Es ist eine der unauffälligsten Komponenten Ihrer IT-Landschaft – und sie hat ein Ablaufdatum, das gefährlich nah ist. Im Juni 2026 beginnen die Secure-Boot-Zertifikate abzulaufen, die seit 2011 in praktisch jedem Windows-PC und -Server stecken. Wer jetzt nicht handelt, riskiert nicht den sofortigen Stillstand, aber etwas fast Heimtückischeres: Geräte, die ab diesem Sommer keine Sicherheitsupdates für ihre Boot-Kette mehr erhalten und neuer, korrekt signierter Software das Vertrauen verweigern.

Für den Mittelstand ist das kein abstraktes Microsoft-Thema. Es betrifft jeden Arbeitsplatz-PC, jeden Hyper-V-Host, jede virtuelle Maschine und jeden physischen Server, der mit aktiviertem Secure Boot läuft. Dieser Artikel erklärt, was genau abläuft, welche Zertifikate betroffen sind und welche konkreten Schritte Sie in den nächsten Wochen einleiten sollten.

Was im Juni 2026 wirklich passiert

Secure Boot ist die Schutzschicht, die zwischen dem Einschalten Ihres Geräts und dem Start von Windows liegt. Die UEFI-Firmware prüft beim Hochfahren mit kryptografischen Schlüsseln, ob der Bootloader und die frühen Treiber von einer vertrauenswürdigen Stelle signiert wurden. Diese Vertrauensanker sind Zertifikate von Zertifizierungsstellen (Certificate Authorities, CAs) – und genau die laufen jetzt aus.

Konkret betroffen sind drei Zertifikate mit gestaffelten Ablaufdaten:

Microsoft Corporation KEK CA 2011 – der Key Exchange Key, der Aktualisierungen der vertrauenswürdigen Datenbanken (DB und DBX) autorisiert. Läuft im Juni 2026 ab.

Microsoft Corporation UEFI CA 2011 – auch bekannt als „Third Party UEFI CA", die unter anderem Optionen-ROMs von Steckkarten und den Bootloader von Linux-Distributionen über Shim signiert. Läuft ebenfalls im Juni 2026 ab.

Microsoft Windows Production PCA 2011 – signiert den Windows-Bootloader selbst. Läuft im Oktober 2026 ab.

An ihre Stelle treten die neuen 2023-Zertifikate. Microsoft hat die Signaturkette dabei sauberer aufgeteilt: Die Microsoft Corporation KEK 2K CA 2023 ersetzt den alten KEK und autorisiert künftige DB- und DBX-Updates. Die Windows UEFI CA 2023 übernimmt die Signatur der Windows-Boot-Komponenten. Und eine separate Microsoft UEFI CA 2023 (Option ROM UEFI CA 2023) ist ausschließlich für Drittanbieter-Firmware und Add-in-Karten zuständig. Diese Trennung von Bootloader-Signatur und Optionen-ROM-Signatur ist ein sicherheitstechnischer Fortschritt – aber nur, wenn die neuen Zertifikate auch tatsächlich auf Ihren Geräten ankommen.

Die eigentliche Gefahr: kein Knall, sondern ein leises Verstummen

Hier liegt das Missverständnis, das viele IT-Verantwortliche in falscher Sicherheit wiegt: Ihre Rechner starten auch nach Juni 2026 weiter. Es gibt keinen Bluescreen, keine Fehlermeldung beim Booten, keinen plötzlichen Ausfall. Genau das macht die Sache tückisch.

Was tatsächlich passiert, sind zwei schleichende Effekte. Erstens: Sobald die 2011-CAs abgelaufen sind, erhalten die betroffenen Geräte keine Secure-Boot-Sicherheitsupdates mehr – weder für den Windows Boot Manager noch für die DBX-Sperrliste, mit der bekannt unsichere Bootloader ausgesperrt werden. Ihre Boot-Kette friert auf dem Stand von Mitte 2026 ein, während neue Bootkit-Angriffe weiterentwickelt werden. Zweitens: Software und Firmware, die nach Juni 2026 mit den neuen 2023-Zertifikaten signiert wird, wird von einem nicht aktualisierten Gerät als nicht vertrauenswürdig eingestuft. Das kann künftige Treiber, Firmware-Updates von Steckkarten oder neue Betriebssystem-Komponenten betreffen.

Bootkits wie BlackLotus haben in den vergangenen Jahren eindrucksvoll gezeigt, dass die Boot-Phase ein hochattraktives Ziel ist: Wer sich unterhalb des Betriebssystems einnistet, ist für klassische Endpoint-Protection praktisch unsichtbar. Eine eingefrorene, nicht mehr aktualisierbare Secure-Boot-Kette ist deshalb kein theoretisches Restrisiko, sondern eine real wachsende Angriffsfläche.

Wer im Mittelstand besonders betroffen ist

Die gute Nachricht vorweg: Viele seit 2024 ausgelieferte PCs tragen die 2023-Zertifikate bereits ab Werk. Die schlechte: Ein erheblicher Teil der im Mittelstand eingesetzten Hardware ist älter – und genau hier wird es kritisch.

Besonders im Blick behalten sollten Sie ältere Arbeitsplatz-PCs und Notebooks aus den Jahren 2015 bis 2022, Server, die seit Jahren zuverlässig im Rack laufen und selten angefasst werden, sowie virtuelle Maschinen. Gerade bei Hyper-V-VMs der Generation 2 wird Secure Boot mit den eingebetteten 2011-Zertifikaten emuliert – diese virtuellen Firmware-Speicher werden nicht automatisch über Windows Update aktualisiert und brauchen gesonderte Aufmerksamkeit. Auch Geräte, die über lange Zeiträume offline sind, in abgeschotteten Produktionsnetzen stehen oder bei denen Windows Update bewusst eingeschränkt wurde, fallen durch das automatische Update-Raster.

So prüfen Sie Ihren Bestand

Microsoft rollt die neuen Zertifikate für „High Confidence"-Geräte automatisch über Windows Update aus. Verlassen sollten Sie sich darauf nicht – prüfen Sie aktiv. Den aktuellen Zustand eines Windows-Geräts können Sie per PowerShell mit Administratorrechten auslesen, etwa mit einer Abfrage, ob die Zeichenkette Windows UEFI CA 2023 in der Secure-Boot-Signaturdatenbank (Get-SecureBootUEFI db) enthalten ist. Liefert die Prüfung ein positives Ergebnis, ist das neue Zertifikat vorhanden.

Ergänzend lohnt ein Blick auf den Registry-Schlüssel, über den Microsoft die gestaffelte Verteilung der Updates steuert, sowie auf die Ereignisanzeige, in der die Diagnose-Events des Secure-Boot-Servicing protokolliert werden. Für größere Bestände bietet es sich an, diese Abfrage über Ihr RMM- oder Endpoint-Management-Werkzeug zu skripten und das Ergebnis zentral zu inventarisieren.

Konkrete Handlungsempfehlungen für die nächsten Wochen

Erstens – Inventarisieren. Verschaffen Sie sich einen vollständigen Überblick: Welche Geräte haben Secure Boot aktiv, und welche tragen bereits die 2023-CAs? Ohne diese Bestandsaufnahme stochern Sie im Nebel. Erfassen Sie dabei explizit auch Server und virtuelle Maschinen, nicht nur Client-PCs.

Zweitens – Automatische Verteilung aktivieren und kontrollieren. Stellen Sie sicher, dass die relevanten Windows-Updates installiert werden und das von Microsoft bereitgestellte Verfahren zur Zertifikatsaktualisierung greift. Prüfen Sie anschließend stichprobenartig, ob die neuen Zertifikate tatsächlich in DB und KEK angekommen sind – beide müssen aktualisiert werden.

Drittens – Manuelle Nachsteuerung planen. Für Geräte, die das automatische Update nicht erhalten – etwa offline betriebene Systeme, abgeschottete Produktionsanlagen oder ältere Hardware – brauchen Sie einen manuellen Prozess. Hyper-V-Hosts und ihre Generation-2-VMs gehören zwingend auf diese Liste.

Viertens – Firmware nicht vergessen. Sprechen Sie mit Ihren Hardware-Herstellern: Ältere Mainboards und Server benötigen unter Umständen ein UEFI-Firmware-Update, damit die neuen Zertifikate überhaupt korrekt verarbeitet werden. Bei einigen sehr alten Geräten kann es sein, dass ein Update gar nicht mehr bereitgestellt wird – diese Systeme müssen Sie als Sonderfall behandeln und gegebenenfalls den Austausch einplanen.

Fünftens – Dokumentieren. Halten Sie fest, welche Geräte aktualisiert wurden, welche manuell nachgezogen werden müssen und welche perspektivisch ausgetauscht werden. Diese Dokumentation ist nicht nur Selbstzweck, sondern auch ein Baustein eines belastbaren Informationssicherheits-Managements.

Warum dieses Thema strategisch ist

Die Secure-Boot-Umstellung ist mehr als ein einmaliger Patch-Vorgang. Sie führt vielen Organisationen vor Augen, wie wenig Transparenz sie über die unterste Vertrauensschicht ihrer Systeme haben. Wer heute nicht beantworten kann, welche seiner Geräte mit welchen Zertifikaten booten, hat ein blindes Auge an einer der sicherheitskritischsten Stellen der gesamten Infrastruktur.

Genau hier setzt ein durchdachtes Vorgehen an: Boot-Layer-Vertrauen, Patch-Management und Hardware-Lebenszyklus sind keine getrennten Aufgaben, sondern Teile derselben Disziplin. Wenn Sie unsicher sind, wie Sie die Umstellung in Ihrem Bestand sauber durchführen oder in Ihre bestehende Sicherheitsstrategie einbetten, unterstützt pleXtec Sie dabei – von der Inventarisierung über die Update-Strategie bis zur Dokumentation. Eine Übersicht unserer Leistungen finden Sie unter Leistungen; für ein konkretes Gespräch erreichen Sie uns jederzeit über das Kontaktformular.

Die Frist im Juni 2026 ist nah, aber sie ist machbar – vorausgesetzt, Sie beginnen jetzt mit der Bestandsaufnahme statt im Sommer mit der Schadensbegrenzung.