Security

Windows Secure Boot-Zertifikate 2026: Update für IT-Admins

3 Min. Lesezeit

Zusammenfassung

Microsoft tauscht die seit 2011 genutzten Secure-Boot-Zertifikate aus, die ab Ende Juni 2026 auslaufen, und verteilt neue Zertifikate über reguläre Windows-Updates in Abstimmung mit OEMs und UEFI-Anbietern. Das ist für IT-Admins wichtig, weil nicht aktualisierte Geräte zwar möglicherweise weiter starten, aber künftige Sicherheitsmaßnahmen auf Boot-Ebene verpassen könnten; neuere PCs ab 2024/2025 sind meist bereits vorbereitet.

Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einführung: warum das wichtig ist

Secure Boot ist eine der wichtigsten Schutzmaßnahmen von Windows beim Systemstart. Es stellt sicher, dass nur vertrauenswürdige, digital signierte Komponenten ausgeführt werden, bevor das OS geladen wird. Dieses Vertrauen basiert auf Zertifikaten, die in der UEFI-Firmware gespeichert sind – und Microsoft hat bestätigt, dass die ursprünglich 2011 eingeführten Secure Boot-Zertifikate das Ende ihres Lebenszyklus erreichen und ab Ende Juni 2026 auslaufen bzw. ab dann zu verfallen beginnen. Für IT-Teams ist das ein zeitkritisches, Ökosystem-weites Sicherheitswartungsereignis: Wenn Geräte die Zertifikatsaktualisierung verpassen, können sie möglicherweise weiterhin starten, verlieren jedoch die Fähigkeit, zukünftige Schutzmaßnahmen auf Boot-Ebene zu übernehmen.

Was ist neu

Secure Boot „root of trust“ wird aktualisiert

  • Die langlebigen Secure Boot-Zertifikate laufen ab Ende Juni 2026 aus.
  • Neue Zertifikate werden auf unterstützten Windows-Geräten über den normalen monatlichen Windows Update-Rhythmus bereitgestellt.
  • Dies ist eine koordinierte Maßnahme über Windows Servicing, OEM-Firmware und UEFI-Anbieter hinweg, um Risiko und Unterbrechungen zu minimieren.

Breite OEM-Bereitschaft (insbesondere neuere Geräte)

  • Viele PCs, die seit 2024 gebaut wurden – und nahezu alle Geräte, die 2025 ausgeliefert wurden – enthalten die aktualisierten Zertifikate bereits.
  • Für eine kleinere Teilmenge von Geräten im Markt kann das Anwenden der neuen Zertifikate zunächst ein OEM-Firmware-Update erfordern.

Bessere Transparenz und gestaffelter Rollout

  • Microsoft führt die Änderung in einem vorsichtigen, stufenweisen Ansatz ein, der auf Tests und Telemetrie-basierter Bereitschaft basiert.
  • Statushinweise zu Zertifikatsupdates werden in den kommenden Monaten in der Windows Security-App erwartet, um Nutzerinnen und Nutzern das Nachverfolgen des Fortschritts zu erleichtern.

Auswirkungen auf IT-Administratoren und Endanwender

Wenn Geräte die neuen Zertifikate nicht rechtzeitig erhalten

  • Geräte werden voraussichtlich weiterhin funktionieren und vorhandene Software wird weiter laufen.
  • Sie geraten jedoch in einen Zustand mit eingeschränkter Sicherheit und können möglicherweise keine zukünftigen Mitigations auf Boot-Ebene erhalten (z. B. wenn neue Boot-Schwachstellen entdeckt werden).
  • Mit der Zeit steigen Kompatibilitätsrisiken: Neuere OS-/Firmware-/Hardware-Versionen oder von Secure Boot abhängige Software könnten nicht mehr laden.

Nicht unterstützte Windows-Versionen sind ein zentrales Risiko

  • Geräte auf nicht unterstützten Versionen (insbesondere Windows 10 nach Supportende am 14. Okt. 2025, sofern nicht in ESU eingeschrieben) erhalten die Updates nicht über Windows Update.
  • Diese Endpoints sollten als prioritäre Remediation-Themen behandelt werden (Upgrade/Austausch oder ESU-Berechtigung und Update-Strategie sicherstellen).

Empfohlene Maßnahmen / nächste Schritte

  1. Inventarisieren und Umfang definieren
    • Identifizieren Sie alle Windows- und Windows Server-Endpoints im Scope, einschließlich Kiosk-Systemen, spezialisierten Servern sowie IoT-/Edge-Geräten, die möglicherweise ein atypisches Servicing haben.
  2. Servicing-Pfad validieren
    • Bestätigen Sie, dass Geräte die aktuellen monatlichen kumulativen Updates erhalten (wo zutreffend Microsoft-verwaltet).
    • Stellen Sie sicher, dass Diagnose-/Telemetrie-Anforderungen, die für die Bereitschaftsvalidierung genutzt werden, mit den Richtlinien Ihrer Organisation übereinstimmen.
  3. Firmware-Bereitschaft prüfen
    • Prüfen Sie proaktiv OEM-Hinweise und Support-Seiten (Dell/HP/Lenovo und andere) und planen Sie erforderliche UEFI-/Firmware-Updates ein.
    • Pilotieren Sie Firmware-Updates auf repräsentativen Hardware-Modellen, bevor Sie breit ausrollen.
  4. Ausnahmen einplanen
    • Für Geräte, die über Microsofts gestaffelten Ansatz nicht verlässlich validiert werden, nutzen Sie die Guidance aus dem Microsoft IT administrator playbook sowie Ihre vorhandenen Tools (Intune, Configuration Manager oder Drittanbieter), um zu verteilen und zu überwachen.
  5. Support-Runbooks vorbereiten
    • Erstmaßnahmen: aktuelle Windows-Updates installieren, neueste OEM-Firmware verifizieren, anschließend bei anhaltenden Problemen über Microsoft-/OEM-Supportkanäle eskalieren.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Nuno Costa lesen
Secure BootUEFI firmwareWindows updatescertificate lifecycleendpoint security

Verwandte Beiträge

Security

Trivy-Lieferkettenkompromittierung: Defender-Hinweise

Microsoft hat Hinweise zur Erkennung, Untersuchung und Eindämmung der Trivy-Lieferkettenkompromittierung vom März 2026 veröffentlicht, die die Trivy-Binärdatei und zugehörige GitHub Actions betraf. Der Vorfall ist relevant, weil vertrauenswürdige CI/CD-Sicherheitstools missbraucht wurden, um Anmeldeinformationen aus Build-Pipelines, Cloud-Umgebungen und Entwicklersystemen zu stehlen, während sie scheinbar normal ausgeführt wurden.

Security

KI-Agenten-Governance: Intent sicher ausrichten

Microsoft beschreibt ein Governance-Modell für KI-Agenten, das Benutzer-, Entwickler-, rollenbasierte und organisatorische Intent in Einklang bringt. Das Framework hilft Unternehmen, Agenten nützlich, sicher und compliant zu halten, indem es Verhaltensgrenzen und eine klare Rangfolge bei Konflikten definiert.

Security

Microsoft Defender Predictive Shielding stoppt GPO-Ransomware

Microsoft hat einen realen Ransomware-Fall beschrieben, in dem Defenders Predictive Shielding den Missbrauch von Group Policy Objects (GPOs) erkannte, bevor die Verschlüsselung begann. Durch das Härten der GPO-Verteilung und das Unterbrechen kompromittierter Konten blockierte Defender rund 97 % der versuchten Verschlüsselungsaktivität und verhinderte, dass Geräte über den GPO-Verteilungsweg verschlüsselt wurden.

Security

Agentic AI Sicherheit: Microsofts RSAC 2026 Neuerungen

Microsoft hat auf der RSAC 2026 neue Sicherheitsfunktionen für agentische KI vorgestellt, darunter die allgemeine Verfügbarkeit von Agent 365 ab dem 1. Mai als zentrale Steuerungsebene für Überwachung, Schutz und Governance von AI-Agents. Ergänzt wird dies durch neue Transparenz- und Erkennungstools wie das Security Dashboard for AI und Entra Internet Access Shadow AI Detection, was für Unternehmen wichtig ist, weil der breite Einsatz von AI-Agents neue Risiken bei Datenzugriff, Identitäten und unkontrollierter AI-Nutzung schafft.

Security

CTI-REALM Open Source: Benchmark für AI Detection

Microsoft hat mit CTI-REALM einen Open-Source-Benchmark vorgestellt, der prüft, ob AI-Agents im Security-Betrieb tatsächlich verwertbare Detection-Regeln aus Threat-Intelligence-Berichten ableiten und validieren können. Das ist wichtig, weil Security-Teams damit KI-Modelle nicht nur nach theoretischem Cybersecurity-Wissen, sondern nach ihrem praktischen Nutzen für SOC- und Detection-Engineering-Workflows in realistischen Umgebungen wie Linux, AKS und Azure bewerten können.

Security

Zero Trust for AI: Microsoft Workshop & Architektur

Microsoft erweitert seinen Zero-Trust-Ansatz gezielt auf KI-Umgebungen und führt dafür mit „Zero Trust for AI“ eine neue Leitlinie sowie eine eigene AI-Säule im Zero Trust Workshop ein. Das ist wichtig, weil Unternehmen damit einen strukturierten Rahmen erhalten, um Risiken wie Prompt Injection, Data Poisoning und übermäßige Zugriffe auf Modelle, Prompts und Datenquellen systematisch zu bewerten und mit konkreten Sicherheitskontrollen abzusichern.