Secure Boot Zertifikate 2026: Was Administratoren jetzt tun müssen

2026 laufen Secure-Boot-Zertifikate aus dem Jahr 2011 ab, Zertifikate, die seit Windows 8 fester Bestandteil nahezu aller Windows-Systeme sind. Die gute Nachricht: Kein System fällt einfach aus. Die wichtige Nachricht: Ohne aktualisierte Zertifikate können Geräte langfristig keine sicherheitsrelevanten Boot-Updates mehr erhalten und bleiben damit auf einer besonders kritischen Ebene dauerhaft ungepatcht.

Dieser Artikel richtet sich an IT-Administratoren und IT-Architekten und beantwortet die entscheidenden Fragen: Welche Zertifikate laufen konkret ab und welche Prüf- und Vorbereitungsmaßnahmen sollten jetzt eingeplant werden?

Secure Boot Zertifikate 2026: Fakten für IT-Administratoren

Was sich ändert:

• Secure Boot prüft keine Ablaufdaten, Systeme starten auch nach 2026 weiterhin
• Abgelaufene Secure-Boot-Zertifikate können keine neuen Boot-Komponenten mehr signieren
• Geräte ohne aktualisierte Zertifikate erhalten langfristig keine sicherheitsrelevanten Boot-Updates mehr
• Microsoft verteilt seit 2023 neue Zertifikate über Windows Update

Was IT-Admins jetzt tun müssen:

• Prüfen, ob verwaltete Umgebungen die Aktualisierung explizit erlauben
• Verifizieren, ob Geräte bereits Zertifikate aus der neuen Kette verwenden

Konsequenz: Systeme ohne aktualisierte Secure-Boot-Zertifikate bleiben betriebsfähig, werden aber auf Dauer keine Boot-Sicherheitsupdates erhalten.

Was ist Secure Boot? Kurze Einordnung für Administratoren

Secure Boot ist ein Bestandteil der UEFI-Firmware und schützt die sogenannte Boot-Kette. Beim Systemstart wird geprüft, ob Bootloader, UEFI-Treiber und weitere frühe Komponenten kryptografisch signiert sind. Die Vertrauensbasis bilden Zertifikate und Schlüssel, die direkt in der Firmware gespeichert sind.

Wichtig für die Praxis: Secure Boot ist kein Windows-Feature im engeren Sinne, sondern ein Zusammenspiel aus Firmware, Secure-Boot-Datenbanken (PK, KEK, db, dbx) und dem von Microsoft signierten Boot Manager. Windows verwaltet diese Daten zwar aktiv, ist aber technisch auf die Fähigkeiten der UEFI-Firmware angewiesen.

Secure Boot ist damit Teil eines kontinuierlich gepflegten Vertrauensmodells, bei dem vertrauenswürdige Komponenten über aktualisierte Schlüssel und Sperrlisten definiert und regelmäßig angepasst werden.

Welche Secure-Boot-Zertifikate laufen 2026 ab?

Betroffen sind vor allem Secure-Boot-Zertifikate aus dem Jahr 2011, die seit Windows 8 standardmäßig verwendet werden. Dazu zählen unter anderem Zertifikate für die Key-Exchange-Key-Datenbank (KEK) sowie Signaturzertifikate für den Windows Boot Manager.

Die folgende Übersicht zeigt, welche Zertifikate konkret betroffen sind, wann sie ablaufen und welche Nachfolger Microsoft bereitstellt:

* Microsoft trennt die bisherige UEFI CA 2011 künftig in zwei Zertifikate auf. Das ermöglicht eine genauere Kontrolle darüber, welchen Komponenten Sie vertrauen.

Wichtig: Secure Boot wertet das Ablaufdatum dieser Zertifikate nicht aktiv aus. Ein Gerät mit abgelaufenen Zertifikaten startet daher auch nach 2026 weiterhin problemlos. Bereits signierte Boot-Komponenten funktionieren weiterhin ohne Einschränkung.

Die eigentliche Auswirkung: Update-Fähigkeit, nicht Boot-Ausfall

Die kritische Auswirkung zeigt sich nicht beim Start, sondern bei zukünftigen Updates. Abgelaufene Zertifikate können nicht mehr verwendet werden, um neue oder aktualisierte Boot-Komponenten zu signieren. Damit können Systeme ohne aktualisierte Secure-Boot-Datenbanken keine weiteren Sicherheitsfixes für den Bootprozess erhalten.

Für Administratoren bedeutet das: Kurzfristig bleibt alles ruhig, mittelfristig entsteht jedoch eine Sicherheitslücke auf einer besonders sensiblen Ebene. Gerade in regulierten Umgebungen oder bei längeren Hardware-Laufzeiten ist das kein akzeptabler Zustand.

Was sollten Administratoren jetzt konkret tun?

Für die meisten Umgebungen ist kein hektisches Handeln nötig, wohl aber eine bewusste Vorbereitung. Die Maßnahmen lassen sich in drei Ebenen einteilen.

• Update-Ebene
  • Sicherstellen, dass Windows Updates nicht dauerhaft blockiert oder extrem verzögert werden
  • In WSUS-, Intune- oder GPO-Setups prüfen, ob Secure-Boot-Servicing explizit erlaubt ist
• Firmware-Ebene
  • UEFI-/BIOS-Versionen bewerten, insbesondere bei Geräten, die älter als drei bis vier Jahre sind.
  • Firmware-Updates in die reguläre Lifecycle-Planung aufnehmen
• Betrieb & Sonderfälle
  • Prüfen, ob Geräte bereits Zertifikate aus der 2023er Secure-Boot-Kette nutzen
  • Offline-Systeme, isolierte Netze, Custom-Key-Setups und alte Referenz-Images gesondert betrachten

Secure Boot Status prüfen: PowerShell, Eventlog und Registry

Ob ein System bereits die neue Secure-Boot-Zertifikatskette (z. B. Windows UEFI CA 2023) nutzt, lässt sich auf mehreren Wegen prüfen. Idealerweise kombiniert man PowerShell-Abfragen mit Event-Log-Analysen und, bei Bedarf, einer Kontrolle im UEFI-Setup.

Für die Praxis reichen drei zentrale Fragen:

• Nutzt das Gerät bereits die neue Secure-Boot-Zertifikatskette (z. B. „Windows UEFI CA 2023")?
• Wurde das Update laut Eventlog erfolgreich durchgeführt?
• Welchen Rollout-Status meldet die Registry?

Die folgenden Schritte lassen sich direkt unter Windows mit einer administrativen PowerShell ausführen:

1. Aktive Secure-Boot-Datenbank (DB) prüfen

Die aktive DB enthält die Zertifikate, die beim Boot tatsächlich verwendet werden.

Mit diesem Befehl prüfen Sie, ob „Windows UEFI CA 2023" bereits aktiv ist:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).Bytes) -match "Windows UEFI CA 2023"

• True: Das neue Zertifikat ist aktiv und wird beim Start verwendet.
• False: Das Gerät nutzt noch die alten (2011er) Zertifikate.

2. Eventlog: Wurde das Update abgeschlossen?

Der Secure-Boot-Servicing-Prozess protokolliert seinen Fortschritt im System-Eventlog:

• Event 1801: Update vorbereitet / in Arbeit
• Event 1808: Update erfolgreich abgeschlossen

3. Registry: Rollout-Status auslesen

Zusätzlich dokumentiert Windows den Status in der Registry:

HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Schlüssel: UEFICA2023Status mögliche Werte:

• Updated: Update abgeschlossen
• InProgress: Rollout läuft
• NotStarted: Update noch nicht gestartet

4. Kontrolle im UEFI-/BIOS-Setup (optional)

Wer sicher gehen möchte, prüft zusätzlich in der Firmware. Je nach Hersteller finden sich die Einträge z. B. unter:

Secure Boot → Key Management

Dort sollten u. a. Einträge wie diese sichtbar sein:

• Windows UEFI CA 2023
• Microsoft Corporation KEK 2K CA 2023

Neue Gruppenrichtlinien (ADMX) für Secure Boot ab Oktober 2025

Für eine größere und zentral verwaltete Umgebungen stellt Microsoft ab Oktober 2025 neue administrative Vorlagen (ADMX) bereit. Diese ADMX-Vorlagen enthalten drei neue Gruppenrichtlinien, die speziell für die Verwaltung der Secure-Boot-Zertifikatsaktualisierung vorgesehen sind.

Innerhalb des Gruppenrichtlinien-Editors befinden sich diese unter:

Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Secure Boot

Die neuen Richtlinien dienen der Konfiguration der bereits bekannten Registry-Schlüssel und ermöglichen es Administratoren, den Update-Prozess strukturierter und konsistenter zu steuern.

Die drei neuen Richtlinien:

• Enable Secure Boot certificate updates Aktiviert grundsätzlich den Secure-Boot-Servicing-Mechanismus zur Aktualisierung der Zertifikate und des signierten Boot-Managers.
• Configure Microsoft Update Managed Opt In Setzt den Registry-Wert MicrosoftUpdateManagedOptIn. Sie erlaubt es Microsoft, die Aktualisierung der Secure-Boot-Zertifikate im Rahmen eines kontrollierten Feature-Rollouts über Windows Update durchzuführen.
• Configure High Confidence Opt Out Steuert, ob ein Gerät vom sogenannten High-Confidence-Bucket ausgeschlossen wird. Dieser Mechanismus wird von Microsoft genutzt, um die Zertifikatsaktualisierung bevorzugt auf Systemen durchzuführen, bei denen Firmware und Hardware-Kompatibilität als besonders hoch gelten.

Alle drei Richtlinien schreiben Werte unterhalb von:

HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot

Technisch ist das nichts Neues, die Richtlinien sind eine administrative Vereinfachung für das, was sich bisher nur manuell per Registry ließ. Für verwaltete Umgebungen ist das aber ein relevanter Unterschied: Der Rollout lässt sich jetzt konsistent und dokumentierbar steuern.

Typische Stolperfallen beim Secure-Boot-Rollout

Die häufigste Fehlerquelle ist nicht Windows selbst. In der Praxis scheitert der Rollout fast immer an Randbedingungen, die auf den ersten Blick nichts mit Secure Boot zu tun haben:

• deaktivierte Secure-Boot-Optionen
• veraltete Firmware
• restriktive Update-Freigaben oder
• lange ungepatchte Referenz-Images.

Besonders kritisch sind Geräte, die reguläre Windows-Sicherheitsupdates erhalten, bei denen Secure-Boot-Servicing aber unbewusst blockiert ist. Monitoring und Patch-Reporting zeigen diese Systeme als aktuell, beim Secure-Boot-Rollout bleiben sie trotzdem außen vor, ohne dass es jemand bemerkt.

Fazit: Kein Alarmismus, aber klare Admin-Aufgabe

Der Ablauf der Secure-Boot-Zertifikate 2026 ist kein Notfall, aber ein klarer Arbeitsauftrag für Administratoren. Wer Windows Update, Firmware und Secure Boot aktiv betreibt, wird kaum Probleme sehen. Wer Secure Boot hingegen jahrelang nicht betrachtet hat, sollte das Thema jetzt bewusst auf die Agenda setzen. Gerade weil der Effekt verzögert eintritt, ist jetzt der richtige Zeitpunkt für Prüfung, Planung und sauberen Rollout.

Secure Boot ist kein Projekt für „irgendwann später", aber eines, das sich heute ohne Zeitdruck kontrolliert erledigen lässt. Wer wartet, bis ein kritisches Update fehlschlägt, hat das Zeitfenster für eine kontrollierte Vorbereitung bereits verpasst.

Jetzt ist der richtige Moment, nicht später.

Wissen Sie, wo Ihre Umgebung wirklich steht?

Die kritischen Stolperfallen beim Secure-Boot-Rollout sind selten offensichtlich: blockiertes Servicing, veraltete Firmware, übersehene Offline-Systeme. In einem kostenfreien Readiness-Check schauen wir gemeinsam, ob und wo in Ihrer Umgebung Handlungsbedarf besteht.

Jetzt Readiness-Check anfragen und Termin vereinbaren

Häufige Fragen zu Secure Boot Zertifikaten 2026

Startet Windows nach Ablauf der Secure-Boot-Zertifikate 2026 weiterhin?

Ja. Secure Boot prüft beim Systemstart kein Ablaufdatum, sondern ausschließlich die Signatur. Geräte mit den 2011er Zertifikaten starten daher auch nach Juni und Oktober 2026 wie gewohnt. Bereits signierte Boot-Komponenten funktionieren weiterhin. Was wegfällt, ist die Möglichkeit, neue Boot-Sicherheitsupdates und aktualisierte Sperrlisten zu erhalten.

Welche Geräte sind vom Secure-Boot-Zertifikatswechsel besonders betroffen?

Kritisch sind vor allem drei Gerätegruppen: Systeme mit dauerhaft blockierten oder stark verzögerten Windows-Updates, Geräte mit veralteter UEFI-Firmware, häufig älter als drei bis vier Jahre, sowie Offline- oder isolierte Umgebungen, die das Servicing nicht automatisch erhalten. Auch Geräte mit Custom-Key-Setups und alte Referenz-Images sollten Sie gesondert prüfen.

Muss ich Secure Boot deaktivieren, um Probleme zu vermeiden?

Nein. Secure Boot zu deaktivieren ist keine empfohlene Reaktion auf den Zertifikatswechsel und schwächt die Plattformsicherheit erheblich. Die saubere Lösung besteht darin, das Secure-Boot-Servicing zuzulassen und sicherzustellen, dass das Gerät die neuen 2023er Zertifikate über Windows Update erhält.

Sind Windows Server vom Secure-Boot-Zertifikatswechsel betroffen?

Ja. Windows Server nutzt dieselbe Vertrauenskette wie Windows Client und ist damit gleichermaßen betroffen. Anders als bei Client-Systemen erfolgt der Rollout der neuen Zertifikate auf Servern nicht automatisch über die regulären Updates. Administratoren müssen die Aktualisierung aktiv anstoßen und überwachen.