**
Microsoft steht vor einem historischen Kraftakt: Die Sicherheitszertifikate, die seit 15 Jahren den Windows-Startprozess absichern, laufen aus. Ab Juni können keine neuen Boot-Komponenten mehr mit den alten Schlüsseln signiert werden. Für IT-Administratoren und Heimanwender wird es jetzt ernst – wer die Umstellung verpasst, riskiert ernsthafte Probleme.
Festplatte kaputt oder Windows streikt? Damit Sie bei Startproblemen oder Systemfehlern jederzeit handlungsfähig bleiben, zeigt dieser kostenlose Report Schritt für Schritt, wie Sie einen Windows-11-USB-Stick als Rettungsanker erstellen. Windows 11 Boot-Stick Anleitung kostenlos sichern
Warum die alten Zertifikate ersetzt werden müssen
Die Secure-Boot-Zertifikate aus dem Jahr 2011 haben ihre maximale Lebensdauer erreicht. Sie dienen dazu, die Integrität von Firmware und Bootloadern zu prüfen, bevor Windows überhaupt startet. Ohne funktionierende Zertifikate könnten Schadprogramme wie Bootkits ungehindert eindringen – ein Albtraum für jedes Unternehmen.
Microsoft hat bereits neue Zertifikate aus dem Jahr 2023 ausgestellt. Für Geräte, die in den letzten zwei Jahren produziert wurden, ist die Umstellung meist schon erledigt. Ältere Rechner erhalten die Updates über Windows Update. Doch der Prozess ist komplex: Er erfordert die Koordination von Hardwareherstellern, Firmware-Updates und Millionen unterschiedlicher Systemkonfigurationen.
Die gute Nachricht: Rechner werden nicht schlagartig am 1. Juni den Dienst verweigern. Die alte Zertifikatskette bleibt zunächst funktionsfähig. Allerdings können Microsoft und Drittanbieter dann keine neuen Boot-Updates mehr unter der alten Signatur ausstellen. Und sollte Microsoft die alten Zertifikate irgendwann widerrufen – etwa wegen Sicherheitslücken wie dem BlackLotus-Bootkit –, könnten nicht aktualisierte Systeme von Wiederherstellungsmedien oder aktualisierten Installationsprogrammen nicht mehr booten.
Neue Statusanzeige im Windows-Sicherheitscenter
Bislang war die Überprüfung des Zertifikatsstatus eine Wissenschaft für sich: Nur wer PowerShell-Befehle beherrschte oder sich durch kryptische Firmware-Menüs kämpfte, wusste Bescheid. Das ändert sich jetzt.
Seit Anfang April zeigt die Windows-Sicherheits-App unter „Gerätesicherheit“ einen neuen Statusindikator an. Ein grüner Haken bedeutet: Alles in Ordnung, kein Handlungsbedarf. Ein gelbes Ausrufezeichen signalisiert eine Sicherheitsempfehlung. Ein rotes Symbol warnt vor einem Problem, das sofortige Aufmerksamkeit erfordert – etwa wenn ein Gerät keine notwendigen Updates mehr für den Bootvorgang erhalten kann.
Microsoft hat am 22. April klargestellt: Die Funktion wird bis Ende April auf allen unterstützten PCs ausgerollt. Allerdings reicht ein grüner Haken allein nicht – Nutzer sollten den Begleittext lesen, um sicherzustellen, dass dort explizit die Aktivierung der 2023er-Zertifikatskette bestätigt wird.
Technische Pannen: BitLocker-Probleme nach Update
Die Umstellung läuft nicht ganz reibungslos. Nach dem April-Sicherheitsupdate KB5083769 berichteten einige Windows-11-Nutzer von einem BitLocker-Wiederherstellungsbildschirm – sie kamen nicht mehr ins System, ohne ihren Wiederherstellungsschlüssel einzugeben.
Microsoft bestätigte: Das Problem tritt auf, wenn eine nicht empfohlene BitLocker-Gruppenrichtlinienkonfiguration vorliegt. Das Update ändert die Art und Weise, wie das System die Boot-Integrität prüft – was bei falsch konfigurierten Systemen einen TPM-Validierungsfehler auslösen kann. Für betroffene Nutzer gibt es eine klare Anweisung: Wiederherstellungsschlüssel eingeben, dann läuft der Rechner wieder. Für Unternehmen stellt Microsoft ein „Known Issue Rollback“ (KIR) bereit, um die Änderung rückgängig zu machen.
Der April war ohnehin ein intensiver Monat für Windows-Sicherheitsteams: Mitte April schloss Microsoft 167 Sicherheitslücken, darunter zwei aktiv ausgenutzte Zero-Day-Schwachstellen. Am 22. April folgte ein Notfall-Update für eine kritische Schwachstelle in ASP.NET Core (CVE-2026-40372, Schweregrad 9.1), die es Angreifern ermöglichte, durch gefälschte Authentifizierungs-Cookies Systemrechte zu erlangen.
Windows 11 macht Probleme? Falls Ihr System nach den neuesten Sicherheitsupdates hakt, zeigt dieser Experten-Ratgeber, wie Sie typische Fehler wie Update-Störungen oder Netzwerkausfälle in wenigen Minuten selbst beheben. Kostenlosen Erste-Hilfe-Report für Windows 11 herunterladen
Branchentrend: Kürzere Zertifikatslaufzeiten
Die Windows-Umstellung fällt in eine Zeit, in der die gesamte IT-Branche auf kürzere Zertifikatslaufzeiten setzt. Seit dem 15. März gilt: Öffentlich vertrauenswürdige TLS-Zertifikate dürfen maximal 200 Tage gültig sein. Bis 2029 soll diese Frist auf nur noch 47 Tage sinken.
Unternehmen wie DigiCert, Sectigo und GlobalSign haben ihre Ausstellungsrichtlinien bereits angepasst. Das Ziel: Die Angriffsfläche für kompromittierte Zertifikate verkleinern und die Automatisierung des Zertifikatsmanagements erzwingen. Für Windows-Nutzer bedeutet das: Die Ära des „Einmal einrichten, nie wieder kümmern“ ist endgültig vorbei. Ob auf Firmware-Ebene mit Secure Boot oder auf Anwendungsebene mit TLS – die Wartung von Sicherheitszertifikaten wird zur kontinuierlichen, automatisierten Notwendigkeit.
Countdown zum Juni: Was jetzt zu tun ist
Microsoft drängt IT-Verantwortliche, die Secure-Boot-Zertifikate auf allen Rechnern zu prüfen, die vor 2024 produziert wurden. Privatnutzer erhalten die 2023er-Zertifikate voraussichtlich automatisch mit den April- und Mai-Updates. In Unternehmen mit gestaffelten Update-Zyklen ist jedoch oft manuelles Eingreifen nötig.
Konkrete Schritte für Administratoren:
– Mit PowerShell prüfen, ob das „Windows UEFI CA 2023″-Zertifikat vorhanden ist
– Bei negativem Ergebnis: Firmware-Update-Richtlinien überprüfen oder BIOS-Updates beim Hersteller anfordern
– Ab Mai wird die Windows-Sicherheits-App proaktive Benachrichtigungen außerhalb der App ausgeben – auch Systemmeldungen sind geplant
Wer jetzt handelt, vermeidet böse Überraschungen im Juni. Denn eines ist klar: Die alten Zertifikate werden nicht ewig weitergelten – und wer den Anschluss verpasst, steht im schlimmsten Fall vor einem Rechner, der nicht mehr startet.
