![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
Im Juni 2026 laufen UEFI Secure Boot-Zertifikate f\u00fcr Windows ab. Im Oktober 2026 trifft es dann das n\u00e4chste ablaufende UEFI-Zertifikat f\u00fcr den Secure Boot. Microsoft hat zum 13. Januar 2026 im Rahmen des Patchday erneut den Ansatz unternommen, das Secure Boot-Zertifikat im UEFI auszutauschen. Hier eine kurze Nachlese zum Sachstand.<\/p>\n
<\/p>\n
Microsoft hat in den Supportdokumenten zu den Windows Sicherheitsupdates f\u00fcr Windows vom 13. Januar 2026, z.B. f\u00fcr KB5074109<\/a> f\u00fcr Windows 11 24H2-25H2, erneut an die in diesem Jahr ablaufenden UEFI-Zertifikate erinnert. Hier der betreffende Auszug aus dem Abschnitt \"Ank\u00fcndigungen und Nachrichten\":<\/p>\n Ablauf des Windows Secure Boot-Zertifikats<\/b><\/p>\n Wichtig:<\/b>\u00a0Die von den meisten Windows-Ger\u00e4ten verwendeten Secure Boot-Zertifikate laufen ab Juni 2026 ab.\u00a0Dies kann sich auf die F\u00e4higkeit bestimmter pers\u00f6nlicher und gesch\u00e4ftlicher Ger\u00e4te auswirken, sicher zu starten, wenn sie nicht rechtzeitig aktualisiert werden.\u00a0Um Unterbrechungen zu vermeiden, empfiehlt es sich, den Leitfaden zu lesen und Ma\u00dfnahmen zu ergreifen, um Zertifikate im Voraus zu aktualisieren.\u00a0Details und Vorbereitungsschritte finden Sie unter\u00a0Ablauf des Windows Secure Boot-Zertifikats und CA-Updates<\/a> (englisch Windows Secure Boot certificate expiration and CA updates<\/a>).<\/p><\/blockquote>\n Von Microsoft hei\u00dft es, dass Nutzer m\u00f6glicherweise Ma\u00dfnahmen ergreifen m\u00fcssen, um sicherzustellen, dass Ihr Windows-Ger\u00e4t auch nach Ablauf der Zertifikate im Jahr 2026 sicher bleibt. Sowohl die UEFI Secure Boot DB als auch die KEK m\u00fcssen mit den entsprechenden neuen Zertifikatsversionen f\u00fcr 2023 aktualisiert werden.<\/p>\n Ich hatte bereits 2025 im Beitrag Microsofts UEFI Secure Boot-Zertifikat l\u00e4uft im Juni 2026 ab<\/a> auf das Thema hingewiesen. Im letzten Jahr hatte Microsoft auch mehrfach versucht, Zertifikate im UEFI mittels Updates auszutauschen, was aber zu Problemen f\u00fchrte (siehe auch Links zu Artikeln am Beitragsende.<\/p>\n In den Supportartikeln zu den Sicherheitsupdates vom 13. Januar 2026 f\u00fcr die diversen Windows-Versionen hei\u00dft es von Microsoft:<\/p>\n [Secure Boot]<\/b>\u00a0Starting with this update, Windows quality updates include a subset of high confidence device targeting data that identifies devices eligible to automatically receive new Secure Boot certificates. Devices will receive the new certificates only after demonstrating sufficient successful update signals, ensuring a safe and phased deployment.\u200b\u200b\u200b\u200b\u200b\u200b\u200b<\/p><\/blockquote>\n Mit dem Januar 2026-Update rollt Microsoft also neue Secure Boot-Zertifikate aus, allerdings nur an Maschinen, deren Konstellation die automatisch Installation im UEFI erm\u00f6glichen. Nur wenn das UEFI bzw. das Windows-System bei der Abfrage signalisiert, dass das UEFI Secure Boot-Zertifikat erfolgreich und sicher aktualisieren kann, wird der Maschine ein aktualisiertes Zertifikat bereitgestellt.<\/p>\n Bolko weist in diesem Kommentar<\/a> sogar darauf hin, dass das Rollout in Wellen erfolgt. Erst wenn gen\u00fcgend Ger\u00e4te erfolgreich aktualisiert wurden, erhalten auch andere Ger\u00e4te des selben Modells dieses Update in nachfolgenden Wellen.<\/p>\n Die gro\u00dfe Frage, die auch Bolko in seinem oben erw\u00e4hnten Kommentar anspricht, gilt den Maschinen, bei denen der Austausch der Secure Boot-Zertifikate im UEFI scheitert oder abgelehnt wird. Bolko verwies auf meinen Blog-Beitrag Vorsicht: Windows Juni 2025-Updates bricken Fujitsu-Rechner<\/a>, wo ein spezieller Fall besprochen wurde.<\/p>\n Zudem hatte ich im November 2025 im Artikel Windows 10: Chaos beim Austausch neuer Secure Boot-Keys?<\/a> noch auf gewisse Ungereimtheiten im Support-Beitrag\u00a0Registry key updates for Secure Boot: Windows devices with IT-managed updates<\/a> hingewiesen, die inzwischen aber korrigiert worden sind.<\/p>\n Im Support-Beitrag Registry key updates for Secure Boot: Windows devices with IT-managed updates<\/a> finden sich im Abschnitt \"Device testing using registry keys \" auch Hinweise f\u00fcr Administratoren, wie man \u00fcberpr\u00fcfen kann, ob eine Maschine den Zertifikatstausch zul\u00e4sst und das Zertifikat bekommen hat.<\/p>\n Dazu sind bestimmte Registry-Keys zu setzen. Die Ergebnisse werden in den im Supportbeitrag beschriebenen Registrierungsschl\u00fcsseln UEFICA2023Status<\/em> und UEFICA2023Error<\/em> sowie im Ereignisprotokolle (z.B. unter \"Sicheres Starten \u2013 DB- und DBX-Variablenaktualisierungsereignisse\") gemeldet.<\/p>\n Ob Secure Boot auf einem Windows-System \u00fcberhaupt aktiviert ist, l\u00e4sst sich leicht pr\u00fcfen, indem man die Tastenkombination Windows+R<\/em> dr\u00fcckt und msinfo32 eintippt. Wird der Befehl abgesetzt, erscheint das Fenster mit den Systeminformationen.<\/p>\n In der System\u00fcbersicht sollte im rechten Teilfenster der Zustand unter \"Sicherer Startzustand\" angezeigt werden. Ich habe Secure Boot bei meiner Windows 10-Maschine (und bei den Linux-Notebooks) deaktiviert.<\/p>\n Alternativ l\u00e4sst sich der PowerShell-Befehl Confirm-SecureBootUEFI<\/em> verwenden, der als Ergebnis True oder False anzeigen sollte. Dell hat hier<\/a> ein Supportdokument bereitgestellt, welches Hinweise gibt, wie man die Zertifikate mittels PowerShell pr\u00fcfen kann.<\/p>\n Auf GitHub gibt es noch\u00a0Check-UEFISecureBootVariables<\/a>, PowerShell-Skripte zum \u00dcberpr\u00fcfen der UEFI-Variablen KEK, DB und DBX Secure Boot sowie Skripte f\u00fcr andere Secure Boot-bezogene Elemente.<\/p><\/blockquote>\n Interessant ist, dass Microsoft im Support-Beitrag\u00a0Microsoft Intune method of Secure Boot for Windows devices with IT-managed updates<\/a>, erschienen am 4. Dezember 2025, in den \"Known Issues\" zum 16. Dezember 2025 folgendes eingestellt hat:<\/p>\n Symptoms<\/b><\/p>\n Secure Boot configuration settings deployed through\u00a0Microsoft Intune Mobile Device Management (MDM)<\/a>\u00a0are currently blocked on Pro editions of Windows 10 and Windows 11.<\/p>\n Workaround<\/b><\/p>\n The issue is under investigation, and additional information will be shared as soon as it becomes available.<\/p>\n<\/div>\n<\/div>\n<\/blockquote>\n Dieser Klemmer wird also bei Microsoft weiterhin untersucht und ist bisher nicht abger\u00e4umt. Auf reddit.com wird in diesem Thread<\/a> \u00fcber die obige Frage diskutiert und in dieser Antwort<\/a> listet jemand ein Intune Detection Script, was pr\u00fcft, ob das\u00a0Windows UEFI CA 2023-Zertifikat gefunden wird.<\/p>\n<\/div>\n Das Thema bewegt viele Administratoren – auf reddit.com gibt es diesen aktuellen Thread<\/a>, auf administrator.de hat jemand diesen Thread<\/a> zum Thema er\u00f6ffnet. Diskussionen zu Problemen – auch mit obigem Registry-Key – finden sich in diesem Thread<\/a> vom 12. Januar 2026.<\/p>\n Wie ist der Update-Status bez\u00fcglich UEFI Secure Boot-Zertifikatsaustausch? Ist das Ganze bereits vom Tisch? Gibt es Probleme bei euch? Steht der Zertifikatswechsel noch an?<\/p>\n \u00c4hnliche Artikel:<\/strong> Im Juni 2026 laufen UEFI Secure Boot-Zertifikate f\u00fcr Windows ab. Im Oktober 2026 trifft es dann das n\u00e4chste ablaufende UEFI-Zertifikat f\u00fcr den Secure Boot. Microsoft hat zum 13. Januar 2026 im Rahmen des Patchday erneut den Ansatz unternommen, das Secure … Weiterlesen Vor 15 Jahren wurden erstmals Secure Boot-Zertifikate (f\u00fcr Windows 8-Maschinen) ausgestellt und im UEFI ausgerollt. Erste Zertifikate laufen im Juni 2026 ab.\u00a0Microsoft hat im Techcommunity-Beitrag\u00a0Act now: Secure Boot certificates expire in June 2026<\/a> folgende Tabelle mit der Liste der ablaufenden Zertifikate ver\u00f6ffentlicht.<\/p>\n
![\"Windows](\"https:\/\/i.postimg.cc\/FHf8wS5d\/image.png\")
<\/p>\nZertifikate sollen per Update ausgetauscht werden<\/h2>\n
Zertifikate-Update von einigen Ger\u00e4ten im Januar 2026<\/h3>\n
Rollout in Wellen<\/h3>\n
Was ist mit Maschinen, die patzen?<\/h3>\n
Maschine auf Zertifikatsprobleme testen<\/h3>\n
Ist Secure Boot aktiv?<\/h3>\n
![\"Systeminformationen\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/01\/WinSecureBoot.jpg\")
<\/a><\/p>\nBei Intune gibt es einen Stopp<\/h3>\n
\n
Microsoft Intune Error Code 65000 on Pro editions of Windows<\/div>\n\n\n\n
\nFrage an die Leserschaft<\/h2>\n
\nMicrosoft Security Update Summary<\/a> (13. Januar 2026)
\nPatchday: Windows 10\/11 Updates<\/a> (13. Januar 2026)
\nPatchday: Windows Server-Updates<\/a> (13. Januar 2026)
\nMicrosofts UEFI Secure Boot-Zertifikat l\u00e4uft im Juni 2026 ab<\/a>
\nAchtung: Microsofts UEFI Zertifikat l\u00e4uft am 19. Okt. 2026 aus \u2013 Secure Boot betroffen<\/a>
\nFrage: BlackLotus-Schwachstelle und ablaufendes UEFI-Zertifikat \u2013 was droht uns?<\/a>
\nWindows 10\/11 KB5053484: Neues PS-Script f\u00fcr Zertifikate in Boot-Medien<\/a>
\nWindows 10: Chaos beim Austausch neuer Secure Boot-Keys?<\/a>
\nFAQ und Script zur Secure Boot-Absicherung gegen CVE-2023-24932 (Black Lotus)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"