Zum Hauptinhalt springen
Aktueller Sicherheitshinweis

Secure Boot: Im Juni 2026 läuft etwas ab,das Sie nicht sehen.

Die Microsoft-Zertifikate von 2011 verlieren ihre Gültigkeit. Was das für Ihre Geräte bedeutet — und wie Sie auch ohne Defender-Lizenz den Überblick behalten.

 

Worum geht es überhaupt?

Secure Boot ist eine Schutzfunktion in der Firmware (UEFI) Ihres Rechners. Beim Einschalten prüft sie, ob das Betriebssystem und seine Startkomponenten von einer vertrauenswürdigen Stelle signiert sind. Stimmt etwas nicht, startet der Rechner gar nicht erst.

Diese Signaturen kommen aus einer Zertifikatskette von Microsoft. Die Zertifikate liegen direkt in der Hardware — nicht in Windows. Genau das macht das Verfahren so wirksam: Schadcode kann sich nicht einfach dazwischen drängen.

Die aktuell ausgerollten Zertifikate stammen aus 2011. Sie sind für eine Lebensdauer von rund 15 Jahren konzipiert — und laufen im Juni 2026 ab. Microsoft hat 2023 eine Nachfolger-Generation veröffentlicht, die jetzt flächendeckend ankommen muss.

Weshalb läuft das jetzt ab?

  1. 2011
    Ursprüngliche Zertifikate ausgegeben

    Microsoft stellt die heute aktiven Secure-Boot-Zertifikate aus.

  2. 2023
    Neue Generation veröffentlicht

    Nachfolger-Zertifikate werden ausgerollt — zunächst auf Windows-Clients.

  3. Juni 2025
    Erste Warnung

    Microsoft macht offiziell auf das bevorstehende Ablaufdatum aufmerksam.

    Heute
  4. Juni 2026
    Zertifikate von 2011 laufen ab

    Geräte starten weiter, verlieren aber Schutz vor neuen Bedrohungen.

Warum betrifft mich das?

Drei Geräteklassen, die in fast jeder Umgebung vorkommen — und ganz unterschiedlich behandelt werden müssen.

Windows-Clients

Bei aktuellen Windows-10-/11-Installationen rollt Microsoft die neuen Zertifikate weitgehend automatisch aus — sofern die Geräte regelmäßig Updates ziehen. Geräte, die selten online gehen oder Updates blockieren, fallen schnell in die Kategorie „Exposed".

Windows-Server

Hier wird es kritisch: Microsoft verteilt die neuen Zertifikate auf Servern NICHT automatisch. Jede Maschine braucht einen geplanten manuellen Eingriff. Ohne den läuft der Server zwar weiter, aber ohne aktualisierten Schutz beim Boot.

Industrie-PCs / Embedded

Maschinensteuerungen, Kassensysteme, Industrie-Tablets oder spezialisierte Hardware bekommen oft jahrelang keine Firmware-Updates. Diese Geräte sind besonders gefährdet — und müssen einzeln geprüft werden.

Wieso ist Nichtstun gefährlich?

Die Geräte starten auch nach Juni 2026 weiter. Aber sie verlieren schrittweise den Schutz, für den Secure Boot ursprünglich gedacht ist.

Bootkit-Persistenz

Schadcode, der sich vor dem Betriebssystem einnistet, bleibt auch nach Neuinstallation aktiv. Genau das soll Secure Boot verhindern — mit veralteten Zertifikaten weniger zuverlässig.

Schwache Root of Trust

Die gesamte Vertrauenskette beim Boot stützt sich auf gültige Zertifikate. Sind sie abgelaufen, lässt sich die Authentizität neuer Sicherheitskomponenten nicht mehr garantiert prüfen.

Update-Sackgasse

Neue Secure-Boot-Richtlinien (z. B. Sperrlisten gegen bekannte Schadtreiber) lassen sich nur mit gültigen Zertifikaten ausrollen. Ohne Update gibt es schlicht keine neuen Schutzregeln mehr.

Drei Kategorien — was ist Ihre?

Microsofts Defender-Dashboard sortiert Geräte in genau diese drei Klassen. Wir benutzen sie auch in unserer Bestandsaufnahme.

Exposed

Akut handlungsbedürftig

Geräte, die nur den 2011er-Zertifikaten vertrauen. Nach Juni 2026 starten sie zwar weiter, aber neue Schutzmaßnahmen greifen nicht mehr zuverlässig.

Aktion: Zertifikate aktualisieren oder Hardware ersetzen.

Compliant

Bereits umgestellt

Geräte, die schon die 2023er-Zertifikatsgeneration nutzen und einen aktualisierten Boot-Manager haben. Hier ist nichts weiter zu tun — beobachten reicht.

Aktion: Im regulären Patch-Zyklus weiterführen.

Not applicable

Secure Boot nicht aktiv

Geräte, bei denen Secure Boot deaktiviert oder nicht unterstützt ist. Für dieses Thema entsteht kein Handlungsbedarf — andere Sicherheitsfragen (z. B. Endpoint-Schutz) bleiben natürlich relevant.

Aktion: Andere Schutzschichten überprüfen.

Microsoft Defender — und was, wenn ich es nicht habe?

Was kann das neue Defender-Dashboard?

Microsoft hat im April 2026 ein Dashboard im Defender ausgerollt, das Geräte in die drei Kategorien (Exposed / Compliant / Not applicable) sortiert. Administratoren können filtern, exportieren und den Verteilungsprozess überwachen.

Das ist ein nützliches Werkzeug — aber nur, wenn man es hat.

Voraussetzung: Microsoft Defender for Endpoint (E5/P2)

Das Dashboard ist Teil von Microsoft Defender for Endpoint und braucht eine entsprechende Lizenz (z. B. Microsoft 365 E5 oder Defender P2). Viele kleinere Unternehmen, Kommunen und Industriebetriebe setzen stattdessen auf ESET, Sophos, den Defender Standard oder andere Endpoint-Lösungen.

Die gute Nachricht: Den Status können Sie auch ohne Defender-Lizenz zuverlässig erheben — direkt mit Bordmitteln. Wie genau, sehen Sie im nächsten Abschnitt.

Unser Check — drei Wege

Egal ob Selbstcheck oder Komplettpaket: Wir bieten den passenden Einstieg unabhängig von Ihrem Endpoint-Hersteller.

Selbstcheck per PowerShell

Kostenfreies Skript, das Secure-Boot-Status, Zertifikatsversion und Kategorie auf einer einzelnen Maschine bestimmt. Lokal ausführbar, keine Telemetrie, im Klartext einsehbar.

  • • Windows 10 / 11 / Server 2016+
  • • Doppelklick — UAC fragt nach Adminrechten
  • • Kein PowerShell-Setup nötig
  • • Ergebnis als Textdatei auf dem Desktop
ZIP herunterladenPowerShell-Skript im Klartext ansehen

Im Managed-Services-Paket

Sie sind MSP-Kunde bei uns? Dann ist die Bestandsaufnahme Ihrer betreuten Geräte bereits Teil unseres Patch-Managements. Wir melden uns proaktiv mit einer Lagebeurteilung — ohne Mehraufwand für Sie.

  • • Automatische Inventur über RMM
  • • Konsolidierter Bericht pro Standort
  • • Empfehlungen je Gerätetyp
Pakete ansehen

Einmal-Audit für größere Umgebungen

Sie haben mehrere Standorte, gemischte Hardware, Industrie-PCs ohne Patch-Management? Wir prüfen Ihren Bestand strukturiert und liefern eine priorisierte Maßnahmenliste.

  • • Unabhängig vom Endpoint-Hersteller
  • • Inventur, Risiko-Bewertung, Roadmap
  • • Aufwand transparent vorab kalkuliert
Audit anfragen

Hinweis zum Skript: Es liest ausschließlich UEFI-Variablen (Secure Boot Status, db, KEK) und schreibt eine lokale Reportdatei. Keine Datenübertragung, kein Internet-Zugriff. Bitte mit administrativen Rechten ausführen.

Häufige Fragen

Bin ich auch betroffen, wenn ich kein Microsoft Defender for Endpoint habe?+
Ja. Das Defender-Dashboard ist ein reines Auswertungswerkzeug — die zugrundeliegende Zertifikatsablösung betrifft alle Windows-Geräte mit aktivem Secure Boot, unabhängig von der eingesetzten Endpoint-Lösung. Wir bieten den Status-Check daher hersteller-unabhängig an.
Was passiert konkret am 30. Juni 2026?+
Die Geräte starten weiter — daran ändert sich nichts. Aber: Neue Schutzmechanismen wie aktualisierte Sperrlisten oder neue Boot-Komponenten lassen sich nicht mehr zuverlässig durchsetzen, weil ihre Signaturen mit den abgelaufenen Zertifikaten geprüft würden. Das Schutzlevel sinkt schleichend.
Müssen wir alle Geräte tauschen?+
Nein, in den allermeisten Fällen nicht. Die meisten Geräte können die neuen 2023er-Zertifikate per Firmware- oder Windows-Update einspielen. Hardware-Tausch ist nur ein Thema, wenn ein Gerät weder vom Hersteller noch von Microsoft Updates erhält.
Funktioniert das Update auch bei Windows Servern automatisch?+
Nein — und das ist der wichtigste Punkt. Microsoft verteilt die neuen Zertifikate auf Windows Servern NICHT automatisch. Hier braucht jede Maschine einen geplanten manuellen Eingriff. Wer das übersieht, hat seine Server stillschweigend in der Kategorie „Exposed".
Brauchen wir Sie dafür, oder können wir das selbst?+
Beides ist möglich. Unser PowerShell-Skript läuft lokal und kostenlos — Sie können selbst prüfen. Wenn Ihnen für die Auswertung über mehrere Geräte oder Standorte die Hände frei sind, übernehmen wir das gern. Ehrlich: Es ist keine Raketenwissenschaft, aber etwas Fleißarbeit.

Quellen & weiterführende Links

Recherche-Stand: 30. April 2026