Secure Boot Zertifikate: Was Sie für 2026 wissen müssen

Lesezeit: ca. 8 Minuten

Secure Boot Zertifikate sind digitale Signaturen, die die Echtheit von Systemstart-Software überprüfen und so vor Malware schützen. Im Jahr 2026 laufen zentrale, seit 2011 genutzte Zertifikate von Microsoft ab, was ein Update für die meisten Windows- und viele Linux-Systeme erfordert, um weiterhin Sicherheitsupdates für den Boot-Prozess zu erhalten und die Systemintegrität zu gewährleisten.

Im digitalen Zeitalter ist die Sicherheit unserer Computersysteme von größter Bedeutung, und das Thema Secure Boot Zertifikate rückt per 04.04.2026 stark in den Fokus. Diese digitalen Wächter schützen den Startvorgang unserer Rechner vor Manipulation und Schadsoftware. Doch nun steht eine weitreichende Änderung bevor: Ein Großteil der seit 2011 genutzten Zertifikate läuft im Laufe des Jahres 2026 ab, was proaktives Handeln von Nutzern und Administratoren erfordert, um die Systemsicherheit aufrechtzuerhalten.

Was sind Secure Boot Zertifikate und warum sind sie wichtig?

Secure Boot ist ein Sicherheitsstandard, der von der UEFI-Firmware (dem Nachfolger des klassischen BIOS) moderner Computer entwickelt wurde. Seine Hauptaufgabe ist es, sicherzustellen, dass beim Systemstart nur vertrauenswürdige, digital signierte Software geladen wird. Dadurch wird verhindert, dass sich Schadsoftware wie Rootkits oder Bootkits bereits vor dem Start des eigentlichen Betriebssystems einnistet.

Die Secure Boot Zertifikate sind dabei die entscheidende Komponente. Sie funktionieren wie ein digitaler Ausweis für Software. Jede Komponente im Startprozess – vom UEFI-Treiber bis zum Bootloader des Betriebssystems – wird anhand ihrer digitalen Signatur überprüft. Diese Signatur wird mit Zertifikaten verglichen, die sicher in der Firmware des Mainboards gespeichert sind. Nur wenn die Signatur gültig und vertrauenswürdig ist, darf die Komponente ausgeführt werden. Diese Vertrauenskette (Chain of Trust) bildet das Fundament für einen sicheren Systemstart.

Die Vertrauenskette: PK, KEK, DB und DBX

Das System der Secure Boot Zertifikate basiert auf einer Hierarchie von Schlüsseln, die in der Firmware gespeichert sind:

• Platform Key (PK): Der oberste Schlüssel in der Hierarchie, der meist vom Hardwarehersteller (OEM) kontrolliert wird. Er sichert Änderungen an den darunterliegenden Schlüsseln ab.
• Key Exchange Key (KEK): Diese Schlüssel autorisieren Änderungen an den Signatur-Datenbanken. Microsoft und andere OEMs hinterlegen hier ihre KEKs.
• Signature Database (DB): Eine Art „Whitelist“, die die Zertifikate oder Hashes von vertrauenswürdigen Boot-Komponenten enthält.
• Forbidden Signature Database (DBX): Eine „Blacklist“, die Signaturen von bekanntermaßen bösartiger oder kompromittierter Software enthält und deren Ausführung blockiert.

Ablauf 2026: Was genau passiert mit den Secure Boot Zertifikaten?

Die Zertifikate, die seit der Einführung von Windows 8 im Jahr 2012 standardmäßig auf den meisten PCs verwendet werden, stammen aus dem Jahr 2011 und haben eine begrenzte Lebensdauer. Im Jahr 2026 erreichen mehrere zentrale Zertifikate von Microsoft dieses Ablaufdatum:

• Microsoft Corporation KEK CA 2011: Läuft im Juni 2026 ab.
• Microsoft UEFI CA 2011: Läuft ebenfalls im Juni 2026 ab.
• Microsoft Windows Production PCA 2011: Läuft im Oktober 2026 ab.

Zunächst die gute Nachricht: Ein PC mit abgelaufenen Zertifikaten wird nicht plötzlich den Start verweigern. Die UEFI-Firmware prüft aktuell nicht das Ablaufdatum der Zertifikate beim Bootvorgang selbst. Die kritische Konsequenz ist jedoch, dass Systeme ohne die neuen Zertifikate keine zukünftigen Sicherheitsupdates für den Boot-Prozess mehr validieren und installieren können. Neue, mit den frischen 2023er-Zertifikaten signierte Bootloader würden als nicht vertrauenswürdig eingestuft und blockiert werden.

Welche Systeme sind vom Ablauf der Zertifikate betroffen?

Vom Ablauf der Secure Boot Zertifikate ist eine breite Palette von Systemen betroffen. Grundsätzlich gilt dies für fast alle Geräte, die nach 2012 hergestellt wurden und auf denen Secure Boot aktiviert ist. Dies umfasst:

• Windows-Systeme: Windows 10, Windows 11 und diverse Windows-Server-Versionen.
• Linux-Systeme: Viele populäre Linux-Distributionen wie Ubuntu, Fedora oder Debian nutzen den von Microsoft signierten „Shim“-Bootloader, um auf Secure-Boot-fähiger Hardware lauffähig zu sein. Auch diese Systeme sind betroffen.
• Virtuelle Maschinen: VMs, die im UEFI-Modus mit aktiviertem Secure Boot betrieben werden, müssen ebenfalls aktualisiert werden.

Nutzer, die Secure Boot manuell im UEFI/BIOS deaktiviert haben, sind von diesem spezifischen Problem nicht betroffen, verzichten damit aber auch auf eine wichtige Sicherheitsebene. Den Status können Sie unter Windows leicht über das Tool „Systeminformationen“ (msinfo32) überprüfen.

So aktualisieren Sie Ihre Secure Boot Zertifikate

Glücklicherweise haben Microsoft und die Hardwarehersteller Prozesse etabliert, um die Erneuerung der Zertifikate möglichst reibungslos zu gestalten. Der genaue Weg hängt vom Betriebssystem und der Systemverwaltung ab.

Für Windows-Nutzer: Windows Update ist der Schlüssel

Für die meisten Privatnutzer von Windows 10 und 11 ist der Prozess unkompliziert. Microsoft verteilt die neuen Zertifikate („Microsoft Corporation KEK 2K CA 2023“ und „Windows UEFI CA 2023“) automatisch über die regulären Windows Updates. Wichtig ist hierbei, dass Windows Update aktiv ist und Telemetriedaten an Microsoft gesendet werden dürfen, da der Rollout-Prozess darauf basiert, um Probleme zu vermeiden. In Unternehmensumgebungen können Administratoren den Prozess über Gruppenrichtlinien oder Intune steuern.

Für Linux-Nutzer: Firmware-Updates und LVFS

Unter Linux erfolgt die Aktualisierung der in der Firmware gespeicherten Schlüssel in der Regel über ein BIOS/UEFI-Update des Hardwareherstellers. Viele Hersteller verteilen diese Updates über den Linux Vendor Firmware Service (LVFS). Mit dem Kommandozeilen-Tool `fwupdmgr` können Nutzer nach verfügbaren Firmware-Updates suchen und diese installieren. Alternativ kann das Update manuell über die Support-Webseite des Herstellers heruntergeladen und installiert werden. Eine Übersicht über die technischen Hintergründe bietet auch das Red Hat Customer Portal.

Status prüfen: Ist mein System für 2026 bereit?

Wer sichergehen möchte, dass sein System bereits die neuen Zertifikate erhalten hat, kann dies überprüfen. Unter Windows lässt sich dies mit einem einfachen Befehl in der PowerShell (als Administrator ausgeführt) verifizieren:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Gibt der Befehl „True“ zurück, sind die neuen Zertifikate bereits installiert. Bei „False“ ist das System noch nicht aktualisiert. Unter Linux kann der Befehl `mokutil –db | grep -i microsoft` Hinweise geben; eine Ausgabe mit „UEFI CA 2023“ bestätigt das Update.

Risiken bei Untätigkeit: Mehr als nur verpasste Updates

Das Ignorieren der Zertifikatsaktualisierung stellt ein erhebliches Sicherheitsrisiko dar. Ohne gültige Zertifikate können keine neuen Einträge in die Sperrliste (DBX) aufgenommen werden. Das bedeutet, dass bekannte Sicherheitslücken im Boot-Prozess, wie sie beispielsweise durch das BlackLotus UEFI-Bootkit (CVE-2023-24932) ausgenutzt wurden, nicht mehr effektiv durch Updates geschlossen werden können. Angreifer könnten alte, verwundbare Bootloader einschleusen, die vom System weiterhin als gültig angesehen werden, da ihre Signaturen noch nicht widerrufen wurden. Dies öffnet Tür und Tor für tief im System verankerte Malware. Für die allgemeine Verkehrssicherheit ist es wichtig, die Zwei-Sekunden-Regel zu beachten, ähnlich wie man bei der IT-Sicherheit auf aktuelle Zertifikate achten sollte.

Übersicht der alten und neuen Secure Boot Zertifikate

Altes Zertifikat (Version 2011)	Ablaufdatum	Neues Zertifikat (Version 2023)
Microsoft Corporation KEK CA 2011	Juni 2026	Microsoft Corporation KEK 2K CA 2023
Microsoft UEFI CA 2011	Juni 2026	Microsoft UEFI CA 2023
Microsoft Windows Production PCA 2011	Oktober 2026	Windows UEFI CA 2023