Microsoft schlägt Alarm: Millionen von Windows-Geräten benötigen bis Juni 2026 ein entscheidendes Sicherheitsupdate. Die Secure Boot-Zertifikate, die über ein Jahrzehnt lang Windows-Systeme vor Boot-Malware schützten, laufen ab und müssen weltweit erneuert werden. Ohne diese Updates drohen Startprobleme und massive Sicherheitslücken.

Anzeige: Apropos Startprobleme: Ein Windows‑11‑Boot‑Stick bringt streikende PCs wieder zum Laufen, ermöglicht Reparaturen und eine saubere Neuinstallation. Der kostenlose Ratgeber zeigt Schritt für Schritt, wie Sie den USB‑Stick erstellen und richtig einsetzen – inklusive Checkliste und Fehlervermeidung. Jetzt den Notfall‑Guide sichern: Gratis‑Report „Windows 11 Boot‑Stick erstellen“ herunterladen

Der US-Konzern warnt eindringlich vor den Folgen: Systeme könnten ihre Fähigkeit verlieren, kritische Boot-Komponenten zu überprüfen. Das würde Hackern Tür und Tor für raffinierte Angriffe wie Bootkits öffnen. Betroffen sind nicht nur Windows 10 und 11, sondern auch Server-Editionen sowie Linux- und macOS-Systeme.

Für Privatnutzer mit aktivierten automatischen Updates läuft die Umstellung im Hintergrund ab. Unternehmen und Nutzer mit manueller Update-Verwaltung müssen jedoch sofort handeln.

Das Problem: Digitale Verfallsdaten erreichen ihr Limit

Secure Boot bildet das Fundament der UEFI-Sicherheit und stellt sicher, dass Geräte nur mit vertrauenswürdiger Software starten. Diese Technologie basiert auf kryptografischen Zertifikaten in der System-Firmware. Die mit Windows 8 um 2011 eingeführten Zertifikate haben eine 15-jährige Lebensdauer – und erreichen jetzt ihr Ablaufdatum.

Läuft ein Key Enrollment Key (KEK) oder die Allowed Signature Database (DB) ab, verliert die Firmware das Vertrauen in den Windows-Bootloader. Die Folge? Systeme starten nicht mehr ordnungsgemäß. Schlimmer noch: Sicherheitsupdates für Boot-Komponenten können nicht mehr eingespielt werden. Das schafft dauerhafte Schwachstellen, die Angreifer mit schwer zu erkennender Malware ausnutzen können.

Millionen Geräte im Visier der Hacker

Der Umfang ist gewaltig: Nahezu alle Windows-Rechner seit 2012 sind betroffen, egal ob physische oder virtuelle Maschinen. Das schließt alle unterstützten Windows 10- und 11-Versionen sowie Windows Server-Editionen von 2012 bis 2025 ein. Nur die neuesten Copilot+ PCs von 2025 bleiben verschont – sie kamen bereits mit aktualisierten 2023-Zertifikaten auf den Markt.

Das Problem reicht aber weit über Windows hinaus. Da UEFI-Zertifikate ein Industriestandard sind, müssen auch Linux-Distributionen und macOS-Systeme auf Apple-Hardware nachziehen, sofern sie auf Microsofts Certificate Authority für Secure Boot setzen. Diese branchenweite Herausforderung macht die koordinierte Zertifikats-Erneuerung zu einem kritischen Ereignis für die gesamte PC-Industrie.

Microsofts Notfallplan: Automatik für Verbraucher, Aktion für Unternehmen

Microsoft setzt primär auf Windows Update zur Verteilung der neuen "Windows UEFI CA 2023"-Zertifikate. Verbrauchergeräte mit automatischen Updates erhalten die Aktualisierung ohne Nutzereingriff. Doch IT-Administratoren in Unternehmen stehen unter Handlungsdruck: Sie müssen sofort eine Deployment-Strategie für ihre Geräteflotten entwickeln.

Entscheidend ist dabei aktuelle Firmware. Microsoft rät dringend zur Abstimmung mit den Geräteherstellern, um vor der Zertifikat-Installation die neuesten Firmware-Updates einzuspielen. Windows 10-Nutzer stehen zusätzlich unter Zeitdruck: Nach dem Support-Ende im Oktober 2025 sind sie auf das kostenpflichtige Extended Security Updates-Programm angewiesen, um die kritischen Zertifikate zu erhalten.

Anzeige: Für alle, die den Wechsel zu Windows 11 jetzt sicher planen möchten: Der kostenlose Report „Windows 11 Komplettpaket“ führt Schritt für Schritt durch Installation sowie Daten‑ und Programmübernahme – stressfrei und ohne Risiko. Ideal für Windows‑10‑Nutzer, die ihre Dateien behalten und schnell startklar sein wollen. Jetzt gratis anfordern: Windows 11 Komplettpaket

Cybersecurity-Experten schlagen Alarm

Die groß angelegte Zertifikat-Rotation ist eine proaktive, aber komplexe Maßnahme zum Schutz des Secure Boot-Ökosystems. Das Versäumnis der Updates könnte katastrophale Folgen haben: Eine Welle anfälliger Systeme würde Bootkits wie dem berüchtigten BlackLotus UEFI-Exploit Tür und Tor öffnen. Diese Malware überwindet Sicherheitsmaßnahmen und überlebt sogar Neuinstallationen des Betriebssystems.

Security-Experten betonen die meist unsichtbaren Vertrauensebenen moderner Computer-Sicherheit. Während Endnutzer selten mit UEFI-Firmware interagieren, ist deren ordnungsgemäße Funktion überlebenswichtig. Die jüngste Entdeckung der "HybridPetya"-Ransomware, die UEFI-Schwachstellen ausnutzt und Secure Boot auf ungepatchten Systemen umgeht, unterstreicht die realen Gefahren veralteter Boot-Komponenten.

Countdown zur digitalen Bereitschaft

Mit der Deadline im Juni 2026 wird Microsoft die Kommunikation intensivieren. Bereits im Juli 2025 veröffentlichte das Unternehmen das außerplanmäßige Update KB5064489 zur Vorbereitung auf die Zertifikat-Umstellung. Detaillierte FAQs und technische Leitfäden stehen IT-Profis zur Verfügung.

Unternehmen müssen jetzt ihre Geräte inventarisieren, Firmware-Updates mit Herstellern koordinieren und neue Zertifikate über verwaltete Update-Kanäle ausrollen. Privatnutzer haben es einfacher: Geräte mit dem Internet verbunden lassen und Windows Update aktiviert halten. Von diesen kollektiven Anstrengungen hängt das reibungslose Funktionieren einer der wichtigsten Sicherheitsfunktionen im Windows-Ökosystem ab. Ohne sie könnte die digitale Basis von Millionen Geräten bröckeln – und einer neuen Generation heimtückischer Bedrohungen den Weg ebnen.