Drei zentrale Secure-Boot-Zertifikate von Microsoft laufen in den kommenden Monaten aus. Der Konzern hat mit der Auslieferung neuer Schlüssel begonnen – doch wer das Update verpasst, riskiert Sicherheitslücken.
Die Zertifikate der Jahre 2011 erreichen nach und nach ihr Ablaufdatum. Den Anfang macht das Microsoft KEK CA 2011 am 24. Juni 2026, nur drei Tage später folgt das UEFI CA 2011. Das Windows Production PCA 2011 folgt am 19. Oktober. Microsoft liefert die Ersatzzertifikate aus dem Jahr 2023, die bis 2038 gültig bleiben, über die regulären Windows-Update-Kanäle aus.
Update-Fehler oder Probleme beim Zertifikatsaustausch können das System schnell lahmlegen. Erfahren Sie in diesem kostenlosen Experten-Report, wie Sie die häufigsten Windows-11-Fehler ohne teure IT-Hilfe in wenigen Minuten selbst beheben. Kostenlosen Hilfe-Report jetzt herunterladen
Warum der Austausch kritisch ist
Systeme ohne die neuen Zertifikate funktionieren zwar weiter – verlieren aber künftig den Boot-Schutz. Das ist besonders mit Blick auf Bedrohungen wie den BlackLotus-Bootkit problematisch, der tief im Systemstartprozess angreift. IT-Administratoren sollten ihre Geräte inventarisieren und die Ereignis-IDs 1801 und 1808 im Auge behalten. Ältere Hardware mit veralteter Firmware oder Systeme, bei denen Secure Boot manuell deaktiviert wurde, könnten bei der Umstellung Probleme bereiten.
Windows 11: Neuer Leistungsmodus beschleunigt Apps um 40 Prozent
Parallel zu den Sicherheitsupdates hat Microsoft ein optionales Vorschau-Update namens KB5089573 für Windows 11 Versionen 24H2 und 25H2 veröffentlicht. Es enthält ein Low Latency Profile (LLP), das die Prozessorleistung bei Benutzerinteraktionen optimiert.
Das Prinzip: Bei bestimmten UI-Aktionen springt die CPU für ein bis drei Sekunden auf die maximale Frequenz. Interne Tests zeigen 40 Prozent schnellere Startzeiten bei Anwendungen wie Edge und Outlook. System-Flyouts wie das Startmenü oder das Benachrichtigungscenter sollen sogar bis zu 70 Prozent reaktionsschneller wirken.
Während neue Features die Performance steigern, zögern viele Anwender beim Wechsel auf das aktuelle Betriebssystem aus Sorge vor Komplikationen. Dieses kostenlose Starterpaket zeigt Ihnen, wie der Umstieg auf Windows 11 ohne Risiko und Datenverlust gelingt. Windows 11 Starterpaket gratis sichern
Die Funktion ist Teil des internen Projekts Windows K2, das die Betriebssystemleistung bis 2027 verfeinern soll. Aktuell als optionales Update verfügbar, wird der vollständige Rollout für den Patch-Day im Juni 2026 erwartet. Das Update bringt außerdem Shared Audio für zwei Bluetooth-Kopfhörer und verbesserte Überwachung von Neural Processing Units (NPUs) im Task-Manager.
Sicherheitsbehörden schlagen Alarm: Mehrere kritische Lücken
Ende Mai 2026 warnte das indische Computer-Notfallteam CERT-In vor schwerwiegenden Schwachstellen in Microsoft 365 Copilot, Azure Resource Manager und Entra ID. Die Lücken könnten Angreifern entfernte Codeausführung oder unbefugten Datenzugriff ermöglichen.
Ebenfalls kritisch: Eine als CVE-2026-45659 gelistete Schwachstelle in SharePoint mit einem CVSS-Score von 8,8. Authentifizierte Angreifer können über Daten-Deserialisierung Code ausführen. Der Fix war zwar bereits im Mai-Patch-Zyklus enthalten, die Details wurden jedoch erst später im Monat veröffentlicht.
Patchen in Rekordzeit: 12 Stunden als neuer Standard?
Angesichts immer effizienterer KI-gesteuerter Cyberangriffe empfehlen Sicherheitsexperten inzwischen drastisch verkürzte Patch-Fenster. Die Devise: Kritische Schwachstellen sollten innerhalb von 12 Stunden nach Verfügbarkeit eines Patches geschlossen werden. Automatisierte Tools hätten die Zeitspanne zwischen Entdeckung einer Lücke und aktiver Ausnutzung drastisch verkürzt.
Microsoft rudert bei Sicherheitskommunikation zurück
Aufmerksame Beobachter registrierten Anfang Mai eine Kehrtwende in Microsofts Sicherheitskommunikation. Zwischen dem 11. und 24. Mai 2026 entfernte der Konzern einen Blogbeitrag vom April, der suggerierte, der integrierte Windows-Schutz sei für die meisten Nutzer ausreichend – ohne zusätzliche Antivirensoftware von Drittanbietern.
Für Unternehmen bleibt die Botschaft klar: Ungepatchte Endpunkte sind nach wie vor der Hauptvektor für Ransomware-Angriffe. Moderne Patch-Management-Strategien setzen zunehmend auf Cloud-native Lösungen, die auch entfernte Endgeräte ohne VPN-Anbindung erreichen. Cyberversicherer verlangen zudem dokumentierte Service-Level-Agreements fürs Patchen – oft mit der Vorgabe, kritische Schwachstellen innerhalb von 14 bis 30 Tagen zu schließen.
