Rund 400 Millionen Windows-Rechner müssen bis Ende Juni umgestellt werden – sonst drohen Startprobleme und Sicherheitslücken.
Microsoft hat mit dem Update KB5094126 den Countdown für eine der größten Sicherheitsumstellungen der jüngeren Windows-Geschichte eingeläutet. Das Unternehmen ersetzt das alte UEFI CA 2011-Zertifikat, das am 24. Juni 2026 ausläuft, durch die neue Secure Boot 2023-Signatur. Betroffen sind nicht nur Windows 10 und 11, sondern auch zahllose Linux-Systeme, die auf Microsofts Vertrauenskette angewiesen sind.
Warum der Wechsel nötig ist
Anzeige: Die Frist bis zum 24. Juni ist knapp: Wer die EFI-Partition nicht rechtzeitig vergrößert, riskiert Bluescreens und Boot-Fehler. Dieser 3-Schritte-Plan zeigt Ihnen, wie Sie in nur 5 Minuten die Partition auf 500 MB erweitern – plus HP-BIOS-Update und Linux-Notfallplan. Jetzt kostenlosen 3-Schritte-Plan anfordern
Das seit 2011 genutzte Zertifikat bildet das Rückgrat der Secure Boot-Funktion. Diese verhindert, dass nicht autorisierte Software oder Schadcode bereits beim Systemstart geladen wird. Läuft das alte Zertifikat aus, könnten Rechner unsicher werden oder im schlimmsten Fall gar nicht mehr booten.
Die Dringlichkeit unterstreicht eine weitere Maßnahme: Am 24. Juni wird Microsoft eine massive Erweiterung der UEFI-Sperrliste (DBX) ausrollen. Grund ist die Sicherheitslücke CVE-2026-8863, die einen Secure Boot-Bypass über den Linux Shim ermöglicht. Die Aktualisierung sperrt bekannte unsichere Bootloader – und macht den Zertifikatswechsel endgültig zur Pflicht.
Update-Status im Blick behalten
Für die meisten Nutzer läuft die Umstellung automatisch im Hintergrund ab. Die Windows-Sicherheitszentrale zeigt den Fortschritt farblich an:
– Grün: System ist auf dem neuesten Stand
– Gelb oder Rot: Update steht aus oder BIOS-Anpassungen sind nötig
Bekannte Probleme: HP-Geräte und zu kleine Partitionen
Doch der Rollout verlief nicht reibungslos. Bereits am 9. Juni 2026 sorgte das Update KB5094126 auf professionellen HP-Hardware-Modellen für Boot-Fehler und Bluescreens. Die Ursache: Viele betroffene Rechner haben eine EFI-Systempartition von nur 100 MB – zu klein für die erweiterte Sperrliste.
Technische Experten empfehlen daher, die EFI-Partition auf 500 MB bis 1 GB zu vergrößern. HP-Nutzer sollten zudem das neueste BIOS installieren, um spezifische Bitlocker-Probleme zu beheben, die das Update ausgelöst hat.
Linux unter Druck: Dual-Boot und Rettungssysteme gefährdet
Die Zertifikatsumstellung trifft auch die Linux-Welt hart. Viele Distributionen nutzen den von Microsoft signierten Shim für Secure Boot. Mit dem Auslaufen des alten Zertifikats müssen Entwickler ihre Signaturpfade auf den CA 2023-Standard umstellen.
Anzeige: Ihre Linux-Dual-Boot-Systeme booten noch? Ab dem 24. Juni könnten neue Installationsmedien und Rettungsdisks versagen. Dieser Leitfaden erklärt, wie Sie den Shim aktualisieren oder auf Legacy-Boot umschwenken – bevor Ihre Rechner unbrauchbar werden. Linux-Notfallplan jetzt sichern
Bestehende Linux-Installationen booten vorerst weiter. Kritisch wird es jedoch für:
– Neue Installationsmedien (Live-USB, ISO-Images)
– Rettungsdisks
– Dual-Boot-Konfigurationen
Besitzer älterer Hardware sollten dringend Betriebssystem, Firmware und Secure-Boot-Datenbanken aktualisieren. IT-Administratoren können die Updates auch manuell über Registry-Änderungen oder Verwaltungstools wie Intune ausrollen, um die Frist bis zum 24. Juni einzuhalten.
Was ist zu tun? Windows-Nutzer sollten sicherstellen, dass alle aktuellen Updates installiert sind. Wer auf HP-Hardware arbeitet, prüft zusätzlich die BIOS-Version und die Größe der EFI-Partition. Linux-Anwender warten auf aktualisierte Distributionen oder wechseln vorübergehend auf den Legacy-Boot-Modus.
