Microsoft warnt vor ablaufenden Secure-Boot-Zertifikaten

Was Unternehmen jetzt beachten müssen

Ab Juni 2026 laufen Microsofts bislang gültige Secure-Boot-Zertifikate aus. Unternehmen, die Systeme mit aktiviertem Secure Boot betreiben, sollten spätestens jetzt damit beginnen, ihre IT-Infrastruktur auf dieses Ereignis vorzubereiten. Davon betroffen sind nicht nur Windows-Systeme, sondern auch andere Betriebssysteme wie Linux oder macOS, insofern diese auf Microsofts Secure-Boot-Zertifikate angewiesen sind.

Warum das Update entscheidend ist

Secure Boot ist eine Funktion im UEFI-Firmware-Modus, die sicherstellt, dass beim Start eines Systems nur vertrauenswürdige Software geladen wird. Verwendet wird dabei eine Kette von Zertifikaten, die unter anderem Bootloader und Treiber signieren. Sobald diese Zertifikate ablaufen, kann das System den Startvorgang nicht mehr korrekt validieren. Dies führt im schlimmsten Fall dazu, dass betroffene Geräte nicht mehr starten oder anfällig für Malware wie Bootkits werden.

Microsoft nennt als Gefahr unter anderem das Blacklotus-Bootkit (CVE-2023-24352), das die Secure-Boot-Mechanismen umgehen kann. Solche Angriffsszenarien lassen sich nur mit intakten und gültigen Zertifikaten verhindern.

Welche Systeme sind betroffen?

Betroffen sind physische und virtuelle Maschinen mit folgenden Windows-Versionen:

  • Windows 10
  • Windows 11
  • Windows Server 2025, 2022, 2019, 2016, 2012 sowie 2012 R2

Alle diese Systeme setzen auf drei zentrale Microsoft-Zertifikate, die aktuell noch weit verbreitet sind, jedoch 2026 durch neuere Versionen ersetzt werden müssen:

  • Microsoft Corporation KEK CA 2011 → ersetzt durch KEK 2K CA 2023
  • UEFI CA 2011 → ersetzt durch UEFI CA 2023 bzw. Option ROM UEFI CA 2023
  • Windows Production PCA 2011 → ersetzt durch Windows UEFI CA 2023

Die nächsten Schritte für IT-Verantwortliche

Organisationen müssen ihre Systeme noch vor dem Juni 2026 mit den neuen Zertifikaten ausstatten. Dabei ist die Reihenfolge entscheidend:

  1. Aktuelle Firmware-Updates des jeweiligen OEM-Herstellers installieren.
  2. Neue Secure-Boot-Zertifikate anwenden, die auf dem Stand von 2023 oder neuer sind.

Die Zertifikatsaktualisierung gelingt am zuverlässigsten, wenn Microsoft die Verwaltung der Windows-Updates übernimmt. Gerade Unternehmen, die WSUS oder andere eigene Update-Infrastrukturen nutzen, müssen hier besonders aufmerksam sein. Nur vollständig unterstützte Systeme erhalten über Windows Update automatisch die benötigten Zertifikate.

Auswirkungen auf alternative Systeme

Auch macOS-Systeme mit Intel-Architektur und Bootcamp können betroffen sein, da diese Bootprozesse ebenfalls Microsoft-Zertifikate einbinden. Für Benutzer von Dual-Boot-Systemen mit Linux und Windows ist es wichtig zu wissen, dass Windows hierbei die Schlüssel aktualisiert, die auch für den Linux-Bootprozess gültig sind.

Fallstricke vermeiden

Ein ähnliches Problem trat bereits im Jahr 2023 auf, als Microsoft mit einem Update zahlreiche alte Bootloader durch ein DBX-Update ausschloss. Einige Linux-Distributionen ließen sich daraufhin nicht mehr starten. Aus diesem Grund ist es heute besonders wichtig, Zertifikate frühzeitig und koordiniert zu aktualisieren – nicht nur auf Windows-Systemen, sondern im gesamten Systemverbund.

Extended Security Updates für Windows 10

Unternehmen, die Windows 10 über das offizielle Support-Ende hinaus einsetzen möchten, müssen zusätzliche Maßnahmen ergreifen. Nach Oktober 2025 erhalten Windows-10-Systeme keine regulären Sicherheitsupdates mehr. Microsoft bietet hierfür Extended Security Updates (ESU) an, die separat bezogen werden müssen. Auch diese beinhalten weiterhin Secure-Boot-Komponenten.

Empfehlung zur Umsetzung

Für eine reibungslose Umstellung sollten IT-Verantwortliche folgende Punkte in ihren Projektplan aufnehmen:

  • Bestandsaufnahme aller eingesetzten Betriebssysteme sowie der UEFI-Firmware-Versionen.
  • Prüfung auf Kompatibilität mit neuen Secure-Boot-Zertifikaten.
  • Koordination mit OEM-Herstellern und ggf. partnerschaftlichen Dienstleistern.
  • Aufbau eines zentralen Update-Plans, insbesondere bei heterogenen IT-Landschaften.
  • Testläufe auf nicht-produktiven Systemen, bevor ein Rollout auf breiter Basis erfolgt.

Warten bringt Risiken

Ein Ablauf der Zertifikate ohne vorherige Aktualisierung gefährdet nicht nur die Startfähigkeit des Systems, sondern auch die Sicherheitskette vom BIOS bis zum Betriebssystem. Es besteht dann keine Garantie mehr, dass nur vertrauenswürdige Komponenten geladen werden. Damit wird die Tür für schwer erkennbare Schadsoftware geöffnet, die herkömmliche Endpunktsicherungen umgehen kann.

Frühzeitige Maßnahmen sichern den Betrieb

Microsoft hat angekündigt, die neuen Zertifikate in künftigen kumulativen Windows-Updates bereitzustellen. Die beste Option bleibt aber, das Update aktiv einzuplanen und dabei die Abhängigkeiten zur OEM-Firmware zu berücksichtigen. Wer jetzt reagiert, minimiert sowohl betriebliche Risiken als auch Sicherheitslücken.

Sollten Sie Unterstützung zu diesem Thema benötigen, so nehmen Sie gerne Kontakt mit uns auf. Mit über 20 Jahren Erfahrung im IT-Bereich und KMU Kunden aus allen Branchen sind wir Ihr kompetenter und zuverlässiger KI-Experte und IT-Ansprechpartner – egal ob in Singen, Radolfzell, Konstanz oder der Bodensee-Region.

weitere Beiträge

Kompetenz kennt
keine Grenzen

SEIT UNSERER GRÜNDUNG

im Jahr 2006 hat sich MO-COMPANY als vertrauenswürdiger und fachkundiger Partner in den Bereichen IT-Sicherheit, Managed Services und Disaster-Prevention etabliert. Die professionelle Flexibilität, die wir Tag für Tag bieten, wird von unseren Kunden hoch geschätzt. Das Geheimnis unseres Erfolgs liegt in der Zufriedenheit unserer Kunden, ganz im Sinne des berühmten Zitats von John F. Akers von IBM:„Qualität beginnt damit, die Zufriedenheit des Kunden in das Zentrum des Denkens zu stellen.“

Kontakt

MO-COMPANY GmbH & Co. KG
Killwies 4
78247 Hilzingen

+49 (0) 7731 / 926680
info@mo-company.com

Fernwartung

+49 (0) 7731 / 926680
support@mo-company.com
Fernwartung icon windows
Fernwartung icon apple

Montag bis Freitag
08:00 - 17:00 Uhr

© 2024
moc logo