Erfahren Sie, wie Windows Update Secure-Boot-Zertifikate austauscht, warum das wichtig ist und was Nutzer jetzt zum Schutz ihrer Systeme wissen müssen.
Im Rahmen des Januar-Patch-Days 2026 startet Microsoft die Verteilung neuer, aktualisierter Secure-Boot-Zertifikate über Windows Update, um ablaufende UEFI-Secure-Boot-Zertifikate in Millionen von Windows-Geräten zu ersetzen und so die sichere Systemstart-Funktion auch nach Mitte 2026 zu gewährleisten.
Windows Update verteilt im Januar 2026 neue Secure-Boot-Zertifikate, damit Systeme mit aktiviertem Secure Boot nach dem Ablauf der alten Zertifikate im Jahr 2026 weiterhin sicher funktionieren, Sicherheitsupdates erhalten und vor Boot-Angriffen geschützt bleiben.
Was ist Secure Boot eigentlich?
Secure Boot ist ein integraler Bestandteil moderner UEFI-Firmwares und soll sicherstellen, dass während des Systemstarts nur vertrauenswürdige, digital signierte Software geladen wird. Ohne Secure Boot könnten schädliche Bootloader oder modifizierte Komponenten wie Rootkits oder Bootkits vor dem eigentlichen Laden des Betriebssystems ausgeführt werden – lange bevor Antivirenprogramme aktiv werden.
UEFI (Unified Extensible Firmware Interface) hat hier die Aufgabe, mithilfe eines kryptografischen Zertifikatssystems sicherzustellen, dass nur vertrauenswürdige Software geladen wird. Dieses System stützt sich auf mehrere Schlüssel- und Zertifikatsspeicher im UEFI-NVRAM, darunter:
- PK (Platform Key) – autorisiert Änderungen an den anderen Schlüsselbereichen.
- KEK (Key Enrollment Key) – signiert Berechtigungen für Änderungen an den DB/DBX-Listen.
- DB (Allowed Signature Database) – Liste erlaubter, vertrauenswürdiger Signaturen.
- DBX (Forbidden Signature Database) – Liste gesperrter, bekannter schlecht-signierter oder kompromittierter Komponenten.
Ein typischer Secure-Boot-Prozess gleicht beim Start die Signatur von Bootloadern und Treibern gegen die DB ab. Stimmen diese, wird der Boot fortgesetzt; stimmen sie nicht, verhindert Secure Boot den Start. Diese Sicherheitslogik verhindert, dass manipulierter Code schon vor dem OS geladen wird.
Warum müssen Secure-Boot-Zertifikate ausgetauscht werden?
Die bisherigen Secure-Boot-Zertifikate, die Microsoft seit der Einführung von Windows 8 nutzt, basieren auf Zertifikaten aus dem Jahr 2011. Diese laufen in zwei Wellen im Jahr 2026 ab – zunächst im Juni 2026 und anschließend im Oktober 2026. Ist ein Zertifikat abgelaufen, gilt es technisch als nicht mehr vertrauenswürdig. Geräte, die dann noch auf die alten Zertifikate setzen, könnten in der Folge keine künftigen Secure-Boot-Sicherheitsupdates mehr installieren und damit potenziell anfällig werden.
Das grundsätzliche Problem: Sobald ein Secure-Boot-Zertifikat sein Ablaufdatum überschreitet, können neue oder aktualisierte Bootloader und Treiber nicht mehr gegen diese Zertifikate validiert werden. Ohne gültige Validierung schaltet Secure Boot entweder ab oder blockiert Komponenten, die eigentlich sicher und notwendig wären. In der Folge kann ein Gerät in einen unsicheren Zustand geraten oder im schlimmsten Fall nicht mehr starten.
Wie funktioniert der Zertifikatsaustausch über Windows Update?
Im Januar 2026-Update integriert Microsoft einen Mechanismus, der geeignete Geräte identifiziert und neue Secure-Boot-Zertifikate direkt im UEFI-Firmware-Speicher ersetzt. Dazu nutzt das Update eine Liste hoch zuverlässiger Geräte-Signale, die sicherstellt, dass nur Systeme, die den Austausch ohne Risiko durchführen können, die neuen Zertifikate erhalten.
Wellenförmige Verteilung
Microsoft rollt den Austausch in Phasen aus:
- Erste Welle: Geräte, die bereits über ein aktuelles BIOS/UEFI und eine kompatible Update-Infrastruktur verfügen, erhalten die neuen Zertifikate zuerst.
- Spätere Wellen: Geräte der gleichen Modellreihen folgen, sobald genügend positive Update-Signale vorliegen.
Auf diese Weise soll ein risikoarmer und kontrollierter Umstieg gewährleistet werden. Rechner, die den Austausch nicht automatisch ausführen können – beispielsweise ältere Geräte oder Systeme mit eingeschränkter UEFI-Funktionalität –, bleiben in späteren Wellen oder müssen manuell vorbereitet werden.
Voraussetzungen für den automatischen Austausch
Damit ein Gerät neue Zertifikate erhält, muss:
- Secure Boot aktiviert sein und
- das System in der Lage sein, auf die entsprechenden UEFI-Variablen zuzugreifen.
Ob Secure Boot aktiviert ist, lässt sich in Windows über msinfo32 prüfen: Unter „Sicherer Startzustand“ sollte „Ein“ stehen.
Mögliche Probleme und Risiken
Wie bei jedem tiefgreifenden Firmware- oder Sicherheitsupdate kann es auch beim Secure-Boot-Zertifikatsaustausch zu Schwierigkeiten kommen. Einige der typischen Herausforderungen:
Geräte ohne UEFI-Zertifikats-Schnittstelle
Einige ältere oder weniger moderne Geräte unterstützen nicht die notwendigen UEFI-Funktionen, mit denen Windows Update Zertifikate direkt in die Firmware schreiben kann. Bei solchen Systemen funktioniert der automatische Austausch nicht. Admins müssen diese Geräte separat prüfen und gegebenenfalls Hersteller-Firmware-Updates installieren oder alternative Lösungen in Betracht ziehen.
Mögliche Boot-Probleme nach Updates
In Einzelfällen berichteten Administratoren, dass Systemstarts nach dem Austausch der Secure-Boot-Zertifikate nicht erwartungsgemäß funktioniert haben oder Probleme beim Herunterfahren und Neustart aufgetreten sind. Dies kann an Varianten in der UEFI-Implementierung liegen oder daran, dass Firmware-Updates der OEMs nicht vollständig kompatibel sind.
Intune- und Gruppenrichtlinien-Herausforderungen
Unternehmensumgebungen, die Intune oder Gruppenrichtlinien zur Verwaltung nutzen, müssen sicherstellen, dass Geräte für den Zertifikatsaustausch freigeschaltet sind und die entsprechenden Optionen zulassen. Ansonsten kann der Remote-Rollout der neuen Zertifikate blockiert werden.
Vorbereitung und Handlungsempfehlungen für Administratoren
Damit Unternehmen und IT-Verantwortliche die Umstellung reibungslos vollziehen können, gibt es mehrere empfohlene Schritte:
Inventarisierung der Geräteflotte
Erstellen Sie eine vollständige Übersicht über alle Geräte, die Secure Boot aktiviert haben. Stellen Sie sicher, dass die Firmware auf dem neuesten Stand ist und die Geräte die automatische Aktualisierung der Secure-Boot-Zertifikate unterstützen.
Sicherstellung der Update-Infrastruktur
Vergewissern Sie sich, dass Windows Update oder ein zentrales Update-Management-Tool (z. B. WSUS, Intune) die Verteilung der Zertifikatsupdates unterstützt und aktiviert ist. Gegebenenfalls muss ein Registry-Schlüssel gesetzt oder eine Konfigurationsoption geändert werden, damit Geräte die neuen Zertifikate über Windows Update empfangen.
Firmware-Updates der Hersteller
Viele OEMs liefern separate UEFI-Firmware-Updates, die die neuen Zertifikate enthalten oder die entsprechende Infrastruktur dafür bereitstellen. Halten Sie Ausschau nach diesen Updates und integrieren Sie sie in Ihre Rollout-Strategie.
Überwachung und Validierung
Nach dem Update sollten Sie überprüfen, ob die neuen Zertifikate korrekt im UEFI-Speicher abgelegt wurden. Werkzeuge wie PowerShell-Skripte oder Diagnose-Tools helfen, den Status der Secure-Boot-Datenbanken (DB, KEK) zu prüfen.
Auswirkungen bei Nicht-Aktualisierung
Wenn Geräte nicht rechtzeitig mit neuen Secure-Boot-Zertifikaten versorgt werden, kann dies mehrere negative Folgen haben:
- Verlust von Sicherheitsupdates für Boot-Komponenten.
- Unfähigkeit, neue oder aktualisierte Bootloader zu validieren, was die Systemstabilität beeinträchtigen kann.
- Erhöhtes Risiko für Boot-Angriffe, da manipulierter Code unerkannt durchkommen könnte.
Langfristig kann ein Gerät ohne gültige Secure-Boot-Zertifikate unbeaufsichtigt oder unsicher werden, da kritische Sicherheitspatches nicht mehr effektiv wirken.
Fazit
Der Austausch der Secure-Boot-Zertifikate über Windows Update im Januar 2026 ist ein bedeutender Schritt von Microsoft, um die sichere Boot-Infrastruktur moderner Windows-Geräte auch über das Jahr 2026 hinaus zu gewährleisten.
Durch einen gestaffelten Rollout versucht Microsoft, Risiken zu minimieren und sicherzustellen, dass nur geeignete Systeme aktualisiert werden.
IT-Verantwortliche sollten den Prozess aktiv begleiten, um mögliche Kompatibilitätsprobleme frühzeitig zu identifizieren und zu lösen.