Im Juni 2026 laufen die ersten Secure‑Boot‑“Zertifikate” aus – genauer gesagt, die kryptografischen Schlüssel, mit denen Windows erkennt, ob das System beim Start vertrauenswürdig ist. Microsoft ersetzt diese über 15 Jahre alten Schlüssel (aus dem Jahr 2011) durch modernere, im Jahr 2023 ausgestellte Versionen, die bis weit über 2026 hinaus gültig sind .
Warum ist das relevant?
Secure Boot schützt den PC vor Malware, die sich bereits beim Starten einnisten möchte – sogenannten Bootkits. Ohne gültige Zertifikate könnten keine Updates mehr installiert werden, und der Bootvorgang wäre nicht mehr durchgehend abgesichert.
Welche Windows‑Geräte sind betroffen?
- Alle PCs und VMs mit Windows 10, 11 oder Server-Versionen seit 2012 – außer neuere Copilot+ PCs ab 2025.
- Auch Dual-Boot-Systeme mit Linux oder macOS bekommen die neuen Zertifikate über Windows.
Was muss man tun?
- Windows‑Updates aktiv lassen
Microsoft liefert die neuen Zertifikate über Windows-Updates aus. Wer diese automatisch bezieht, ist größtenteils abgesichert. - Firmware auf dem neusten Stand halten
Updates vom Hersteller (OEM) sind Voraussetzung dafür, dass die neuen Zertifikate korrekt eingespielt werden. - Secure Boot darf nicht deaktiviert werden
Deaktivieren und aktivieren löscht möglicherweise die bereits aktualisierten Zertifikate – also lieber aktiviert lassen. - Diagnosedaten aktiv sein lassen (Enterprise)
Wer im Firmenumfeld arbeitet, sollte in den Gruppenrichtlinien diagnostische Daten zumindest auf „erforderlich“ setzen. In Kombination mit dem neuen Update-Key („MicrosoftUpdateManagedOptIn“ in der Registry), stellt Windows sicher, dass die neuen Zertifikate ausgerollt werden. - Air‑gapped‑Geräte manuell pflegen
Systeme ohne Internet-Anbindung (z. B. in sensiblen Bereichen) müssen die Zertifikate manuell einspielen – Microsoft stellt dafür Anleitung bereit.
🛡️ Wie passt BitLocker ins Bild?
Beim Update-Prozess kann es vorübergehend zu Problemen mit BitLocker kommen:
- BitLocker prüft beim Start sehr genau, ob das System unverändert ist.
- Wenn neue Zertifikate oder Firmware installiert werden, kann es sein, dass Windows denkt, der PC wurde manipuliert.
- Folge: BitLocker fordert den Wiederherstellungsschlüssel („Recovery Key“) an.
In Foren wird deshalb geraten, vor dem Update BitLocker-Keys zu sichern .
Empfohlene Vorgehensweise bei BitLocker:
- Recovery Key bereithalten (z. B. im Microsoft-Konto, auf USB-Stick oder Ausdruck).
- Im Zweifel während des Update-Prozesses BitLocker kurz deaktivieren.
- Nach Abschluss das TPM zurücksetzen und BitLocker wieder aktivieren.
Fazit & Empfehlungen
| Handlungsempfehlung | Warum wichtig? |
|---|---|
| Windows-Updates aktiv lassen | Automatischer Erhalt der neuen Zertifikate |
| Firmware aktuell halten | Vorbedingung für erfolgreiche Updates |
| Secure Boot aktiviert lassen | Verhindert Rückfall auf alte, unsichere Zertifikate |
| BitLocker‑Key sichern | Vermeidet Datenverlust bei Update‑Abbruch |
| Enterprise: Diagnosedaten aktivieren | Ermöglicht ein reibungsloses Rollout der Zertifikate |
Für Privatnutzer reicht es meist, Windows‑Updates nicht auszuschalten. Firmen sollten ebenfalls Diagnosedaten erlauben und Firmware-Rollouts prüfen. Wer BitLocker nutzt, speichert vorsorglich den Schlüssel, um Startprobleme zu vermeiden.