Ein geplanter Ablauf, kein Angriff
Ende Juni 2026 laufen mehrere digitale Zertifikate ab, die tief im Inneren von Windows-Computern gespeichert sind und bei jedem Systemstart still ihren Dienst tun. Diese Zertifikate sind keine Software im klassischen Sinne — sie sind kryptografische Ausweise, mit denen das Gerät beim Einschalten prüft, ob die Startsoftware vertrauenswürdig und unverändert ist.
Wer jetzt kurz nachrechnet: Die fraglichen Zertifikate stammen aus dem Jahr 2011. Ein geplanter Ablauf also, kein überraschender Angriff. Und dennoch: Für Unternehmen, deren Geräte die Erneuerung noch nicht erhalten haben, entsteht eine Schutzlücke, die sich mit der Zeit vergrößert.
Dieser Beitrag erklärt, was hinter dem Ablauf steckt, wen es betrifft — und welche drei konkreten Schritte jetzt sinnvoll sind.
Auf einen Blick
- Zwei wichtige Microsoft-Zertifikate für Secure Boot laufen am **24. und 27. Juni 2026** ab, ein weiteres am **19. Oktober 2026**.
- Windows startet nach dem Ablauf **weiterhin normal** — das ist keine Fehlfunktion.
- Wer die seit Anfang 2026 verfügbaren Ersatz-Zertifikate noch nicht erhalten hat, kann künftig keine neuen Sicherheitsupdates für den Bootprozess mehr beziehen.
- Die Erneuerung läuft über reguläre Windows-Updates, erfordert aber auf vielen älteren Geräten zusätzlich ein Firmware-Update des Herstellers.
- Besonderer Handlungsbedarf besteht bei älteren Bürorechnern und Servern ohne regelmäßige Wartung.
Was Secure Boot überhaupt ist
Moderne Computer starten nicht einfach los. Bevor das Betriebssystem überhaupt erscheint, prüft die sogenannte Firmware — die Steuersoftware, die direkt im Gerät eingebettet ist — ob die Startsoftware echt und unverändert ist. Dieser Vorgang heißt Secure Boot.
Die Prüfung funktioniert über digitale Zertifikate, die im Gerät hinterlegt sind. Stimmt die Signatur der Startsoftware mit einem dieser Zertifikate überein, lässt das Gerät den Start zu. Stimmt sie nicht überein, wird der Start abgebrochen.
Warum das wichtig ist: Es gibt eine Klasse von Schadsoftware, die sogenannten Bootkits, die sich noch vor dem Betriebssystem einnistet. Ein Betriebssystem, das erst nach dem Schadcode startet, kann diesen oft nicht mehr zuverlässig erkennen oder entfernen. Secure Boot verhindert genau das — aber nur, solange die hinterlegten Zertifikate gültig sind und auf dem neuesten Stand bleiben.
Was im Juni 2026 passiert
Die Zertifikate, die Microsoft 2011 in die Firmware von Windows-Geräten eingebettet hat, haben eine Laufzeit — wie alle digitalen Ausweise. Konkret läuft das Zertifikat „Microsoft Corporation KEK CA 2011" am 24. Juni 2026 ab, „Microsoft Corporation UEFI CA 2011" am 27. Juni 2026. Ein weiteres folgt am 19. Oktober 2026.
Microsoft hat die Nachfolgezertifikate bereits seit Anfang 2026 über die regulären Windows-Updates verteilt. Geräte, die diese Updates erhalten und verarbeitet haben, sind bereits auf die neuen Zertifikate umgestellt.
Wichtig für die Einordnung: Windows selbst merkt von diesem Ablauf zunächst nichts im Betrieb. Das System startet weiterhin — nur die Fähigkeit, zukünftige Sicherheitsupdates für den Bootprozess einzuspielen, geht verloren, wenn die Erneuerung ausbleibt. Es ist also kein unmittelbarer Ausfall, sondern eine schleichend wachsende Lücke im Schutzschild.
Seit etwa Mai 2026 zeigt Windows auf manchen Geräten selbst Hinweismeldungen zu diesem Thema. Viele Anwender können diese Meldungen nicht richtig einordnen — was sie häufig ignorieren lässt, was sie eigentlich beheben würden.
Warum ein Windows-Update allein oft nicht genügt
Auf vielen Geräten läuft die Zertifikatserneuerung nicht vollständig ab, selbst wenn Windows-Updates regelmäßig eingespielt werden. Der Grund: Die neuen Zertifikate müssen in der Firmware des Geräts hinterlegt werden — und das ist Sache des Geräteherstellers, nicht von Microsoft.
Konkret bedeutet das: Neben dem Windows-Update braucht das Gerät oft auch ein Firmware- oder BIOS-Update des Herstellers, also von Dell, Lenovo, HP oder einem anderen Anbieter. Fehlt dieses Update, kann das Gerät die neuen Zertifikate zwar empfangen, aber nicht dauerhaft verankern.
Besonders betroffen sind ältere Bürorechner und Server, die seit Jahren laufen ohne dass jemand regelmäßig Firmware-Updates eingespielt hat. Für diese Geräte ist der Handlungsbedarf am größten.
Was Sie jetzt prüfen sollten
Das Thema klingt technisch — die Handlungsschritte sind es weniger:
- Windows-Updates konsequent aktuell halten. Nur so können die neuen Zertifikate überhaupt ankommen. Wer automatische Updates aktiviert hat und diese nicht blockiert, ist hier auf der sicheren Seite.
- Secure Boot und seinen Zustand prüfen lassen. Ob Secure Boot auf einem Gerät aktiv ist, lässt sich in Windows über die Systeminformationen einsehen — unter dem Punkt „Sicherer Startzustand". Ob die Zertifikatserneuerung auch tatsächlich vollständig durchgelaufen ist, prüft am verlässlichsten der zuständige IT-Dienstleister.
- Firmware-Updates des Geräteherstellers einspielen. Für Rechner von Dell, Lenovo, HP und anderen Herstellern stehen in der Regel Firmware-Aktualisierungen bereit, die die Gerätehersteller-Websites oder die jeweilige Verwaltungssoftware anbieten. Diese sollten eingespielt werden.
- Ältere Geräte einplanen. Wenn ein Gerät weder das Windows-Update noch das Firmware-Update verarbeiten kann, ist ein Austausch sinnvoll — zumal viele dieser älteren Rechner ohnehin noch unter Windows 10 laufen, dessen Support später im Jahr 2026 ausläuft.
Fazit
Die ablaufenden Secure-Boot-Zertifikate sind kein Notfall, aber ein klar datierter Termin mit Handlungsbedarf. Wer seine Geräte ohnehin regelmäßig wartet — Windows-Updates laufen lässt, Firmware-Updates einspielt — ist für viele davon bereits auf der sicheren Seite.
Der eigentliche Knackpunkt liegt bei älteren, selten gewarteten Geräten. Dort lohnt es sich, den Zustand jetzt zu prüfen, bevor die Frist kommt und die Schutzlücke größer wird.
Wenn Sie nicht sicher sind, ob Ihre Geräte für diesen Wechsel bereit sind, helfen wir Ihnen dabei: Wir prüfen den Zustand Ihrer Systeme, spielen ausstehende Updates ein und begleiten Sie durch den Wechsel — ohne Unterbrechung im Tagesgeschäft.