Grund dafür ist das bevorstehende Auslaufen grundlegender Secure-Boot-Zertifikate, die seit 2011 im Einsatz sind. Millionen von PCs und Servern weltweit sind betroffen.
Viele Windows-Nutzer zögern beim Wechsel auf Windows 11 – aus diesem einen Grund. Ein kostenloser Expertenreport zeigt, wie der Umstieg ohne Risiko und Datenverlust gelingt. Windows 11 Starterpaket kostenlos anfordern
Drei Neustarts für die Sicherheit
Die ursprünglichen Secure-Boot-Zertifikate verlieren im Juni 2026 ihre Gültigkeit. Sie haben fünfzehn Jahre lang die Authentizität von Bootloader und Betriebssystemkern überprüft. Nun ersetzt Microsoft sie durch den neuen Standard „Windows UEFI CA 2023″. Das Update kommt über Windows Update, genauer gesagt über die aktuellen kumulativen Updates (LCU) und kontrollierten Funktionsausrollungen (CFR).
Doch der automatische Prozess erfordert eine bestimmte Abfolge von Neustarts. Technische Dokumentationen zufolge müssen Nutzer mit mindestens drei separaten Neustarts rechnen. Der erste schreibt die neuen Daten in die Firmware, der zweite lädt den aktualisierten Bootloader, der dritte ermöglicht der Firmware die vollständige Übernahme der Änderungen.
Systeme, die den Übergang bis zur Juni-Frist nicht abschließen, bleiben zwar bootfähig. Sie erhalten dann aber keine kritischen Sicherheitsupdates mehr für den Bootloader. Das macht sie zunehmend anfällig für Rootkits und sogenannte Bootkits – Schadsoftware, die das System bereits vor dem Betriebssystemstart infiziert.
Die Windows-Sicherheits-App zeigt den Status farblich an: Grün bedeutet erfolgreiches Update, Gelb oder Rot signalisieren ein Risiko. Windows-11-Geräte ab Baujahr 2024 besitzen die neuen Zertifikate meist bereits. Ältere Windows-11-Systeme und Windows-10-Rechner benötigen hingegen aktive Eingriffe. Für Windows 10 ist das Update nur mit einem aktiven Extended-Security-Update-Vertrag (ESU) verfügbar. Reine Legacy-BIOS-Systeme und Geräte mit deaktiviertem Secure Boot sind von dieser speziellen Zertifikatsablösung nicht betroffen.
Ihr PC gilt als ‚inkompatibel‘ für Windows 11? Dieser legale Weg funktioniert trotzdem. Die Gratis-PDF zeigt das Upgrade Schritt für Schritt – ohne neue Hardware und ohne Datenverlust. Upgrade-Anleitung jetzt gratis herunterladen
Automatische Isolation bei Angriffen
Parallel zu den Firmware-Updates verbessert Microsoft die aktiven Abwehrfähigkeiten in Microsoft Defender for Endpoint. Eine neue Funktion, derzeit in der Vorschau, ermöglicht die automatische Isolation kompromittierter Endgeräte. Sie soll sogenannte Laterale Bewegungen unterbinden – eine Taktik, bei der Angreifer von einem infizierten Rechner auf andere im selben Netzwerk übergreifen.
Erkennt das System einen hochgradig vertrauenswürdigen Einbruch auf einem verwalteten Arbeitsplatzrechner, trennt es das Gerät autonom vom Netzwerk. Trotz der Isolation bleibt eine gesicherte Verbindung zum Microsoft-Defender-Dienst bestehen. So können Sicherheitsteams aus der Ferne Ermittlungen durchführen und das Gerät nach der Bereinigung wieder freigeben. Diese Fähigkeit ist Teil einer breiteren Strategie der „automatischen Angriffsunterbrechung“, die darauf abzielt, die Verweildauer von Angreifern zu verkürzen – ohne sofortiges manuelles Eingreifen von Sicherheitsanalysten.
Die Sicherheitsüberholung erstreckt sich auch auf spezifische Server- und Anwendungslücken. Microsoft schloss kürzlich eine hochriskante Schwachstelle zur Codeausführung aus der Ferne in SharePoint (CVE-2026-45659). Der Fehler betraf verschiedene Versionen, darunter die SharePoint Server Subscription Edition sowie die Editionen 2016 und 2019. Er erlaubte authentifizierten Angreifern die Codeausführung ohne Benutzereingriff. Der Fix wurde über mehrere Build-Nummern verteilt.
Abschied von alten Virtualisierungsfunktionen
Microsoft verfeinert auch die Windows-Architektur, indem es ältere Sicherheitsfunktionen zugunsten modernerer Implementierungen einstellt. Virtualization-Based-Security-Enclaves (VBS) werden für Windows 11 Version 23H2 und älter sowie für Windows Server 2022 und dessen Vorgänger ausgemustert. Diese Enclaves bleiben zwar ein Kernbestandteil von Windows 11 Version 24H2 und Windows Server 2025, doch das Unternehmen konsolidiert seine Unterstützung auf diese neueren Versionen, um den Sicherheitsstapel zu straffen.
Zudem wird die UWP-Kartensteuerung eingestellt. Microsoft empfiehlt Entwicklern, ihre Anwendungen auf Azure Maps umzustellen. Diese Einstellungen spiegeln ein umfassenderes Bemühen wider, alte Codepfade zu entfernen, die als Einstiegspunkte für Exploits dienen könnten.
Die Bedeutung dieser Updates unterstreicht eine sich rasant entwickelnde Bedrohungslandschaft. Sicherheitsforscher haben mehrere ausgeklügelte Kampagnen identifiziert, die auf Microsoft-Ökosysteme abzielen. Die mit Nordkorea in Verbindung gebrachte Lazarus-APT-Gruppe nutzt beispielsweise einen dateilosen Remote-Access-Trojaner namens „RemotePE“. Diese Werkzeugkette, aktiv zwischen Juli 2023 und Mai 2024, verwendet DPAPI-Verschlüsselung, um signaturbasierte Erkennung zu umgehen, und operiert vollständig im Arbeitsspeicher. Das FBI warnte zudem vor „Kali365″, einer Phishing-as-a-Service-Plattform, die Microsoft-365-Nutzer durch den Diebstahl von OAuth-Tokens angreift und so die Multi-Faktor-Authentifizierung umgeht.
KI-gesteuerte Sicherheit als Antwort auf die Bedrohungslage
Das enorme Ausmaß dieser Sicherheitsüberholung ist auch eine Reaktion auf die zunehmende Geschwindigkeit, mit der Schwachstellen entdeckt und ausgenutzt werden. Aktuelle Daten von Anthropics Project Glasswing verdeutlichen das Volumen potenzieller Bedrohungen: Die KI-gesteuerte Analyse des Projekts fand rund 10.000 hochriskante Schwachstellen in über 1.000 Open-Source-Projekten. Davon wurden mehr als 6.000 bestätigt – doch der Engpass bleibt die menschliche Fähigkeit, eine so hohe Anzahl von Fehlern zu verifizieren und zu patchen.
Auch Regierungsbehörden passen ihre Protokolle an. Am 21. Mai 2026 führte die US-amerikanische Cybersicherheitsbehörde CISA ein neues Einreichungsformular für ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) ein. Externe Forscher können nun Exploits, die „in freier Wildbahn“ auftreten, effizienter melden. Der Katalog umfasst inzwischen über 1.400 Einträge. Ein aktueller Neuzugang ist ein kritischer SQL-Injection-Fehler in Drupal (CVE-2026-9082), der über 15.000 Angriffsversuche in 65 Ländern verzeichnete.
Die integration künstlicher Intelligenz in Sicherheitsabläufe wird für Angreifer und Verteidiger gleichermaßen zum Standard. Während Plattformen wie Claude Security für die Unternehmensverteidigung in die Beta-Phase gehen, versuchen bösartige Kampagnen wie „TrapDoor“ bereits, KI-gestützte Codierungswerkzeuge zu vergiften. Die am 25. Mai 2026 identifizierte TrapDoor-Kampagne umfasste die Verteilung von 384 schädlichen Paketen in den npm- und PyPI-Registries, die darauf abzielten, KI-Assistenten zur Erleichterung von Datendiebstahl zu manipulieren.
Ausblick: Nächster Zertifikatswechsel erst 2038
Der aktuelle Übergang zu den „UEFI CA 2023″-Zertifikaten ist eine langfristige Investition in Stabilität. Microsoft erwartet den nächsten großen Zertifikatswechsel erst im Jahr 2038. Das unmittelbare Ziel bleibt jedoch, die Millionen aktiven Windows-10- und Windows-11-Systeme erfolgreich durch die Juni-Frist 2026 zu bringen.
Branchenanalysten deuten die Schritte hin zur automatischen Isolation in Defender und die Konsolidierung der VBS-Funktionen als Zeichen für eine Zukunft, in der das Betriebssystem eine proaktivere, hardwareverankerte Rolle bei der eigenen Verteidigung übernimmt. Da KI Schwachstellen schneller aufdeckt, als Menschen sie patchen können, scheint sich Microsofts Strategie in Richtung widerstandsfähigerer, sich selbst isolierender Architekturen zu verschieben. Diese sollen ausgeklügelte dateilose Angriffe und Plattformen zum Diebstahl von Anmeldedaten wie Kali365 abwehren können. Für IT-Abteilungen bedeutet dies: Die kommenden Wochen erfordern eine sorgfältige Überwachung der Windows-Sicherheits-App, um sicherzustellen, dass die Infrastruktur gegen die nächste Generation von Bedrohungen auf Boot-Ebene geschützt bleibt.
