Secure Boot-Konfiguration in Windows 11 aktualisieren: Schritt für Schritt erklären wir Ihnen, wie Sie UEFI-Einstellungen anpassen und Ihr System schützen.
Die Secure-Boot-Konfiguration ist eine der wichtigsten Sicherheitsfunktionen in Windows 11. Sie verhindert, dass beim Systemstart unbekannte oder gefährliche Software geladen wird. Besonders jetzt ist das Thema aktuell: Die seit 2011 verwendeten Sicherheitszertifikate für Windows-Systeme laufen im Juni 2026 ab.
Dieser Artikel zeigt Ihnen Schritt für Schritt, wie Sie Secure Boot prüfen, aktivieren, konfigurieren und die Zertifikate aktualisieren.
Was ist Secure Boot – und warum ist es so wichtig?
Secure Boot ist eine Sicherheitsfunktion, die Bestandteil des UEFI-Firmwarestandards ist. Sie überprüft beim Start jedes einzelne Boot-Element – also Treiber, Bootloader und Betriebssystemdateien – auf ihre digitale Signatur. Nur signierte, vertrauenswürdige Software darf geladen werden.
Deshalb schützt Secure Boot Ihren PC bereits vor dem eigentlichen Windows-Start. Secure Boot schützt den Startprozess vor Angriffen durch schädlichen Code wie Malware und Ransomware. Außerdem ist es eine Pflichtvoraussetzung für Windows 11: Ohne aktiviertes Secure Boot lässt sich das Betriebssystem in vielen Fällen gar nicht installieren oder aktualisieren.
Zusätzlich hat Microsoft die Bedeutung von Secure Boot zuletzt weiter hervorgehoben. Seit der BlackLotus-Schwachstelle (CVE-2023-24932), die selbst aktives Secure Boot aushebeln konnte, hat Microsoft die Zertifikatsinfrastruktur grundlegend überarbeitet. Daher ist es 2026 besonders wichtig, nicht nur Secure Boot zu aktivieren, sondern auch die Zertifikate aktuell zu halten.
Schritt 1: Secure-Boot-Status prüfen
Bevor Sie irgendeine Änderung vornehmen, sollten Sie zunächst prüfen, ob Secure Boot auf Ihrem System bereits aktiv ist. Das geht in weniger als einer Minute:
So prüfen Sie den Status über msinfo32:
- Drücken Sie Windows + R, geben Sie
msinfo32ein und bestätigen Sie mit Enter. - Suchen Sie in den Systeminformationen nach dem Eintrag „BIOS-Modus“ und dem Eintrag „Sicherer Startstatus“.
- Wenn Secure Boot aktiviert ist, zeigt der BIOS-Modus „UEFI“ und der Secure Boot-Status „Ein“ an.
Alternativ über die Windows-Sicherheits-App:
Ab April 2026 zeigt die Windows-Sicherheits-App zusätzliche Informationen zum Status von Zertifikatupdates für den sicheren Start auf Ihrem Gerät an. Öffnen Sie dazu Windows-Sicherheit → Gerätesicherheit → Details zur Kernisolierung. Dort sehen Sie sowohl den Secure-Boot-Status als auch den Stand Ihrer Zertifikate auf einen Blick.
Schritt 2: UEFI-Modus sicherstellen
Secure Boot funktioniert ausschließlich im UEFI-Modus. Wenn Ihr PC noch im Legacy-BIOS-Modus startet, müssen Sie vorher die Boot-Methode auf „UEFI“ umstellen.
So prüfen Sie den BIOS-Modus:
Öffnen Sie das Startmenü, geben Sie msinfo32 ein und bestätigen Sie mit Enter. In den Systeminformationen suchen Sie nach dem Eintrag „BIOS-Modus“. Steht dort UEFI: perfekt. Steht dort Legacy oder BIOS: Sie müssen umstellen.
Partitionsschema prüfen und konvertieren:
UEFI setzt zwingend GPT (GUID Partition Table) voraus – nicht MBR. Wenn Ihr System noch im MBR-Modus läuft, können Sie es mit dem offiziellen Tool MBR2GPT.exe konvertieren – ohne Datenverlust. Folgende Voraussetzungen müssen dabei erfüllt sein:
- Windows 10 oder höher, 64-Bit-System
- Systemlaufwerk als Disk 0
- Maximal drei primäre Partitionen
- Kein aktiviertes BitLocker während der Umwandlung
So führen Sie die Konvertierung durch: Öffnen Sie die Eingabeaufforderung als Administrator und geben Sie folgenden Befehl ein:
mbr2gpt /convert /disk:0 /allowFullOSStarten Sie danach den PC neu und wechseln Sie im BIOS/UEFI den Boot-Modus von Legacy auf UEFI.
Schritt 3: Secure Boot im UEFI/BIOS aktivieren
Sobald Ihr System im UEFI-Modus läuft, können Sie Secure Boot aktivieren. Das UEFI-Menü rufen Sie in der Regel beim PC-Start auf – jedoch unterscheiden sich die Tasten je nach Hersteller.
So gelangen Sie ins UEFI:
- Dell: Taste F2 beim Einschalten drücken, solange das Dell-Logo sichtbar ist
- ASUS, MSI, Gigabyte: Taste Entf (Del) oder F2 beim Start
- HP: Taste F10 oder Esc beim Einschalten
- Lenovo: Taste F1 oder F2, bei manchen Modellen auch Fn + F2
- Acer: Taste F2 oder Del
Alternativ gelangen Sie unter Windows 11 über einen anderen Weg ins UEFI: Gehen Sie zu Start → Einstellungen → Update & Sicherheit → Wiederherstellung. Klicken Sie unter „Erweitertes Start“ auf die Schaltfläche „Jetzt neu starten“. Nachdem der PC neu gestartet ist, gehen Sie zu Problembehandlung → Erweiterte Optionen → UEFI-Firmware-Einstellungen. Klicken Sie auf „Neu starten“ und der PC bootet mit der Firmware.
Secure Boot aktivieren – allgemeine Schritte:
Navigieren Sie nach dem Einstieg ins UEFI zum Reiter Boot, Security oder Sicherheit – je nach Hersteller. Suchen Sie dort den Eintrag „Secure Boot“ oder „Sicherer Start“. Ändern Sie den Wert von Disabled auf Enabled (bzw. von „Deaktiviert“ auf „Aktiviert“). Falls vorhanden, stellen Sie den Secure Boot Mode auf Standard (nicht auf „Custom/Benutzerdefiniert“). Speichern Sie die Änderungen – meistens über den Reiter Exit → Save Changes and Reset oder durch Drücken von F10.
Für Dell-Geräte spezifisch:
Starten Sie den Computer. Drücken Sie die Taste F2, während das Dell-Logo auf dem Bildschirm angezeigt wird, um das BIOS aufzurufen. Suchen Sie nach der Option Secure Boot. Ändern Sie Secure Boot in „Aktiviert“. Wählen Sie je nach Computer „Anwenden“ oder „Speichern“.
Standard-Schlüssel installieren:
Sie können unter Key Management die Option „Install default Secure Boot Keys“ wählen, um Secure Boot zu aktivieren. Manche Mainboards verlangen, dass Sie im BIOS ein sogenanntes „Platform Key (PK)“ installieren, bevor Secure Boot aktiv wird. Das geht meist automatisch über die Option „Install default keys“.
Schritt 4: Secure-Boot-Zertifikate aktualisieren (besonders wichtig 2026)
Dieser Abschnitt ist im Jahr 2026 besonders relevant. Microsoft aktualisiert die Zertifikate für den sicheren Start, die ursprünglich im Jahr 2011 ausgestellt wurden, um sicherzustellen, dass Windows-Geräte weiterhin vertrauenswürdige Startsoftware überprüfen. Diese älteren Zertifikate laufen im Juni 2026 ab.
Was passiert, wenn Sie die Zertifikate nicht aktualisieren?
Wenn Sie kein Update durchführen, werden Geräte möglicherweise weiterhin gestartet und erhalten weiterhin reguläre Windows-Updates. Möglicherweise erhalten sie jedoch keine zukünftigen sicheren Startschutz-Updates für frühe Startkomponenten. Der sichere Start kann möglicherweise keine zukünftigen Updates mehr für frühe Startkomponenten überprüfen oder schützen, zum Beispiel den Start-Manager oder andere Komponenten vor dem Betriebssystem.
Konkret bedeutet das: Ohne das neue Zertifikat kann Microsoft den Boot-Manager und auch die Sperrlisten für gefährliche Software nicht mehr aktualisieren. Der Boot-Vorgang des PCs bleibt auf dem Sicherheitsstand von Juni 2026 stehen. Entdeckt Microsoft neue Sicherheitsprobleme, bleiben PCs ohne das Update ungeschützt.
Automatische Aktualisierung über Windows Update (empfohlene Vorgehensweise)
Für die meisten Privatanwender ist der einfachste und sicherste Weg die automatische Aktualisierung. Aktualisierte 2023-Zertifikate werden automatisch über Windows Update übermittelt. Stellen Sie deshalb sicher, dass automatische Windows-Updates aktiviert sind:
- Öffnen Sie Start → Einstellungen → Windows Update.
- Klicken Sie auf „Nach Updates suchen“.
- Installieren Sie alle verfügbaren Updates und starten Sie den PC neu.
Experten berichten, dass in der Praxis mehrere Systemneustarts nötig sind, damit UEFI-Variablen korrekt aktualisiert werden können. Führen Sie daher zwei bis drei Neustarts durch und prüfen Sie anschließend in der Windows-Sicherheits-App, ob die Zertifikate als aktuell angezeigt werden.
Manuelle Aktualisierung per Registrierungseditor und PowerShell
Sollte die automatische Aktualisierung nicht funktionieren, empfehlen wir folgendes Vorgehen – ebenfalls von Experten beschrieben:
- Öffnen Sie die Eingabeaufforderung als Administrator.
- Geben Sie folgenden Befehl ein, um das Update manuell anzustoßen:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f- Starten Sie anschließend die zugehörige geplante Aufgabe mit PowerShell:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Klappt es, ist kurze Zeit später alles gut. Ist das nicht der Fall, muss man weiter Hand an das betroffene System legen.
Sonderfall: BIOS-Modus „Custom“ verhindert das Update
Bei manchen Systemen können die Zertifikate zunächst nicht aktualisiert werden. Im BIOS unter den Secure-Boot-Einstellungen den Modus von „Custom“ auf „Standard“ setzen, die Änderung speichern und neu starten. Im Anschluss können die Zertifikate erfolgreich aktualisiert werden.
Sonderfall: Hyper-V und virtuelle Maschinen
Wenn die Aktualisierung bei Hyper-V Gen 2-VMs nicht funktioniert, prüfen Sie, um welche Konfigurationsversion es sich handelt. Version 10.0 oder neuer sollte kein Problem sein; bei Version 8.0 funktioniert die Aktualisierung von KEK möglicherweise nicht. Entweder die Version aktualisieren oder eine neue VM erstellen, die MAC-Adresse übernehmen und die VHDX-Dateien umklemmen.
Secure Boot und Dual-Boot mit Linux
Wer neben Windows 11 auch eine Linux-Distribution betreibt, sollte besonders aufmerksam sein. Bei Dual-Boot kann Secure Boot zu Problemen führen – viele Linux-Distributionen sind aber inzwischen kompatibel. Distributionen wie Ubuntu ab Version 22.04, Fedora und openSUSE unterstützen Secure Boot über den sogenannten Shim-Bootloader vollständig. Weniger verbreitete Distributionen erfordern jedoch möglicherweise das vorübergehende Deaktivieren von Secure Boot.
Für Dual-Boot-Systeme empfehlen wir folgende Vorgehensweise:
- Prüfen Sie, ob Ihre Linux-Distribution Secure Boot unterstützt.
- Falls ja: Secure Boot aktiviert lassen und die aktuellen Zertifikate installieren.
- Falls nein: Secure Boot im UEFI temporär deaktivieren, Linux installieren, danach wieder aktivieren und testen.
- Achten Sie darauf, dass der Secure Boot Mode auf „Standard“ steht, nicht auf „Custom“.
Secure Boot deaktivieren – wann es sinnvoll ist
Manchmal ist es nötig, Secure Boot vorübergehend zu deaktivieren. Das gilt insbesondere für:
- Ältere Betriebssysteme wie Windows 7 oder ältere Linux-Versionen ohne Signierung
- Bestimmte Treiber von Drittanbietern ohne gültige digitale Signatur
- Spezielle Hardware-Diagnosetools, die nicht signiert sind
- Bestimmte Virtualisierungsszenarien
Nach der Installation können Sie Secure Boot wieder aktivieren, solange das System korrekt startet. Deaktivieren Sie Secure Boot daher nur dann und nur so lange, wie es unbedingt erforderlich ist.
Häufige Probleme und Lösungen
Secure Boot lässt sich nicht aktivieren: Stellen Sie sicher, dass Ihr Motherboard und Ihre Firmware Secure Boot überhaupt unterstützen. Bei sehr alten Geräten ist das manchmal nicht der Fall. Zusätzlich muss das System im UEFI-Modus starten und das Laufwerk muss das GPT-Partitionsschema verwenden.
PC startet nach Aktivierung nicht mehr: Prüfen Sie, ob alle Partitionen nach GPT konvertiert wurden. Nutzen Sie gegebenenfalls das Windows-Setup-Medium zur Reparatur.
Secure Boot aktiv, aber Windows meldet „inaktiv“: Wenn bei einem PC Secure Boot im BIOS aktiv ist, aber Windows dennoch meldet, dass es inaktiv sei, empfehlen wir, den Secure-Boot-Modus im UEFI von „Custom“ auf „Standard“ zu ändern und anschließend die Standard-Schlüssel über „Install default keys“ neu zu installieren.
Zertifikatupdate schlägt fehl: Prüfen Sie zunächst, ob automatische Updates aktiviert sind. Verwenden Sie anschließend die oben beschriebene manuelle Methode über den Registrierungseditor und PowerShell. Sollte auch das nicht helfen, wechseln Sie im UEFI den Secure-Boot-Modus von „Custom“ auf „Standard“.
Secure Boot unter Windows 10 – was gilt hier?
Secure Boot lässt sich unabhängig davon aktivieren, ob Sie Windows 11 oder Windows 10 nutzen. Die Schritte im UEFI sind weitgehend identisch. Auch unter Windows 10 laufen die 2011er-Zertifikate im Juni 2026 ab, sodass dasselbe Update-Vorgehen gilt. Für Windows 10 empfehlen wir zudem, den Update-Status in der Windows-Sicherheits-App unter Gerätesicherheit → Kernisolierung zu prüfen.
Häufige Fragen zu Secure Boot
Was ist der Unterschied zwischen Secure Boot und BIOS?
BIOS (bzw. UEFI) ist die Firmware, die Ihren Computer grundlegend steuert und hochfährt. Secure Boot ist eine Sicherheitsfunktion innerhalb der UEFI-Firmware. Deshalb können Sie UEFI haben, ohne dass Secure Boot aktiviert ist. Für Windows 11 werden jedoch beide benötigt: das System muss im UEFI-Modus starten, und Secure Boot muss eingeschaltet sein.
Kann ich Secure Boot aktivieren, ohne Windows neu zu installieren?
Ja, in den meisten Fällen. Wenn Ihr System bereits im UEFI-Modus läuft und das Laufwerk das GPT-Partitionsschema verwendet, können Sie Secure Boot jederzeit im BIOS/UEFI aktivieren, ohne Windows neu zu installieren. Nur wenn Sie vom Legacy-BIOS auf UEFI wechseln müssen, ist eine Partitionskonvertierung mit MBR2GPT nötig – die jedoch ohne Datenverlust möglich ist.
Was passiert, wenn Secure Boot deaktiviert ist?
Ohne Secure Boot prüft Ihr System beim Start nicht, ob Bootloader und Treiber digital signiert sind. Deshalb könnten Rootkits, Bootkits und andere Schadsoftware theoretisch unbemerkt geladen werden – noch bevor Windows und dessen Schutzprogramme aktiv sind. Außerdem verletzt das in vielen Fällen die Systemvoraussetzungen von Windows 11.
Wie prüfe ich, ob meine Secure-Boot-Zertifikate aktuell sind?
Die Windows-Sicherheits-App zeigt an, ob Ihr Gerät die aktualisierten 2023-Zertifikate erhalten hat, wie ihr aktueller Status ist und ob eine Aktion erforderlich ist. Öffnen Sie dazu Windows-Sicherheit → Gerätesicherheit → Details zur Kernisolierung. Dort sehen Sie den aktuellen Zertifikatstatus auf einen Blick.
Was bedeutet „Secure Boot Mode: Custom“ im BIOS?
Der Custom-Modus erlaubt es, eigene Schlüssel und Zertifikate in die Secure-Boot-Datenbank zu laden. Für normale Anwender ist das jedoch ungeeignet. Stellen Sie den Secure-Boot-Modus auf „Standard“ (nicht auf „Custom/Benutzerdefiniert“). Nur im Standard-Modus werden die von Microsoft vorgesehenen Zertifikate korrekt verwendet und aktualisiert.
Benötige ich Secure Boot, wenn ich TPM 2.0 aktiviert habe?
TPM 2.0 und Secure Boot sind beide Anforderungen von Windows 11, aber sie erfüllen unterschiedliche Aufgaben. TPM 2.0 schützt kryptografische Schlüssel und wird etwa für BitLocker benötigt. Secure Boot schützt den Startprozess. Daher benötigen Sie für vollständigen Schutz unter Windows 11 beide Funktionen gleichzeitig – sie ersetzen sich gegenseitig nicht.
Verliere ich Daten, wenn ich Secure Boot aktiviere oder deaktiviere?
Nein. Das bloße Aktivieren oder Deaktivieren von Secure Boot im UEFI verändert keine Dateien auf Ihrem Laufwerk. Jedoch kann es in seltenen Fällen dazu führen, dass bestimmte Betriebssysteme im Dual-Boot nicht mehr starten, wenn sie nicht signiert sind. Außerdem erfordert der Wechsel von Legacy-BIOS auf UEFI eine Partitionskonvertierung, bei der grundsätzlich ein Datenverlust möglich ist – weshalb ein Backup vorher unbedingt empfohlen wird.
Was sind KEK und DB im Zusammenhang mit Secure Boot?
KEK (Key Exchange Key) und DB (Signature Database) sind zwei der drei zentralen Schlüsseldatenbanken in Secure Boot. Sowohl die UEFI Secure Boot DB als auch KEK müssen mit den entsprechenden neuen 2023-Zertifikatversionen aktualisiert werden. Die DB enthält Signaturen vertrauenswürdiger Software; der KEK regelt, wer die DB aktualisieren darf. Beides wird über Windows Update automatisch aktualisiert.
Funktioniert Secure Boot auch auf älteren PCs?
Nagelneue Versionen von Computer-Mainboards und Markencomputern, die nach 2011 hergestellt wurden, unterstützen den UEFI Secure Boot-Modus. Auf Systemen, die vor 2011 gebaut wurden, fehlt jedoch häufig die nötige UEFI-Firmware vollständig. In diesem Fall ist Secure Boot nicht nachrüstbar, und Windows 11 lässt sich auf solchen Geräten offiziell nicht unterstützt installieren.
Muss ich nach der Zertifikatsaktualisierung etwas prüfen?
Ja, empfohlene Vorgehensweise ist Folgendes: Führen Sie nach der Aktualisierung zwei bis drei Neustarts durch und öffnen Sie danach die Windows-Sicherheits-App. Prüfen Sie unter Gerätesicherheit, ob der Zertifikatstatus als „aktuell“ oder „erfolgreich“ angezeigt wird. Außerdem können Sie in msinfo32 kontrollieren, ob der „Sichere Startstatus“ weiterhin „Ein“ anzeigt.
Ist Secure Boot auch unter Linux wichtig?
Ja, jedoch mit Einschränkungen. Viele moderne Distributionen wie Ubuntu, Fedora und openSUSE unterstützen Secure Boot über den Shim-Bootloader vollständig und können deshalb problemlos neben Windows 11 betrieben werden. Ältere oder speziellere Distributionen erfordern hingegen das Deaktivieren von Secure Boot oder die manuelle Installation eigener Schlüssel im Custom-Modus.
Fazit
Die Secure-Boot-Konfiguration in Windows 11 ist 2026 wichtiger denn je. Prüfen Sie jetzt den Status Ihrer Zertifikate in der Windows-Sicherheits-App und stellen Sie sicher, dass automatische Updates aktiviert sind.
Wer Probleme mit der automatischen Aktualisierung hat, nutzt die manuelle Methode über den Registrierungseditor oder wechselt im UEFI den Modus von „Custom“ auf „Standard“. So bleibt Ihr System dauerhaft geschützt.