOS notwendig sein, um die Zertifikate im Boot Manager zu aktivieren.

Fazit

Das Auslaufen der Secure-Boot-Zertifikate ist kein kurzfristiger Ausfall, sondern ein schleichendes Sicherheitsrisiko.

Unternehmen sollten daher frühzeitig:

• eine Übersicht über ihre Geräteflotte schaffen
• den Aktualisierungsstand bewerten
• eine strukturierte Update-Strategie umsetzen

Mit einem modernen Management-Ansatz über Microsoft Intune lässt sich der Prozess zentral steuern und nachhaltig absichern.

Weitere nützliche Links:
Zertifikatupdate für den sicheren Start status in der Windows-Sicherheit-App - Microsoft-Support
Secure Boot playbook for certificates expiring in 2026
Sicherer Start | Microsoft Learn