Logo mw-computertechnik Briefkopf

Die Secure-Boot-Krise 2026

/ News / Von

Die Secure-Boot-Krise 2026: Warum Ihre Infrastruktur jetzt ein Update braucht

Das Jahr 2026 markiert einen kritischen Wendepunkt für die Sicherheit moderner IT-Infrastrukturen. Während wir uns bisher auf die Integrität des Boot-Prozesses verlassen konnten, steuern wir nun auf das Ablaufdatum der ursprünglichen Secure-Boot-Zertifikate zu. Was vor 15 Jahren mit der Einführung von Windows 8 begann, erfordert heute, im Jahr 2026, entschlossenes Handeln von IT-Administratoren und Systemverantwortlichen.

Das Kernproblem: Der schleichende Vertrauensverlust

Secure Boot basiert auf einer vertrauenswürdigen Kette (Chain of Trust). Im UEFI-Firmware-Speicher sind Zertifikate hinterlegt, die sicherstellen, dass nur signierte und damit vertrauenswürdige Bootloader (wie der Windows Boot Manager oder der Linux-Shim) geladen werden.

Die Krux: Die 2011 von Microsoft ausgestellten Zertifikate, die weltweit als Standard dienen, erreichen nun ihr Lebensende:

      • Juni 2026: Ablauf des Microsoft Corporation KEK CA 2011 und des Microsoft Corporation UEFI CA 2011.

      • Oktober 2026: Ablauf des Microsoft Windows Production PCA 2011.

    Was passiert, wenn Sie nicht handeln?

    Entgegen mancher Befürchtungen wird ein System am Stichtag nicht plötzlich den Dienst verweigern. Dennoch entsteht ein „Degraded Security State“, der langfristig gefährlich ist:

        1. Sicherheitsstillstand: Ohne die neuen 2023-Zertifikate können keine Sicherheitsupdates für den Bootloader mehr installiert werden. Neue Signaturen für Patches (z. B. gegen Bootkits wie BlackLotus) werden vom System als ungültig abgelehnt.

        1. Inkompatibilität: Zukünftige Betriebssystemversionen oder Kernel-Updates werden mit dem neuen 2023-Zertifikat signiert sein. Ein System mit veralteten Schlüsseln wird diese neuen Versionen nicht mehr starten können.

        1. Hardware-Probleme: Auch die Firmware von Erweiterungskarten (Grafikkarten, Netzwerkkarten), die sogenannten Option ROMs, sind oft mit dem UEFI-CA-Zertifikat signiert. Ein Austausch oder ein Update dieser Komponenten könnte scheitern.

      Der Migrationspfad: So sichern Sie Ihre Flotte

      Der Übergang von den 2011er- zu den 2023er-Zertifikaten (wie der Microsoft Corporation KEK 2K CA 2023) erfordert eine koordinierte Strategie.

      1. Bestandsaufnahme und Vorbereitung

      Prüfen Sie den aktuellen Status Ihrer Systeme. Unter Windows können Sie dies über die Systeminformationen (msinfo32) oder via PowerShell validieren.

      Nutzer können jedoch selbst überprüfen, ob sich die neuen Zertifikate bereits auf ihrem System befinden. 

      Dazu wird PowerShell als Administrator geöffnet und folgender Befehl eingegeben: ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‚Windows UEFI CA 2023‘)

      Wird das Ergebnis „true“ angezeigt, befindet sich das neue Zertifikat bereits in der Secure-Boot-Datenbank. Bei dem Ergebnis „false“ hat das Gerät das neue Zertifikat noch nicht erhalten und wartet noch auf das Update von Microsoft.

      2. Firmware-Updates (OEM-Ebene)

      Bevor die Zertifikate auf Betriebssystemebene aktualisiert werden, sollten Sie sicherstellen, dass die BIOS/UEFI-Firmware Ihrer Hardware-Hersteller (Dell, Lenovo, HP, etc.) aktuell ist. Viele OEMs liefern die neuen Schlüssel bereits über BIOS-Updates aus.

      3. Rollout der neuen Zertifikate

      Microsoft stellt verschiedene Wege zur Verteilung bereit:

          • Windows Update: Für die meisten Endgeräte erfolgt die Aktualisierung sukzessive automatisch.

          • Unternehmenssteuerung: Nutzen Sie Microsoft Intune oder Gruppenrichtlinien, um den Status zu überwachen und das Update gezielt zu forcieren (Registry Key: MicrosoftUpdateManagedOptIn).

        Altes Zertifikat (2011)Neues Zertifikat (2023)Ablaufdatum
        KEK CA 2011KEK 2K CA 2023Juni 2026
        UEFI CA 2011UEFI CA 2023Juni 2026
        Windows Production PCA 2011Windows UEFI CA 2023Oktober 2026

        Besonderheiten für Linux-Umgebungen

        Auch Linux-Administratoren sind betroffen, sofern Secure Boot aktiviert ist. Die meisten Distributionen nutzen den Shim-Bootloader, der von Microsoft signiert wurde. Stellen Sie sicher, dass Ihre Systeme auf Versionen migriert sind (z. B. RHEL 9.7+ oder aktuelle Debian/Ubuntu-Releases), die bereits den mit dem 2023-Key signierten Shim verwenden.

        Fazit

        Das Jahr 2026 ist kein Grund zur Panik, aber ein dringender Weckruf für die IT-Hygiene. Wer die Zertifikatsrotation ignoriert, lässt seine Systeme in einer Sicherheits-Sackgasse zurück. Prüfen Sie Ihre Flotte zeitnah, sichern Sie Ihre BitLocker-Wiederherstellungsschlüssel (für den Fall von Firmware-Resets) und leiten Sie die nötigen Updates ein.

        Gerne unterstützen wir Sie auch bei dieser Aufgabenstellung.

        Jetzt Kontakt aufnehmen