Im Jahr 2026 droht vielen Windows-Geräten ein ernstes Problem, da veraltete Secure-Boot-Zertifikate ihre Funktionsfähigkeit beeinträchtigen können.
Es ist vorab wichtig, dass alle Daten, z. B. im Rahmen einer Inventarverwaltung vorhanden sind und hierbei die passende Planung zur Aktualisierung oder zum Tausch von Geräten durchgeführt wird.
Mehr Informationen zu allen wichtigen Themen zwecks Inventarisierung, IT-Asset-Management und mehr finden Sie hier.
ℹ️ Was ist Secure Boot?
Secure Boot ist ein Sicherheitsmechanismus der UEFI-basierten Firmware (Unified Extensible Firmware Interface). Er stellt sicher, dass während des Startvorgangs eines Geräts ausschließlich vertrauenswürdige Software ausgeführt wird. Dies geschieht durch die Überprüfung digital signierter Pre-Boot-Komponenten anhand einer Reihe vertrauenswürdiger Zertifikate, die fest in der Firmware hinterlegt sind.
Als Industriestandard definiert UEFI Secure Boot, wie Plattformfirmware Zertifikate verwaltet, Firmware authentifiziert und wie das Betriebssystem (OS) in diesen Prozess eingebunden ist.
Secure Boot wurde erstmals mit Windows 8 eingeführt, um vor neu auftretender Schadsoftware wie Bootkits zu schützen.
Im Rahmen der Plattforminitialisierung authentifiziert Secure Boot verschiedene Firmwaremodule, bevor sie ausgeführt werden, darunter UEFI-Treiber (z. B. Option-ROMs), Bootloader und Anwendungen.
Im letzten Schritt prüft die Firmware, ob dem Bootloader vertraut wird, übergibt anschließend die Kontrolle an ihn und ermöglicht so das Laden des Windows-Betriebssystems.
🔑 Schlüsselhierarchie in Secure Boot - Wie funktioniert der Mechanismus?
Welche Software als vertrauenswürdig gilt, definiert eine Firmwarerichtlinie, die üblicherweise bereits während der Herstellung des Geräts festgelegt wird. Änderungen an dieser Richtlinie erfolgen über eine Schlüsselhierarchie:
- Plattformschlüssel (PK): In der Regel im Besitz des Geräteherstellers.
- Key Enrollment Key (KEK): Enthält üblicherweise Microsoft- und OEM-Schlüssel.
- DB (Allowed Signature Database): Enthält erlaubte Zertifikate für ausführbaren Code vor dem OS-Start.
- DBX (Forbidden Signature Database): Enthält gesperrte oder widerrufene Zertifikate.
Ein Besitzer eines KEK kann sowohl DB als auch DBX aktualisieren.
📅 Ablauf der Windows-Secure-Boot-Zertifikate im Jahr 2026
Seit der Einführung von Secure Boot verfügen Windows-Geräte über einen identischen Satz an Microsoft-Zertifikaten in KEK und DB. Diese ursprünglichen Zertifikate erreichen nun ihr Ablaufdatum.
Die aktuellen Zertifikate stammen aus dem Jahr 2011. Sie wurden damals mit einer Ablaufzeit von 15 Jahren ausgestellt.
Geräte, die noch diese älteren Zertifikate verwenden, sind betroffen und müssen aktualisiert werden, um weiterhin Windows starten und regelmäßige Sicherheitsupdates für den Secure-Boot-Prozess erhalten zu können.
Begriffserklärungen
- KEK: Key Enrollment Key / Schlüsselregistrierungsschlüssel
- CA: Zertifizierungsstelle
- DB: Datenbank für erlaubte Signaturen (Secure Boot)
- DBX: Datenbank für widerrufene Signaturen (Secure Boot)
Microsoft Corporation KEK CA 2011
-
Neues Zertifikat: Microsoft Corporation KEK 2K CA 2023
Wird im KEK gespeichert und wird für die Signierung von Updates für DB und DBX benötigt.
Microsoft Windows Production PCA 2011
-
Ablaufdatum: Oktober 2026
-
Neues Zertifikat: Windows UEFI CA 2023
Wird in der DB gespeichert und wird für die Signierung des Windows-Bootloaders benötigt.
Microsoft UEFI CA 2011*
-
Neues Zertifikat: Microsoft Option ROM UEFI CA 2023
-
Neues Zertifikat: Microsoft UEFI CA 2023
Die neuen Zertifikate werden in der DB gespeichert und werden für die Signierung der Option-ROMs von Drittanbietern und zur Signierung des Bootloaders und EFI-Apps von Drittanbietern benötigt.
* Während der Erneuerung wurden die Signaturen für Bootloader und Option-ROMs getrennt, um eine präzisere Vertrauenssteuerung zu ermöglichen. Systeme können so beispielsweise die Option-ROM-Signatur hinzufügen, ohne Drittanbieter-Bootloadern zu vertrauen.
💡 Inventarisierung leicht gemacht
Kombiniert Hardware, Lizenzen, Verträge, Bestellungen und vieles mehr in einem System.
💾 Automatisches Update: Kann man die neuen Zertifikate herunterladen?
Die neuen Windows Secure Boot Zertifikate können in der Regel gar nicht manuell heruntergeladen werden, sondern kommen in der Regel über offizielle Update-Mechanismen der Hersteller.
Sofern ein Administrator diesen Schritt doch manuell durchführen will, muss er sich diesen Update-Prozess selbst zusammenbauen und das Paket und "alle einzelnen Bestandteile" selbst raussuchen und vollständig mit jeder einzelnen Hardware testen.
➡️ Automatisches Update für normale Windows Benutzer
Microsoft verteilt die neuen Secure Boot Zertifikate (2023) automatisch über Updates. Voraussetzung dafür ist ein aktuelles Windows (z. B. Windows 11 / unterstütztes Windows 10) und aktiviertes Secure Boot.
➡️ Aktualisierung durch Firmware-/BIOS-Updates vom Hersteller
Da die Zertifikate im UEFI/BIOS liegen können die Hersteller selbst über ein BIOS/UEFI Update die neuen Zertifikate zur Verfügung stellen.
Häufig liefern die Hersteller solche Updates über OEM-Tools aus (klassischerweise sind dies Hersteller wie z. B. Dell, HP, Lenovo, ASUS etc.).
Wichtig dabei ist, dass ohne Firmware-Support durch den Hersteller, das Update der Zertifikate nicht vollständig abgeschlossen werden kann.
➡️ Manuelle Updates (durch Admins)
Auch Server oder Enterprise-Umgebungen und -Systeme benötigen solche Updates. Diese komplexen und fehleranfälligen Updates können manuell mittels PowerShell, WMI oder über spezielle Update-Pakete durchgeführt werden.
Der kritische Pfad hierbei ist, dass diese mehrstufigen Updates sehr komplex sind, eine gewisse Fehleranfälligkeit durch die passenden Pakete durch Microsoft, den Hersteller des Systems und andere Faktoren haben und am Ende auch diese manuelle Arbeit auf jedem System einzeln vollzogen werden muss.
✅ Bedeutung der Aktualisierung - Warum ist dies wichtig?
Microsoft hat neue Zertifikate veröffentlicht, um den Schutz von Secure Boot auch über 2026 hinaus zu gewährleisten. Ein großer Teil der Windows-Geräte erhält diese Zertifikate automatisch über Microsofts Updateprozesse. Für Organisationen mit eigener Geräteverwaltung stehen detaillierte Anleitungen zur Verfügung.
Wichtig:
Wenn die Zertifizierungsstellen von 2011 ablaufen und Ihr Gerät nicht auf die neuen Zertifikate von 2023 aktualisiert wurde, kann es:
- keine sicherheitsrelevanten Pre-Boot-Updates mehr erhalten
- neuen, rechtmäßig signierten Bootloadern nicht mehr vertrauen
Dies gefährdet sowohl die Systemsicherheit als auch die Wartbarkeit.
🐧 Sind eigentlich auch Linux-Systeme betroffen?
Auch die Linux-Welt ist davon betroffen:
Nahezu alle großen Distributionen verlassen sich auf die Secure-Boot-Signatur von Microsoft, darunter Ubuntu, Linux Mint, Debian, Fedora, openSUSE, Pop!_OS, Zorin OS sowie viele Arch-basierte Systeme, die den sogenannten Shim-Bootloader nutzen.
Da die meisten Linux-Bootloader von Microsoft signiert werden, betrifft das Problem im Grunde die gesamte Linux-Landschaft.
📃 Fazit - Aktueller Handlungsbedarf - Was ist zu tun?
Damit Ihr Gerät auch nach 2026 sicher bleibt, müssen sowohl UEFI Secure Boot DB als auch KEK auf die neuen Zertifikatsversionen von 2023 aktualisiert werden.
Weitere Details zu den neuen Zertifikaten finden Sie in der Windows Secure Boot Key Creation and Management Guidance.
Ohne diese Updates riskieren Geräte mit aktiviertem Secure Boot, keine Sicherheitsupdates mehr zu erhalten oder keine neuen, gültigen Bootloader zu akzeptieren.
