Ab Juni 2026 drohen gravierende Sicherheits- und Betriebsprobleme für Millionen Windows-Geräte. Grund ist das Auslaufen zentraler Zertifikate, die für den sicheren Systemstart essenziell sind. Microsoft drängt IT-Administratoren jetzt zum Handeln.
Die tickende Uhr: Warum die Zertifikate so wichtig sind
Secure Boot ist eine fundamentale Sicherheitsbarriere. Die Technologie überprüft beim Hochfahren jedes Stück Software – von der Firmware bis zum Betriebssystem. Sie stellt sicher, dass nur vertrauenswürdige Komponenten laden. Das verhindert tiefgreifende Angriffe durch Rootkits.
Das gesamte System basiert auf einer Kette digitaler Zertifikate. Nun laufen die ursprünglichen, um 2011 ausgestellten Schlüssel-Zertifikate ab. Dazu gehören die Microsoft Corporation KEK CA 2011 und die Microsoft Windows Production PCA 2011.
„Ohne Update reißt diese Vertrauenskette“, erklärten Experten in einer Live-Fragestunde am Donnerstag. Die Folgen? Geräte könnten keine wichtigen Sicherheitsupdates mehr installieren. Im schlimmsten Fall starten sie gar nicht mehr oder zwingen Nutzer in die BitLocker-Wiederherstellung. Betroffen sind physische und virtuelle Maschinen mit unterstützten Windows-Versionen.
Microsofts Werkzeugkasten für die Rettungsaktion
Der Konzern reagiert mit einer Doppelstrategie. Die neuen 2023-Zertifikate werden über Firmware-Updates der Gerätehersteller (OEM) und Windows-Wartung verteilt. Für komplexe Unternehmensnetzwerke hat Microsoft einen detaillierten „Secure-Boot-Playbook“ veröffentlicht.
Parallel stellte das Unternehmen ein neues Überwachungstool vor. Im Intune Admin Center können Administratoren jetzt den Secure-Boot-Status ihrer gesamten Geräteflotte einsehen. Die Übersicht zeigt sofort, welche Rechner aktualisiert werden müssen. Für die Steuerung des Rollouts stehen zudem Gruppenrichtlinien (GPO) und Kommandozeilen-Tools bereit.
IT‑Administratoren sollten jetzt handeln: Das Auslaufen von Secure‑Boot‑Zertifikaten kann Firmware‑ und Boot‑Probleme auslösen und Update‑Rollouts blockieren. Unser kostenloses Cyber‑Security‑E‑Book erklärt genau, welche Prüfungen (Firmware‑Versionschecks, KEK/PCA‑Zertifikatsstatus, BitLocker‑Vorbereitung) Sie kurzfristig per Intune, GPO und Skripten automatisieren sollten — inklusive praktischer Checkliste für Pilotphase und Rollout, damit Ausfallzeiten erst gar nicht entstehen. Jetzt kostenlosen Cyber‑Security‑Report für IT‑Teams herunterladen
Hintergrund: Eine Schwachstelle unterstreicht die Dringlichkeit
Die Wartung ist nicht nur Routine. Sie steht im Zusammenhang mit einer kürzlich bekannt gewordenen Sicherheitslücke (CVE-2026-21265). Diese Schwachstelle könnte dazu führen, dass Zertifikats-Updates fehlschlagen oder unberechenbar reagieren – ein weiteres Argument für ein durchdachtes Vorgehen.
In der Fragestunde betonten die Microsoft-Experten einen kritischen Punkt: Oft müssen zuerst Firmware-Updates vom Hardware-Hersteller installiert werden. Erst dann akzeptiert das System die neuen Microsoft-Zertifikate. Andernfalls drohen Kompatibilitätsprobleme.
Der Fahrplan: So sollten Unternehmen jetzt vorgehen
Die Botschaft von Redmond ist eindeutig: Warten Sie nicht bis zum Sommer. Viele seit 2024 produzierte PCs haben die neuen Zertifikate bereits. Für ältere Geräte ist manuelles Eingreifen nötig.
Microsoft empfiehlt einen dreistufigen Prozess:
1. Bestandsaufnahme: Identifizieren Sie alle betroffenen Systeme.
2. Pilotphase: Testen Sie das Update auf einer repräsentativen Gerätegruppe.
3. Rollout: Führen Sie die Updates kontrolliert im gesamten Unternehmen durch.
Mit den bereitgestellten Werkzeugen und Leitfäden können IT-Abteilungen den Übergang managen. Das Ziel: Geräte, die auch nach 2026 sicher, konform und voll funktionsfähig bleiben.
PS: Viele Unternehmen unterschätzen, wie schnell ein fehlerhafter Zertifikats‑Rollout ganze Dienste lahmlegen kann. Der Gratis‑Guide erklärt praxisnahe Sofortmaßnahmen — von Zertifikat‑ und Firmware‑Checks bis zu Wiederherstellungs‑Strategien — und enthält Vorlagen für Incident‑Response sowie interne Kommunikation, damit Ihre IT‑Abteilung Sicherheit und Verfügbarkeit zugleich sicherstellt. Gratis‑Cyber‑Security‑Guide anfordern
