Ablaufende Secure Boot Zertifikate: Was Dein Unternehmen jetzt wissen muss

Drei konkrete Daten, die IT-Verantwortliche kennen sollten – und die auf manchen Agenden noch fehlen: 24. Juni 2026, 27. Juni 2026 und 19. Oktober 2026. An diesen Terminen laufen die drei zentralen Secure Boot Zertifikate ab, auf denen Windows-Systeme seit über 15 Jahren aufbauen. Microsoft hat die Erneuerung eingeleitet – aber nicht jedes System wird den Wechsel automatisch und reibungslos vollziehen.

Was technisch wie eine Routineangelegenheit klingt, birgt in der Praxis erhebliche Fallstricke – für Windows Clients ebenso wie für Windows Server Umgebungen. Wir zeigen Dir, was hinter dem Thema steckt, wen es betrifft und warum jetzt der richtige Zeitpunkt ist, aktiv zu werden.

Was ist Secure Boot – und warum laufen Zertifikate ab?

Secure Boot ist ein Sicherheitsstandard, der beim Start eines Rechners sicherstellt, dass nur vertrauenswürdige Software geladen wird. Dazu prüft die UEFI-Firmware digitale Signaturen gegen in der Hardware hinterlegte Zertifikate. Ist die Signatur gültig, startet das System. Ist sie es nicht – oder ist das Zertifikat abgelaufen – kann das System den Start verweigern oder in einen unsicheren Zustand geraten.

Digitale Zertifikate haben eine begrenzte Gültigkeitsdauer. Das ist kein Fehler, sondern ein bewusstes Sicherheitsdesign: Es erzwingt regelmäßige Überprüfung und Erneuerung. Im Fall von Secure Boot laufen gleich drei Zertifikate der 2011er-Generation ab – mit präzisen Fristen:

• Zertifikat „Microsoft Corporation KEK CA 2011“ | Ablaufdatum: 24. Juni 2026
• Zertifikat „Microsoft Corporation UEFI CA 2011“ | Ablaufdatum: 27. Juni 2026
• Zertifikat „Microsoft Windows Production PCA 2011“ | Ablaufdatum: 19. Oktober 2026

Diese Zertifikate bilden die Vertrauenskette, auf der zahlreiche Windows-Systeme aktuell aufbauen. Microsoft ersetzt sie durch neue 2023er-Zertifikate (*Windows UEFI CA 2023* und *Microsoft Corporation KEK 2K CA 2023*), die bis 2038 gültig sind. Die Verteilung erfolgt über Windows Update – aber eben nicht für alle Systeme automatisch und vollständig.

Welche Systeme sind betroffen?

Die Auswirkungen sind breit. Grundsätzlich können betroffen sein:

• Windows Clients (Windows 10, Windows 11) – insbesondere ältere Geräte oder Systeme mit angepassten UEFI-Konfigurationen
• Windows Server (2016, 2019, 2022 und ältere Versionen) – vor allem in virtualisierten oder hybriden Umgebungen
• Dual-Boot-Systeme mit Linux – hier kann ein fehlerhaftes Update-Handling besonders kritisch werden
• Geräte mit angepassten UEFI-Einstellungen, bei denen Windows Updates nicht vollständig oder konsequent eingespielt wurden

Hinzu kommt: Systeme, die seit längerer Zeit nicht gepatcht wurden oder auf denen benutzerdefinierte Boot-Konfigurationen aktiv sind, können durch eine automatische Zertifikatserneuerung in Startschwierigkeiten geraten – bis hin zur Nichtbootbarkeit.

Was passiert, wenn Unternehmen nichts unternehmen?

Die möglichen Konsequenzen sind nicht zu unterschätzen:

• Systeme starten nicht mehr. Ohne gültige Zertifikatskette verweigert die UEFI-Firmware im schlimmsten Fall den Systemstart. Das betrifft physische Maschinen ebenso wie virtuelle Instanzen.
• Unbemerkte Schwachstellen. Bleibt das Thema unbearbeitet, laufen Unternehmen Gefahr, dass Systeme im Betrieb bleiben, die formal nicht mehr sicher sind – und damit regulatorische Anforderungen (z. B. NIS2, ISO 27001) verletzen.
• Komplexe Wiederherstellung. Ist ein System erst einmal nicht mehr bootfähig, ist die Wiederherstellung aufwendig – insbesondere ohne vorherige Inventarisierung und dokumentierten Systemzustand.

Was ist jetzt zu tun?

Drei Schritte helfen, die Situation souverän zu bewältigen:

1. Bestandsaufnahme: Welche Systeme in Deiner Umgebung nutzen Secure Boot? Welche Windows-Versionen und UEFI-Konfigurationen sind im Einsatz? Gibt es Systeme, die regelmäßige Updates nicht erhalten haben?
2. Update-Status prüfen: Microsoft stellt die notwendigen Aktualisierungen über Windows Update bereit. Entscheidend ist, dass alle betroffenen Systeme den richtigen Patch-Stand aufweisen – und dass die Reihenfolge der Updates stimmt. Ein direkter Sprung auf den neuesten Stand kann in bestimmten Konstellationen problematisch sein. Die ersten Zertifikate laufen bereits am 24. Juni 2026 ab – das Zeitfenster für eine geordnete Umstellung ist knapp.
3. Testumgebung nutzen: Vor dem breiten Rollout empfiehlt es sich dringend, die Zertifikatserneuerung in einer Testumgebung zu validieren – insbesondere für Systeme mit benutzerdefinierten Boot-Konfigurationen, Dual-Boot-Setups oder älterer Hardware.

Sicherheit ist kein Projekt – sie ist ein Prozess

Das Ablaufen von Secure Boot Zertifikaten ist kein isoliertes Ereignis. Es ist ein Beispiel für ein grundlegendes Muster in der IT-Sicherheit: Vertrauen muss aktiv erneuert werden. Zertifikate laufen ab. Standards entwickeln sich weiter. Und wer heute nicht handelt, riskiert morgen ungeplante Ausfälle oder unkontrollierte Sicherheitslücken.

Ganzheitliche IT-Sicherheit bedeutet, solche Entwicklungen frühzeitig zu erkennen, strukturiert zu bewerten und konsequent umzusetzen – ohne den laufenden Betrieb zu gefährden.

Du möchtest sichergehen, dass Deine Systeme gewappnet sind?

Das bluecue-Team unterstützt Dich dabei: von der strukturierten Bestandsaufnahme über die Planung des Update-Prozesses bis hin zur Begleitung beim Rollout – für Windows Clients und Server, in physischen wie virtualisierten Umgebungen.

Vereinbare jetzt ein unverbindliches Beratungsgespräch – und lass uns gemeinsam dafür sorgen, dass Deine Systeme sicher und stabil bleiben.