mit diesem Beitrag möchten wir Sie über eine sicherheitsrelevante Änderung informieren, die nahezu alle Windows-Systeme betrifft – sowohl physische Geräte als auch virtuelle Maschinen. Wir erklären Ihnen, was passiert, welche Risiken bestehen und wie wir Sie als SIEVERS-GROUP dabei unterstützen, Ihre Systeme rechtzeitig abzusichern.
Was ist passiert?
Die von Microsoft im Jahr 2011 ausgestellten Secure Boot-Zertifikate erreichen Ende Juni 2026 das Ende ihrer Gültigkeit. Secure Boot ist ein grundlegender Schutzmechanismus in der UEFI-Firmware Ihrer Systeme, der sicherstellt, dass beim Systemstart ausschließlich vertrauenswürdige, digital signierte Software geladen wird – noch bevor das Betriebssystem startet.
Microsoft hat bereits 2023 Nachfolgezertifikate bereitgestellt. Diese müssen jedoch aktiv auf Ihre Systeme ausgerollt werden, bevor die alten Zertifikate ablaufen.
Die wichtigsten Stichtage:
Zertifikat | Ablaufdatum |
Microsoft Corporation KEK CA 2011 | 24. Juni 2026 |
Microsoft Corporation UEFI CA 2011 | 27. Juni 2026 |
Microsoft Windows Production PCA 2011 | 19. Oktober 2026 |
Was bedeutet das für Sie?
Ihre Systeme booten weiterhin normal
Microsoft betont ausdrücklich: Es kommt zu keinem plötzlichen Startversagen. Reguläre Windows-Updates werden weiterhin installiert.
Aber: Ohne Aktualisierung droht ein schleichender Sicherheitsverlust
Systeme, die nach dem Ablaufdatum noch die alten Zertifikate verwenden, können:
Keine neuen Secure Boot-Sicherheitsupdates mehr empfangen
Neu signierte Treiber und Sicherheitssoftware nicht mehr als vertrauenswürdig erkennen
Keine Schutzmaßnahmen gegen neu entdeckte Boot-Level-Schwachstellen erhalten – etwa gegen UEFI-Bootkits wie BlackLotus (CVE-2023-24932), die Secure Boot gezielt umgehen
Ab Oktober 2026 keine Sicherheitsfixes für den Windows Boot Manager mehr erhalten
Microsoft bezeichnet diesen Zustand als „Degraded Security State“ – das System funktioniert, ist aber sicherheitstechnisch zunehmend ungeschützt.
Wer ist betroffen – und wer nicht?
Betroffen
Alle Windows-Clients und -Server mit aktiviertem Secure Boot, die vor 2024 hergestellt oder eingerichtet wurden
Windows 10, 11, Server 2012 R2 – 2025
Virtuelle Maschinen (Hyper-V Gen2, VMware ESXi, Azure)
In der Regel nicht betroffen
Geräte, die ab 2024 hergestellt wurden, enthalten in der Regel bereits die neuen 2023er Zertifikate ab Werk. Die großen Hersteller haben den Übergang wie folgt umgesetzt:
Hersteller | Status |
Dell | Ab Ende 2024 werden neue Plattformen mit beiden Zertifikaten (2011 + 2023) ausgeliefert. Ab Ende 2025 gilt dies für alle aus der Dell-Fabrik ausgelieferten Systeme. |
Lenovo | Neuere Gerätegenerationen werden ab Werk mit beiden Zertifikaten vorkonfiguriert. Ältere Modelle erhalten die 2023er Zertifikate über ein BIOS-Update. |
HP | HP arbeitet aktiv mit Microsoft zusammen und stellt BIOS-Updates für betroffene kommerzielle Plattformen bereit, die die neuen Zertifikate in die Standard-Secure-Boot-Variablen aufnehmen. |
Microsoft Copilot+ PCs | Alle ab 2025 ausgelieferten Copilot+ PCs enthalten die 2023er Zertifikate ab Werk. |
Wichtig: „Ab Werk enthalten“ ≠ „Kein Handlungsbedarf“
Auch bei neueren Geräten empfehlen wir eine Verifizierung, ob die 2023er Zertifikate tatsächlich in der aktiven Secure Boot-Datenbank (DB) hinterlegt sind – nicht nur in der Firmware-Default-Datenbank. Denn nur die aktive DB wird beim Systemstart zur Validierung herangezogen.
Faustregel: Geräte, die vor Mitte 2024 hergestellt wurden, sind mit hoher Wahrscheinlichkeit betroffen. Geräte ab Ende 2024/2025 sind in der Regel bereits vorbereitet – eine Prüfung ist dennoch ratsam.
Warum ist professionelle Unterstützung wichtig?
Die Aktualisierung der Secure Boot-Zertifikate ist kein einfaches Windows-Update. Je nach Systemtyp sind unterschiedliche, teils komplexe Maßnahmen erforderlich – mit erheblichem Fehlerpotenzial, wenn sie ohne fundiertes Know-how durchgeführt werden:
Falsche Vorgehensweise kann zu VM-Korruptionen führen – Broadcom hat einen zunächst empfohlenen Workaround explizit zurückgezogen, da er Datenverlust verursachen kann
BitLocker-Recovery-Prompts können bei fehlerhafter Durchführung ausgelöst werden und Systeme für Endanwender unzugänglich machen
Firmware-Updates müssen vor dem Zertifikats-Rollout eingespielt werden – die falsche Reihenfolge kann den Prozess blockieren
Windows Server und VMware-VMs erhalten die Updates nicht automatisch und erfordern manuelle, systemspezifische Eingriffe
Das Ein- oder Ausschalten von Secure Boot nach dem Rollout kann die neuen Zertifikate löschen und den gesamten Prozess zunichtemachen
Bei Windows 10-Systemen ohne Extended Security Updates (ESU) greift der automatische Rollout nicht
Kurz gesagt: Die Maßnahmen unterscheiden sich je nach Hardware, Hypervisor, Betriebssystemversion und Firmware-Stand erheblich. Ein pauschaler Ansatz funktioniert nicht – es braucht eine individuelle Analyse und professionelle Durchführung.
Unsere Servicepakete für Sie
Bestandsaufnahme & Risikoanalyse
Wir ermitteln den aktuellen Status aller Ihrer Systeme:
Inventarisierung sämtlicher physischer und virtueller Systeme mit aktiviertem Secure Boot
Prüfung der aktuell installierten Zertifikatsversionen (2011 vs. 2023)
Identifikation kritischer Systeme: Server, Domänencontroller, Hypervisoren, VMs
Ermittlung der eingesetzten Firmware- und ESXi-Versionen
Abgleich mit den herstellerspezifischen Empfehlungen (Dell, HP, Lenovo, HPE u. a.)
Bewertung des individuellen Handlungsbedarfs und Priorisierung
Ergebnis: Sie erhalten einen vollständigen Statusbericht mit klarer Übersicht, welche Systeme betroffen sind und welche Maßnahmen in welcher Reihenfolge erforderlich sind.
Firmware-Aktualisierung
Bevor der Zertifikats-Rollout starten kann, müssen Ihre Systeme firmwareseitig vorbereitet werden.
Zertifikats-Rollout – Clients & Server
Wir führen den Rollout der neuen 2023er Zertifikate kontrolliert und überwacht durch.
VMware-Umgebungen – Spezialisierter Service
Der Zertifikatswechsel in VMware-Umgebungen ist besonders komplex und erfordert einen dedizierten, VM-spezifischen Prozess.
Monitoring & Dokumentation
Nach Abschluss des Rollouts stellen wir sicher, dass alle Systeme korrekt aktualisiert wurden:
- Abschließende Statusprüfung aller Systeme
- Erstellung eines Abschlussberichts mit Dokumentation aller durchgeführten Maßnahmen
- Empfehlungen für das laufende Monitoring des Secure Boot-Status in Ihrer Umgebung
Ihr nächster Schritt
Kontaktieren Sie uns – wir erstellen Ihnen gerne ein individuelles Angebot auf Basis Ihrer Infrastruktur: hallo@sievers-group.com
Oder sprechen Sie direkt Ihren persönlichen Ansprechpartner bei der SIEVERS-GROUP an. Wir melden uns kurzfristig bei Ihnen und klären gemeinsam den Umfang und Zeitplan.
