Es passiert nicht oft, dass Microsoft einen Termin setzt, der wirklich unter die Haut geht. Aber der 24. Juni 2026 ist so einer. An diesem Tag laufen die ersten Secure Boot Zertifikate ab, die seit 2011 in praktisch jedem Windows-PC stecken. Und nein, dein Rechner wird dann nicht einfach explodieren – aber wer das Update verpasst, riskiert langfristig ein Sicherheitsloch genau dort, wo Windows am verwundbarsten ist: beim Hochfahren.
Was ist Secure Boot überhaupt – und warum ist das wichtig?
Secure Boot ist eine Sicherheitsfunktion, die in deiner UEFI-Firmware sitzt – also noch bevor Windows überhaupt startet. Die Aufgabe? Sicherstellen, dass nur vertrauenswürdige Software den Boot-Prozess übernehmen darf. Bootkits und andere Malware, die sich vor dem Betriebssystem einnisten wollen, werden so ausgesperrt.
Die Vertrauenswürdigkeit wird dabei über kryptografische Zertifikate geprüft. Und genau diese Zertifikate stammen noch aus dem Jahr 2011 – aus der Windows-8-Ära. Nach 15 Jahren treuen Dienstes ist jetzt Schluss. Microsoft rollt seit Monaten neue 2023er-Zertifikate aus, die bis 2038 gültig sein werden.
Was passiert, wenn ich nichts tue?
Hier die gute Nachricht zuerst: Dein PC wird am 25. Juni nicht zum Briefbeschwerer. Windows startet weiterhin, normale Updates laufen auch noch durch. Aber – und das ist das entscheidende Aber – du verlierst die Fähigkeit, künftige Boot-Level-Sicherheitsupdates zu erhalten.
Konkret bedeutet das: Keine Updates mehr für den Windows Boot Manager, keine neuen Einträge in der Secure Boot Datenbank, keine Sperrlisten für kompromittierte Bootloader. Wenn morgen ein neuer Bootkit-Angriff bekannt wird, kann Microsoft dein System nicht mehr davor schützen – zumindest nicht auf dieser tiefen Ebene.
Microsoft selbst formuliert es so: Betroffene Geräte geraten in einen degradierten Sicherheitszustand. Das Risiko ist kumulativ – je länger du wartest, desto angreifbarer wird dein System auf Boot-Ebene.
So prüfst du, ob dein PC bereit ist
Die gute Nachricht: Für die meisten Nutzer passiert das Update automatisch. Wenn du Windows Update aktiviert hast und dein PC nicht gerade antik ist, bist du vermutlich schon auf der sicheren Seite.
Zur Kontrolle gehst du in die Windows-Sicherheit (einfach danach suchen), dann auf Gerätesicherheit und scrollst runter zum Abschnitt Secure Boot. Drei Status sind möglich:
- Grünes Häkchen: Alles in Ordnung, die neuen Zertifikate sind installiert.
- Gelbes Ausrufezeichen: Update steht noch aus oder konnte nicht abgeschlossen werden.
- Rotes Stoppsymbol: Handlungsbedarf – dein System braucht wahrscheinlich ein Firmware-Update vom Hersteller.
Bei Gelb oder Rot solltest du auf der Support-Seite deines PC- oder Mainboard-Herstellers nach BIOS/UEFI-Updates schauen. Manche ältere Systeme brauchen erst ein Firmware-Update, bevor Windows die neuen Zertifikate überhaupt akzeptieren kann.
Was IT-Admins jetzt wissen müssen
Für Unternehmen ist die Situation komplexer. Microsoft empfiehlt dringend, vor dem Rollout mindestens vier Geräte pro Hersteller/Modell/Firmware-Kombination zu testen. Besonders betroffen sind:
- Rechner mit BitLocker-Verschlüsselung
- Dual-Boot-Systeme mit Linux
- Ältere Hardware ohne aktuellen Firmware-Support
- Virtuelle Maschinen in Hyper-V
- PXE-Boot-Umgebungen mit SCCM/MECM
Microsoft stellt PowerShell-Skripte bereit, um den Zertifikatsstatus flottenweit zu inventarisieren. Ein neuer Secure Boot Status Report ist außerdem in Windows Autopatch verfügbar.
Mein Fazit
Ich gebe zu: Secure Boot ist nicht gerade ein Thema, das einem den Puls hochtreibt. Aber genau das macht es gefährlich. Die besten Sicherheitsmaßnahmen sind die, die im Hintergrund laufen – und wenn die veralten, merkst du es erst, wenn es zu spät ist.
Mein Rat: Nimm dir fünf Minuten, prüf den Status in der Windows-Sicherheit, und schau bei Bedarf nach einem BIOS-Update. Das ist alles. Wer seine Updates automatisch bezieht, muss wahrscheinlich gar nichts tun. Aber wissen, dass man nichts tun muss, ist besser als hoffen.
Microsoft hat hier einen bemerkenswerten Job gemacht: 15 Jahre alte Sicherheits-Infrastruktur auf Millionen Rechnern austauschen, ohne dass die Welt untergeht. Respekt. Jetzt liegt es an uns, das Update nicht zu verschlafen.
Kommentar verfassen