Am 24. Juni 2026 endet eine Ära der Systemsicherheit. Drei zentrale Signaturzertifikate für Secure Boot verlieren dann ihre Gültigkeit – mit weitreichenden Folgen für Windows- und Linux-Nutzer weltweit.
Der Ablauf markiert den Abschluss eines jahrelangen Übergangsprozesses. Die betroffenen Schlüssel stammen aus dem Jahr 2011 und werden durch ein neues Set von Zertifikaten ersetzt, das Microsoft bereits 2023 eingeführt hat. Diese neuen Sicherheitszertifikate bleiben voraussichtlich bis 2038 gültig.
Warum der Wechsel so wichtig ist
Anzeige: Wer die Auswirkungen des Secure-Boot-Zertifikatsablaufs auf sein Unternehmensnetzwerk einschätzen will, findet in diesem kostenlosen Leitfaden die wichtigsten Migrationsschritte – von der Bestandsaufnahme bis zum gestaffelten Rollout. Jetzt kostenlosen Migrations-Leitfaden anfordern
Hintergrund der Umstellung ist ein grundlegendes Sicherheitsproblem. Secure Boot soll verhindern, dass Schadsoftware bereits vor dem eigentlichen Systemstart geladen wird – etwa sogenannte Bootkits, die tief im System verwurzelt sind. Die alten Zertifikate aus dem Jahr 2011 gelten inzwischen als potenziell angreifbar.
Den entscheidenden Anstoß für den Austausch gab die Entdeckung der LogoFail-Sicherheitslücke im Jahr 2023. Diese Schwachstelle machte eine komplette Überarbeitung der Secure-Boot-Vertrauenskette erforderlich. Ohne das Update auf die neuen Zertifikate bleiben Systeme anfällig für Angriffe, die bereits vor dem Laden des Betriebssystems ansetzen.
Was Windows-Nutzer beachten müssen
Für die meisten Windows-Anwender erfolgt die Aktualisierung automatisch über die bekannten Windows-Updates. Allerdings kann es bei bestimmten Hardware-Konfigurationen nötig sein, zusätzliche Firmware-Updates der Hersteller einzuspielen. Nur so bleibt der Bootloader mit den neuen Schlüsseln kompatibel.
Nutzer können den aktuellen Status ihrer Secure-Boot-Konfiguration über die Windows-Sicherheitscenter prüfen – unter dem Punkt „Gerätesicherheit“ und den dortigen Secure-Boot-Einstellungen.
Herausforderungen für Linux-Systeme
Linux-Anwender stehen vor einer komplexeren Situation. Hier hängt alles von der Verfügbarkeit aktualisierter Shims ab – jener kleinen Boot-Komponenten, die den Start des Systems absichern. Einige Distributionen wie Bazzite haben die 2023er-Zertifikate bereits in ihre regulären Update-Zyklen integriert. Andere Nutzer warten noch auf die notwendigen Komponenten, um nach der Juni-Frist sicher booten zu können.
Technische Berichte deuten auf konkrete Probleme hin: Bei bestimmten Hardware-Modellen, etwa dem Razer Blade 15 aus dem Jahr 2023, kam es nach Installationsversuchen zu Situationen, in denen Secure Boot in einem gesperrten Modus verharrte und der Bootloader nicht mehr starten konnte.
Große Herausforderung für Unternehmen
Besonders komplex gestaltet sich die Migration in Unternehmensnetzwerken und Rechenzentren. IT-Administratoren müssen hier strategisch vorgehen. Empfohlen werden gestaffelte Rollouts und der Einsatz von Überwachungswerkzeugen wie PowerShell oder Microsoft Intune. Nur so lässt sich sicherstellen, dass tausende Geräte rechtzeitig umgestellt werden.
Der Erfolg der Migration hängt vom Zusammenspiel aller Komponenten der Boot-Kette ab: der Firmware, dem Boot-Manager und der Preboot Execution Environment (PXE). Ein einzelnes fehlendes Update kann das gesamte System lahmlegen.
Auch virtuelle Umgebungen betroffen
Die auslaufenden Zertifikate von 2011 wirken sich auch auf Virtualisierungsplattformen aus. Konkret betroffen sind VMware ESXi 8.0 U3j (P09)-Umgebungen. Hier droht, dass virtuelle Maschinen keine Sicherheitspatches mehr erhalten können.
Administratoren sehen sich mit unterschiedlichen Anforderungen konfrontiert: Manche Systeme benötigen manuelle Neustarts für stille Plattform-Schlüsselaktualisierungen, andere müssen über das Betriebssystem selbst aktualisiert werden.
Anzeige: IT-Administratoren, die bereits erste Ausfälle durch fehlende Zertifikatsaktualisierungen beobachten, brauchen jetzt einen klaren Fahrplan – bevor die Juni-Frist 2026 Systeme lahmlegt. Dieser Leitfaden liefert Checkliste, Firmware-Update-Anleitung und Überwachungs-Tools. Secure-Boot-Fahrplan jetzt sichern
Neue Bedrohungen aus der UEFI-Welt
Die Dringlichkeit der Juni-Frist unterstreichen aktuelle Sicherheitsfunde. Forscher von ESET entdeckten kürzlich Windows-Varianten des SprySOCKS-Backdoors, das Hinweise auf UEFI-Bootkit-Fähigkeiten enthält. Diese Varianten wurden zwischen 2023 und 2024 in Angriffen auf Regierungsbehörden eingesetzt.
Wer die Zertifikatsumstellung verpasst, riskiert nicht nur Schutzlücken gegen solche UEFI-Angriffe. Auch die Kompatibilität mit künftigen Windows-Upgrades und Sicherheitspatches könnte leiden – denn diese sind bereits auf die modernisierte Boot-Kette ausgelegt.
