Microsoft hat mit dem Mai-Update KB5087544 eine entscheidende Neuerung ausgerollt: Windows 10 zeigt künftig den Status der Secure-Boot-Zertifikate direkt in der Sicherheits-App an. Der Schritt kommt keine Woche zu früh – im Juni 2026 laufen die alten Boot-Zertifikate aus.
Das Update adressiert ein Problem, das IT-Administratoren seit Monaten umtreibt: Wie erkennt man zuverlässig, ob ein Rechner die neuen Sicherheitszertifikate erhalten hat? Bislang halfen nur Registry-Checks oder PowerShell-Skripte. Mit dem Patch führen die Redmonder ein farbcodiertes Ampelsystem ein – grün, gelb und rot zeigen den Status der Zertifikatsmigration an.
Während Microsoft Sicherheitslücken auf Systemebene schließt, rücken Cyberkriminelle zunehmend kleine und mittelständische Unternehmen mit gezielten Angriffen ins Visier. Dieses kostenlose E-Book zeigt Ihnen, wie Sie Ihre Firma proaktiv vor aktuellen Bedrohungen schützen und Sicherheitslücken ohne hohes Budget schließen. Kostenloses E-Book: Cyber Security Strategien für KMU
Ampelsystem für die Boot-Sicherheit
Konkret bedeutet das: Ein grüner Haken signalisiert, dass das System die neuen Windows-UEFI-CA-2023-Zertifikate erfolgreich installiert hat und gegen bekannte Boot-Level-Angriffe geschützt ist. Eine gelbe Warnung deutet darauf hin, dass das Update aussteht oder durch Hardware- beziehungsweise Firmware-Beschränkungen blockiert wird. Das rote Icon zeigt kritische Probleme an, die sofortiges Eingreifen erfordern.
Die neue Funktion richtet sich vor allem an Nutzer des Extended Security Update (ESU)-Programms und an Betreiber von Windows 10 Enterprise LTSC. Microsoft hat zudem die Logik zur Geräteauswahl verfeinert: Die Zertifikate werden nur auf Systeme ausgerollt, die eine stabile Update-Historie vorweisen – das senkt das Risiko von Boot-Fehlern auf älterer Hardware.
Zwei tickende Zeitbomben
Die Dringlichkeit der Maßnahme erklärt sich aus zwei Gründen. Da ist zum einen die BlackLotus-Malware (CVE-2023-24932), ein hochentwickelter UEFI-Bootkit, der Secure Boot umgeht, indem er Schwachstellen im Windows Boot Manager ausnutzt. Da der Schädling vor dem Betriebssystem lädt, umgeht er klassische Antiviren-Lösungen.
Zum anderen läuft der alte Microsoft Windows Production PCA 2011-Zertifikatsschlüssel im Juni 2026 ab. Systeme, die bis dahin nicht auf die 2023-Version migriert sind, bleiben dauerhaft angreifbar. Zwar booten sie in der Regel weiter – doch sie verlieren die Fähigkeit, künftige Boot-Level-Updates zu erhalten und neue, mit modernen Zertifikaten signierte Software zu vertrauen.
Die Komplexität der Migration zeigte sich erst kürzlich mit der Entdeckung des BitUnlocker-Downgrade-Angriffs. Der Exploit erlaubt Angreifern, verschlüsselte Festplatten auf Systemen ohne Pre-Boot-PIN zu entsperren – indem sie einen alten, noch vertrauenswürdigen Boot-Manager nutzen. Die vollständige Migration auf die 2023-Zertifikate ist der einzige Weg, diese Angriffsvektoren zu schließen.
Neben technischen Schwachstellen stellen auch neue KI-Gesetze und veränderte Bedrohungslagen Unternehmer vor große Herausforderungen. Erfahren Sie in diesem Experten-Report, welche rechtlichen Pflichten Sie jetzt kennen müssen und wie Sie Ihr Unternehmen langfristig absichern. Jetzt Gratis-Report zu Cyberrisiken und KI-Gesetzen sichern
120 Schwachstellen geschlossen
Neben den Secure-Boot-Neuerungen stopfte das Mai-Update insgesamt 120 Sicherheitslücken im Microsoft-Ökosystem. 17 davon stuften die Redmonder als kritisch ein – darunter zahlreiche Remote-Code-Execution-Lücken in Office, Word und Excel. Einige dieser Schwachstellen ließen sich allein durch das Anzeigen einer manipulierten Datei in der Vorschau ausnutzen.
Gefixt wurde auch ein bekanntes Problem mit Remote-Desktop-Sicherheitswarnungen: Auf Systemen mit Multi-Monitor-Konfigurationen und unterschiedlichen Bildschirmskalierungen hatten sich die Dialogfenster zuvor nicht korrekt dargestellt.
Oktober 2026 als harte Deadline
Für Unternehmen wird der Mai-Patch zum diagnostischen Wendepunkt. Microsoft hat die finale Durchsetzungsphase für Oktober 2026 angekündigt. Dann werden die alten 2011-Zertifikate vom Windows Boot Manager nicht mehr akzeptiert – die BlackLotus-Mitigation wird für alle unterstützten Systeme verpflichtend.
IT-Administratoren sollten die neuen Reporting-Funktionen nutzen, um ihren Gerätebestand zu inventarisieren. Über Windows Autopatch steht zudem ein neuer Secure-Boot-Statusbericht zur Verfügung. Besonders knifflig bleibt die Lage bei älterer Hardware, die keine automatischen Zertifikats-Updates unterstützt – hier sind manuelle Firmware- und Registry-Eingriffe nötig.
Microsoft kündigte an, die automatischen Auslieferungsmechanismen für die 2023-Zertifikate in den kommenden Monaten weiter zu verfeinern. Der Erfolg der Transition hängt jedoch maßgeblich von den Hardware-Partnern ab: Nur wenn die Hersteller weiterhin Firmware-Updates bereitstellen, können auch ältere UEFI-Datenbanken die neuen Zertifikatsstellen aufnehmen. Für Nutzer von Geräten, die keinen Herstellersupport mehr erhalten, ist das Mai-Update womöglich die letzte Chance, Klarheit über ihren Sicherheitsstatus zu gewinnen.
