Secure Boot-Zertifikate laufen ab

Die originalen Microsoft Secure Boot-Zertifikate aus dem Jahr 2011 laufen im Juni 2026 ab. Für Unternehmen, die vorher nicht die notwendigen Maßnahmen ergreifen, hat das konkrete Folgen: Sicherheitsupdates für den Boot-Prozess können dann nicht mehr eingespielt werden.

Ziel dieses Artikels ist es, die wesentlichen Fakten, mögliche Konsequenzen und einen klaren Handlungsrahmen darzustellen.

1. Was ist Secure Boot und warum laufen dessen Zertifikate jetzt ab?

Secure Boot ist eine UEFI-Sicherheitsfunktion, die sicherstellt, dass beim Systemstart nur digital signierte und vertrauenswürdige Software ausgeführt wird. Und zwar bevor Windows lädt. Die Basis dafür bilden Zertifikate, die fest in der Geräte-Firmware verankert sind.

Die betroffenen Zertifikate

 Microsoft betreibt drei zentrale Zertifikate, auf die alle Windows-Geräte mit aktiviertem Secure Boot vertrauen:

– Microsoft Corporation KEK CA 2011
– Microsoft Windows Production PCA 2011
– Microsoft Corporation UEFI CA 2011

Alle drei wurden 2011 ausgestellt, mit fester Laufzeit. Diese endet im Juni 2026.

Betroffene Systeme

– Physische Geräte und virtuelle Maschinen (VMs)
– Windows 10, Windows 11
– Windows Server 2012 R2 bis Windows Server 2025

2. Was passiert, wenn nichts unternommen wird?

Geräte ohne die neuen 2023-Zertifikate starten zunächst weiterhin normal. Auch Standard-Windows-Updates werden wie gewohnt installiert.

Was nicht mehr funktioniert

– Neue Sicherheitsupdates für den Windows Boot Manager werden nicht eingespielt
– Aktualisierungen der Secure Boot-Datenbanken (DB/DBX) und Sperrlisten schlagen fehl
– Patches für Schwachstellen im Boot-Chain bleiben dauerhaft aus

Betroffene Geräte geraten damit in einen degradierten Sicherheitszustand und werden mit der Zeit zunehmend angreifbar. Das ist kein theoretisches Szenario: Das BlackLotus UEFI-Bootkit (CVE-2023-24932) zeigt, dass dieser Angriffsvektor bereits aktiv genutzt wird. Herkömmliche Antivirus-Software erkennt solche Bedrohungen in der Regel nicht.

Wichtig: Secure Boot zu deaktivieren ist keine akzeptable Lösung. Das würde den Schutz vollständig aufheben und neue Sicherheits- sowie Compliance-Risiken erzeugen.

3. Warum sind Unternehmensumgebungen besonders betroffen?

Windows-Clients
In den allermeisten Umgebungen unserer Kunden werden Updates phasenweise und kontrolliert ausgerollt, die neuen 2023-Zertifikate kommen daher nicht zwingend automatisch auf allen Geräten an.

Windows Server
Windows Server erhält die neuen Zertifikate nicht automatisch. Manuelles Handeln ist hier zwingend erforderlich. Einzige Ausnahme: für Windows Server 2025 zertifizierte Plattformen, die die 2023-Zertifikate bereits in der Firmware mitbringen.

Windows 10 ohne ESU
Für Windows-10-Geräte außerhalb des Microsoft Extended Security Update (ESU)-Programms erfolgt keine automatische Verteilung. Umgebungen mit noch vorhandenem Windows 10 müssen hier besonders aufmerksam sein.

4. Was ist jetzt zu tun?

Microsoft empfiehlt ausdrücklich einen strukturierten, zentral gesteuerten Rollout, kein Vorgehen auf Einzelgeräten. Der Prozess lässt sich in vier Schritte unterteilen.

Schritt 1: Inventar erstellen

• Welche Geräte haben Secure Boot überhaupt aktiviert?
• Welche davon verfügen bereits über die 2023-Zertifikate?
• Prüfung via PowerShell oder Registry-Key

Schritt 2: OEM-Firmware-Updates einspielen

Firmware-Updates der Gerätehersteller müssen vor dem Rollout der neuen Zertifikate erfolgen, sonst kann Windows die Zertifikate nicht korrekt an die Firmware übergeben.

Schritt 3: Rollout planen und pilotieren

• Nach einer Konfigurationsänderung ca. 48 Stunden und mindestens einen Neustart einplanen
• Gestuftes Vorgehen mit definierten Pilotgruppen ist ausdrücklich empfohlen
• Deployment-Methoden nicht mischen, jedes Gerät über einen klar definierten Weg verwalten

Schritt 4: Monitoring einrichten

Verschiedene Windows Eventlog Ereignisse oder Registry Keys (u.a. UEFICA2023Status) geben Auskunft über den aktuellen Zertifikats-Update-Status der Systeme. Diese sollten abgefragt und zentral überwacht werden.

5. Welche Management-Tools kommen in Frage?

Gruppenrichtlinien (GPO)
Neue GPO-Einstellungen sind unter Computer Configuration > Administrative Templates > Windows Components > Secure Boot verfügbar. Voraussetzung: Die aktuellen ADMX-Templates sind im Central Store in SYSVOL gepflegt – dieses Update steht in einigen Umgebungen möglicherweise noch aus.

Microsoft Intune
Über einen CSP lassen sich Secure Boot-Einstellungen per Settings Catalog-Richtlinie ausrollen. Zusätzlich bieten sich Intune Remediations an, um den Zertifikatsstatus geräteübergreifend zu erheben und bei Bedarf zu korrigieren.

MECM / SCCM
Registry-Keys und PowerShell-Skripte lassen sich über Compliance Baselines oder Task Sequences ausrollen und überwachen. Das Microsoft-Monitoring-Skript für Intune eignet sich auch als Grundlage für SCCM Compliance Baselines.

ManageEngine Endpoint Central
Script-Deployment oder Konfigurationsrichtlinien bieten sich an, um die relevanten Registry-Schlüssel zu setzen und den Rollout-Status geräteübergreifend im Blick zu behalten.

Fazit

Die Secure Boot-Zertifikatsmigration erfordert strukturiertes und zeitnahes Vorgehen. Wer jetzt mit dem Inventar beginnt, Firmware-Updates prüft und einen kontrollierten Rollout plant, ist bis Juni 2026 gut aufgestellt. Besonders Windows Server-Umgebungen sowie Geräte außerhalb des automatischen Update-Prozesses erfordern manuelles Handeln.

Zusammenfassung der Schritte

1. Inventar erstellen: Secure Boot aktiviert? Zertifikatsstatus pro Gerät?
2. OEM-Firmware-Updates prüfen und einspielen
3. Deployment-Methode festlegen (GPO, Intune, MECM oder ManageEngine)
4. Pilotgruppe definieren und Rollout schrittweise ausrollen
5. Monitoring einrichten

Microsoft stellt unter aka.ms/GetSecureBoot eine laufend aktualisierte Ressource mit Playbooks, Tools und Statusinfos bereit.

Wenn Sie Unterstützung bei der Vorbereitung oder dem Rollout der Secure Boot-Zertifikatsaktualisierung in Ihrer Umgebung benötigen, sprechen Sie uns gerne an!

Quellen
1. Act now: Secure Boot certificates expire in June 2026
2. Secure Boot Playbook for certificates expiring in 2026
3. Windows Server Secure Boot Playbook
4. Windows Secure Boot certificate expiration and CA updates
5. Microsoft Intune method of Secure Boot for Windows devices