Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Windows & Microsoft 365 05.06.2026 · 4 min Lesezeit

Secure-Boot-Zertifikate laufen am 24. Juni 2026 ab: Handlungsbedarf für IT-Admins

Das Microsoft Corporation KEK CA 2011-Zertifikat läuft am 24. Juni 2026 ab. Systeme ohne das neuere 2023er Secure-Boot-Zertifikat können danach keine Boot-Level-Sicherheitsupdates mehr erhalten – und bleiben dauerhaft anfällig für zukünftige Bootkit-Angriffe.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Ablaufendes Secure-Boot-Zertifikat – symbolisches Sicherheitswarnsignal

Ein zentrales Sicherheitszertifikat im Windows-Ökosystem läuft in wenigen Wochen ab. Das Microsoft Corporation KEK CA 2011-Zertifikat, das seit Jahren als Vertrauensanker für Secure Boot auf Hunderten Millionen Windows-PCs und -Servern dient, verliert am 24. Juni 2026 seine Gültigkeit. Systeme, die bis dahin nicht das neuere 2023er Secure-Boot-Zertifikat über Windows Update erhalten haben, verlieren dauerhaft die Fähigkeit, Sicherheitsupdates für den Boot-Prozess zu empfangen – mit weitreichenden Folgen für die Angriffsfläche betroffener Unternehmensgeräte.

Die Schwachstelle: Was passiert beim Zertifikatsablauf?

Secure Boot ist ein UEFI-Mechanismus, der verhindert, dass beim Systemstart nicht signierter oder manipulierter Code geladen wird. Er stützt sich auf eine Kette von Vertrauenszertifikaten – darunter den sogenannten Key Enrollment Key (KEK). Das betroffene KEK CA 2011-Zertifikat bildet die Grundlage dafür, dass Microsoft neue Signaturen in die Secure-Boot-Datenbank eintragen und Revocation-Listen (dbx) aktualisieren kann.

Nach dem Ablauf dieses Zertifikats können Systeme ohne das 2023er Nachfolgezertifikat keine Boot-Manager-Updates, Änderungen an der Secure-Boot-Datenbank und keine Revocation-List-Updates mehr empfangen. In der Praxis bedeutet das: Zukünftige Sicherheitsmitigationen gegen Bootkits und Boot-Level-Schwachstellen können auf betroffenen Systemen nicht mehr ausgeliefert werden. Die Geräte bleiben dauerhaft auf dem Stand von heute – während neue Angriffstechniken entstehen.

Bin ich betroffen?

Betroffen sind grundsätzlich alle Windows 10- und Windows 11-Systeme sowie Windows-Server, die das 2023er Secure-Boot-Zertifikat noch nicht über Windows Update erhalten haben. Den Status lässt sich per PowerShell oder Registry-Abfrage prüfen:

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" -Name "UEFICA2023Status"

Der Sollwert des Registry-Keys UEFICA2023Status ist updated. Zeigt der Wert etwas anderes, hat das System das neue Zertifikat noch nicht erhalten.

Besondere Aufmerksamkeit gilt älteren Geräten: PCs und Server, deren OEM kein UEFI-Firmware-Update bereitgestellt hat, erhalten die neuen Zertifikate möglicherweise nie – unabhängig vom Windows-Update-Status. Dell, ASUS und andere Hersteller haben eigene Support-Dokumente und FAQs zu diesem Thema veröffentlicht; Administratoren sollten die jeweiligen OEM-Seiten für ihre Geräteklassen prüfen.

SystemtypRisiko
Windows 10/11 mit aktuellen UpdatesGering – Zertifikat wird automatisch ausgerollt
Windows Server (kein Auto-Rollout)Mittel – manueller Opt-in via AvailableUpdates nötig
Ältere PCs ohne OEM-Firmware-UpdateHoch – möglicherweise dauerhaft ungeschützt

Wie behebe ich das?

Microsoft empfiehlt folgende Schritte für IT-Administratoren:

  1. Windows-Clients über Windows Update versorgen: Aktuelle Windows-10/11-Clients erhalten die 2023er Zertifikate automatisch über einen Controlled Feature Rollout im Rahmen der monatlichen Updates (nur als vertrauenswürdig eingestufte Geräte). Der Vorgang läuft über mehrere Neustarts und kann einige Tage dauern. Stelle sicher, dass alle Clients aktuelle Updates beziehen.
  2. Windows Server und verwaltete Geräte: Opt-in setzen: Windows Server erhält die Zertifikate nicht automatisch. Setze den Registry-Wert AvailableUpdates (DWORD) unter HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot auf 0x5944 – das stößt den vollständigen Update-Vorgang an (neue CA-Zertifikate in die DB, KEK-Update, neuer 2023-signierter Boot-Manager). Eine geplante Aufgabe wendet die Änderung beim nächsten geeigneten Zeitpunkt an (Wiederholung ca. alle 12 Stunden, mehrere Neustarts): 
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944 -Type DWord
  3. Status prüfen: Den Wert UEFICA2023Status unter HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing auf allen Geräten prüfen. Sollwert ist updated (Zwischenstände NotStarted und InProgress); schlägt ein Schritt fehl, steht im Wert UEFICA2023Error ein Fehlercode.
  4. Inventur aller Geräte: Microsoft stellt unter aka.ms/GetSecureBoot ein Playbook bereit, das bei der unternehmensweiten Bestandsaufnahme hilft.
  5. OEM-Firmware-Updates einspielen: Für Geräte, die den Registry-Key nicht auf updated setzen, müssen UEFI-Firmware-Updates des jeweiligen Herstellers eingespielt werden. Fehlen diese beim OEM, ist das Gerät dauerhaft nicht in der Lage, künftige Secure-Boot-Mitigationen zu erhalten.

Wer Windows Update und WSUS zentral verwaltet, findet in der Anleitung Windows Updates und WSUS mit Update for Business verwalten eine strukturierte Vorgehensweise für die Rollout-Steuerung im Unternehmen. Grundlagen zu PowerShell-Abfragen für Windows-Admins bietet die Anleitung PowerShell-Grundlagen für Windows-Admins.

Was bedeutet das für Unternehmen?

Der Zertifikatsablauf ist keine klassische Schwachstelle mit einer CVE-Nummer, sondern ein architektonisches Ablaufdatum mit konkreten Konsequenzen für die langfristige Sicherheitsfähigkeit der Infrastruktur. Unternehmen, die nicht handeln, verlieren dauerhaft die Fähigkeit, Boot-Level-Sicherheitspatches zu empfangen. Das betrifft insbesondere den Schutz vor Bootkits – einer Angriffskategorie, die auf dem Windows-eigenen Bootloader ansetzt und selbst nach einer Windows-Neuinstallation persistent bleiben kann.

Die Deadline ist nicht neu: Der Rollout der 2023er Zertifikate läuft seit Jahren. Der 24. Juni 2026 ist das endgültige Ablaufdatum des alten Vertrauensankers. Unternehmen mit einem strukturierten Patch-Management und aktuellen Windows-Update-Richtlinien sind in der Regel automatisch abgedeckt. Kritisch ist die Situation für Geräte, die aus dem regulären Update-Zyklus herausgefallen sind – darunter isolierte Systeme, Produktionsmaschinen mit eingeschränktem Update-Zugang oder sehr alte Hardware ohne OEM-Support.

IT-Sicherheitsverantwortliche sollten das Thema vor dem 24. Juni 2026 aktiv im Asset-Management und im Schwachstellen-Tracking verankern und sicherstellen, dass alle Geräte im Firmennetzwerk den Registry-Key UEFICA2023Status auf updated gesetzt haben.

Quellen

Verwandt

Weiter lesen

Alle Artikel →
Holografisches Compliance-Tresor-Konzept mit digitalen Ordnern und Schlössern
04.06.2026 ·12 min

Microsoft Purview für KMU: Aufbewahrungsrichtlinien und eDiscovery (Standard) für E-Mail und SharePoint einrichten

Rechtssichere E-Mail- und SharePoint-Aufbewahrung ohne Enterprise-Berater: So richtest du Retention Policies, eDiscovery Standard und Legal Hold im neuen Microsoft Purview Portal ein – mit klarer Abgrenzung zwischen Business Premium, E3 und E5.
Schematische Darstellung eines mehrschichtigen Conditional-Access-Policy-Frameworks mit Persona-Ringen und Token-Schutz
04.06.2026 ·12 min

Conditional Access für Fortgeschrittene: Personas, Geräte-Compliance, Token Protection und Legacy-Auth blockieren

Vom einfachen MFA-Einschalten zum echten Policy-Framework: Personas für Admins, Internals und Gäste, Geräte-Compliance via Intune, Token Protection gegen Token-Replay und der wirksamste Einzelschritt überhaupt – Legacy-Auth blockieren.
Holografisches M365-Admin-Dashboard mit PowerShell-Terminal und Lizenzkosten-Diagrammen
04.06.2026 ·11 min

Microsoft-365-Lizenzen optimieren: ungenutzte Lizenzen aufspüren und Kosten senken (mit PowerShell)

Microsoft hebt die M365-Preise ab Juli 2026 um bis zu 17 % an – der ideale Zeitpunkt, um mit PowerShell und der Microsoft Graph API inaktive Konten, Doppelzuweisungen und lizenzierte Shared Mailboxen aufzuspüren. Diese Anleitung liefert zwölf einsatzbereite Skripte und eine Spar-Rechnung.