Millionen Windows-Nutzer müssen bis Juni handeln, sonst drohen Sicherheitslücken beim Systemstart.
Microsoft hat eine dringende Warnung an alle Windows-Nutzer und Unternehmens-Administratoren herausgegeben. Die Secure-Boot-Zertifikate aus dem Jahr 2011 laufen im Juni 2026 aus – wer nicht rechtzeitig auf die neue version von 2023 umstellt, riskiert erhebliche Sicherheitslücken. Besonders Bootkit-Angriffe wie der berüchtigte BlackLotus-Schädling könnten dann ungehindert zuschlagen.
Die technische Umstellung: Von 2011 auf 2023
Die aktuelle Secure-Boot-Infrastruktur basiert auf einer „Vertrauenskette“, die mit der Einführung des UEFI-Standards vor über einem Jahrzehnt etabliert wurde. Drei zentrale Zertifikate erreichen nun das Ende ihrer Lebensdauer: Der Microsoft Key Exchange Key (KEK) CA 2011 läuft am 24. Juni 2026 ab, der Microsoft UEFI CA 2011 am 27. Juni 2026. Am 19. Oktober 2026 folgt das Microsoft Windows Production PCA 2011.
Microsoft verteilt die neuen 2023-Zertifikate hauptsächlich über Windows Update, darunter das kürzlich veröffentlichte KB5096038 Safe OS Dynamic Update. Während Computer ab Baujahr 2024 die neuen Zertifikate meist ab Werk mitbringen, müssen Millionen ältere Geräte mit Windows 11 und unterstützten Windows-10-Versionen nachgerüstet werden.
Die Dringlichkeit ist enorm: Zwar booten die Systeme auch nach dem Stichtag noch, doch ihre Sicherheitsfunktionen sind massiv eingeschränkt. Ohne die aktualisierten Zertifikate können keine „DBX“-Sperrlisten mehr verarbeitet werden – jene Listen, die bekannte schadhafte Bootloader blockieren.
Wenn Ihr aktueller PC aufgrund der neuen Sicherheitsanforderungen als „inkompatibel“ für das notwendige Upgrade eingestuft wird, gibt es dennoch einen rechtssicheren Ausweg. Dieser kostenlose Guide zeigt Ihnen Schritt für Schritt, wie Sie Windows 11 auch ohne neue Hardware und ohne Datenverlust installieren. Ihr PC gilt als ‚inkompatibel‘ für Windows 11? Dieser legale Weg funktioniert trotzdem.
Drei Neustarts und komplexe Firmware-Prozesse
Die Umstellung ist kein gewöhnliches Software-Update. Microsoft zufolge sind mindestens drei Systemneustarts nötig, um die Firmware-Übergabe abzuschließen. Der erste Neustart verarbeitet die Firmware-Daten, der zweite initialisiert den neuen Bootloader, der dritte finalisiert die Übernahme der neuen Zertifikatsautorität.
Für Unternehmen wird es noch komplizierter. Während Standard-Windows-11-Installationen die Updates meist automatisch erhalten, benötigen Windows-Server-Umgebungen oft manuelle PowerShell-Befehle. Der Update-Prozess bricht zudem ab, wenn Secure Boot deaktiviert ist oder das System auf dem veralteten BIOS-Modus läuft.
Die Konsequenzen eines verpassten Updates sind gravierend: Ungepatche PCs bleiben zwar grundsätzlich funktionsfähig, aber ihr Sicherheitsstatus friert ein. Sie erhalten keinerlei zukünftige Updates für die Boot-Kette oder Malware-Sperrlisten mehr – ein dauerhaftes Risiko für Systeme, die über Mitte 2026 hinaus im Einsatz bleiben.
Hardware-Konflikte und Speicherplatz-Probleme
Die Umstellung verlief nicht reibungslos. Bereits im April 2026 gab es Konflikte mit HP-BIOS-Updates für Business-PCs. Ein spezifisches BIOS-Update verursachte BitLocker-Wiederherstellungsschleifen und blockierte die Installation der neuen Zertifikate. HP hat inzwischen Workarounds über manuelle BIOS-Konfigurationen bereitgestellt – der Vorfall zeigt jedoch, wie heikel Firmware-Updates sein können.
Auch Microsofts aktuelles Vorschau-Update KB5089573 für Windows 11 offenbarte einen Speicherfehler (0x800f0922). Dieser tritt auf, wenn die EFI-Systempartition weniger als 10 MB freien Speicherplatz hat. Zwar gibt es einen Registry-basierten Workaround, doch für Nutzer mit stark partitionierten Festplatten bedeutet das zusätzlichen Aufwand.
Positiv vermerkt: Das Mai-2026-Update bringt auch nützliche Neuerungen wie Shared Audio für Bluetooth LE, Multi-App-Kamera-Unterstützung und NPU-Überwachung im Task-Manager. Diese Funktionen sind jedoch zweitrangig gegenüber der kritischen Sicherheitsaufgabe.
Komplexe Firmware-Anpassungen und kryptische Fehlercodes wie 0x800f0922 zeigen, wie schnell Windows-Nutzer an technische Grenzen stoßen können. Mit diesem kostenlosen Experten-Report beheben Sie Update-Fehler und Systemprobleme ab sofort ohne teuren IT-Techniker einfach selbst. So sparen Windows-Nutzer hunderte Euro an IT-Kosten – ganz ohne Vorkenntnisse
Sicherheitsanalyse: Warum jetzt gehandelt werden muss
Das Auslaufen der 2011-Zertifikate ist ein bedeutender Einschnitt in der PC-Sicherheitsgeschichte. Fast 15 Jahre lang dienten sie als vertrauenswürdige Grundlage für praktisch jeden Windows-kompatiblen Computer. Der Wechsel zu den 2023-Zertifikaten ist keine Routine-Aktualisierung, sondern eine notwendige Reaktion auf die wachsende Bedrohung durch Firmware-Angriffe.
Sicherheitsforscher beobachten seit Monaten eine Zunahme von Attacken auf die Pre-Boot-Umgebung. Gelingt es Angreifern, das System vor dem Laden des Betriebssystems zu kompromittieren, erhalten sie dauerhaften, schwer erkennbaren Zugriff. Secure Boot ist der primäre Mechanismus, um das Vertrauen in kompromittierte Bootloader zu entziehen und nur verifizierten Code während des Startvorgangs zuzulassen.
Ausblick: Was Nutzer und Unternehmen jetzt tun müssen
IT-Abteilungen sollten ihre Systeme umgehend prüfen. Microsoft hat in die Windows-Sicherheits-App unter „Gerätesicherheit“ eine Statusanzeige integriert, mit der sich die installierten Zertifikate überprüfen lassen.
Für Privatanwender erledigt sich das Update meist automatisch über Windows Update – vorausgesetzt, die Hardware erfüllt die Anforderungen und hat genügend Speicherplatz. Anders sieht es bei älteren Windows-10-Geräten aus: Systeme ohne Extended Security Updates (ESU) erhalten das Zertifikats-Update nicht. Für sie droht nach dem Auslaufen der 2011-Zertifikate ein erhöhtes Risiko durch Boot-Level-Angriffe.
Microsoft plant weitere Aufklärungskampagnen und „Ask Me Anything“-Sessions für Administratoren. Ziel ist es, dass bis zum Ablauf der KEK- und UEFI-Zertifikate am 24. und 27. Juni 2026 die Mehrheit der weltweiten Windows-Systeme auf den 2023-Standard umgestellt ist – und damit bis zur nächsten geplanten Aktualisierung im Jahr 2038 geschützt bleibt.
