Bereite dich jetzt vor: Microsoft warnt vor Secure-Boot-Zertifikats-Update
Ab Juni 2026 laufen mehrere wichtige Secure-Boot-Zertifikate von Microsoft ab – darunter die grundlegenden Zertifikate aus dem Jahr 2011, die auf Millionen von Geräten weltweit genutzt werden. Wenn du einen Windows-PC, ein Dual-Boot-System mit Linux oder macOS oder virtuelle Maschinen mit Secure Boot nutzt, betrifft dich dieses Thema direkt. Microsoft spricht von einer bedeutenden Umstellung – also höchste Zeit, dich frühzeitig vorzubereiten.
Die Secure-Boot-Zertifikate wurden entwickelt, um den Startprozess deines Systems vor Schadsoftware zu schützen. Doch nun steht ein großer Umbruch bevor: Die bisherigen Zertifikate – „KEK CA 2011“, „UEFI CA 2011“ und „Windows Production PCA 2011“ – verlieren ihre Gültigkeit. Ohne ein Update wirst du nach Juni 2026 keine Secure-Boot-Updates mehr erhalten. Noch kritischer: Neue Bootloader oder signierte Komponenten werden vom System nicht mehr akzeptiert – das betrifft sowohl Sicherheitsupdates als auch neu installierte Betriebssysteme.
Microsoft hat bereits neue Zertifikate (aus 2023) eingeführt, die langfristig die alten ersetzen sollen. Das bedeutet für dich: Firmware- und Windows-Updates sind Pflicht, und zwar rechtzeitig. Wichtig ist, dass du Secure Boot auf deinen Geräten aktiviert lässt – denn nur dann lassen sich die neuen Zertifikate überhaupt installieren. Wenn du Secure Boot deaktivierst, bevor du das Update durchführst, riskierst du, dass dein System beim Reaktivieren der Funktion nicht mehr korrekt startet.
Auch wenn du Linux nutzt – etwa in einem Dual-Boot mit Windows – oder virtuelle Maschinen betreibst, solltest du handeln. Viele Linux-Distributionen verwenden Microsofts Zertifikate, um mit Secure Boot kompatibel zu bleiben. Läuft dein System nach 2026 noch mit alten Schlüsseln, könnten neue Kernel oder Bootloader nicht mehr starten – mitunter ohne klare Fehlermeldung.
Was du jetzt tun solltest:
Prüfe regelmäßig Firmware-Updates deines Geräteherstellers und installiere sie rechtzeitig.
Sorge dafĂĽr, dass deine Windows-Installation aktuell ist und automatische Updates erlaubt.
Nutzt du Linux? Dann schau dir Tools wie
fwupdmgran, um Firmware- und Schlüsselupdates im Blick zu behalten.Lass Secure Boot aktiviert – nur so lässt sich das Zertifikat-Update durchführen.
Microsoft hat bereits angekündigt, das Update in mehreren Schritten zu verteilen – zunächst optional, später verpflichtend. Ab Oktober 2026 sollen auch die Zertifikate für Bootkomponenten wie den Bootloader auslaufen. Dann wird es ohne Update endgültig kritisch.
Wenn du dich jetzt vorbereitest, sparst du dir später viel Ärger. Gerade bei Systemen, die du selten neu aufsetzt – etwa Server, spezielle Arbeitsrechner oder Testumgebungen – ist es sinnvoll, sich frühzeitig um Firmware- und OS-Kompatibilität zu kümmern. Achte auch darauf, dass deine Backup-Strategie greift, falls nach einem BIOS-Update etwas schiefläuft.
Kurz gesagt: Es steht ein großer Wechsel an – aber mit etwas Vorbereitung kannst du ihn problemlos meistern. Und du sicherst dir gleichzeitig auch weiterhin zuverlässigen Schutz vor Bootkits wie BlackLotus und Co.