Ab Juni 2026 verlieren zentrale Windows-Sicherheitszertifikate ihre Gültigkeit – Microsoft schaltet den Pflicht-Umstieg frei.
Der Technologiekonzern aus Redmond hat eine erzwungene Aktualisierung der Secure-Boot-Zertifikate eingeleitet. Hintergrund: Die digitalen Signaturen aus dem Jahr 2011 erreichen im Juni 2026 ihr Ablaufdatum. Microsoft ersetzt sie durch neue Zertifikate von 2023, um die Integrität des Bootvorgangs zu gewährleisten und Systeme vor ausgeklügelten Schadprogrammen zu schützen.
Windows 11 macht Probleme? Diese 5 Fehler können Sie ab sofort selbst beheben. Kein IT-Techniker nötig – ein kostenloser Report zeigt, wie es geht. Erste Hilfe für Windows 11 kostenlos herunterladen
Drei Zertifikate laufen phasenweise ab
Der Übergang betrifft drei Hauptzertifikate, die das Rückgrat der Secure-Boot-Infrastruktur bilden. Die Microsoft Corporation KEK CA 2011 läuft am 24. Juni 2026 ab, gefolgt von der Microsoft UEFI CA 2011 am 27. Juni 2026. Ein drittes Zertifikat, die Microsoft Windows Production PCA 2011, folgt am 19. Oktober 2026.
Microsoft stellt neue Zertifikate bereit, die bis 2038 gültig sind. Zwar laufen Computer auch nach Ablauf der alten Zertifikate weiter – doch Systeme ohne das Update verlieren die Fähigkeit, neue bootbezogene Sicherheitspatches zu überprüfen. Das macht Geräte anfällig für Bootkits wie BlackLotus (CVE-2022-21894), die Sicherheitsmechanismen über die Unified Extensible Firmware Interface (UEFI) umgehen können.
Die Aktualisierung erfolgt über Windows Update und dauert in der Regel rund 48 Stunden. Seit April 2026 können Nutzer den Zertifikatsstatus in der Windows-Sicherheits-App unter „Gerätesicherheit“ und „Sicherer Start“ einsehen.
Ältere Hardware und Server mit Hürden
Der Update-Prozess offenbart Kompatibilitätsprobleme für bestimmte Infrastruktur-Konfigurationen. Ältere PCs mit veralteter Firmware, Systeme mit Legacy-BIOS oder solche mit deaktiviertem Secure Boot könnten bei der Umstellung Schwierigkeiten bekommen. Microsoft rät, dass einige Hardware ein manuelles BIOS-Update vom Hersteller benötigt, um die neue Zertifikatsstruktur zu unterstützen.
In den letzten Tagen ist zudem ein spezifisches Problem mit Windows Server 2016 aufgetaucht. Das Update KB5087537, das die Server auf den Zertifikatswechsel vorbereiten soll, enthält einen Fehler, der die Active-Directory-Funktionalität (AD) beeinträchtigt. Systeme mit einem Hostnamen von exakt 15 Zeichen – dem NetBIOS-Limit – erleben einen Totalausfall der Domänencontroller-Erkennung.
Technische Berichte zeigen, dass dieser Regressionseffekt den Befehl „nltest /dsgetdc“ mit einem Parameterfehler scheitern lässt, was wiederum Distributed-File-System-Namespaces (DFS) lahmlegt. Microsoft empfiehlt betroffenen Administratoren als temporären Workaround, ihre Server umzubenennen oder das Update zu deinstallieren. Zudem ist die Installation des Servicing-Stack-Updates KB5088064 eine Voraussetzung für das Zertifikatsupdate auf diesen Systemen.
Festplatte kaputt oder Windows streikt? So retten Sie Ihren PC mit einem Boot‑Stick. Dieser kostenlose Report erklärt Schritt für Schritt, wie Sie den Windows‑11‑USB‑Stick erstellen und im Notfall richtig einsetzen. Gratis-Anleitung für den Windows 11 Boot-Stick sichern
Kritische Sicherheitslücken bedrohen Windows-Dienste
Der Zertifikatswechsel fällt mit der Entdeckung weiterer hochpriorisierter Sicherheitsrisiken zusammen. Anfang Mai wurde eine kritische Schwachstelle im Windows-Update-Dienst (wuauserv) identifiziert. Die als CVE-2026-46598 mit einem Schweregrad von 9,8 eingestufte Lücke erlaubt nicht authentifizierten Angreifern, mit manipulierten XML-Dateien Code mit SYSTEM-Rechten auszuführen.
Microsoft veröffentlichte am 20. Mai 2026 einen Patch für diese Sicherheitslücke und setzte den 7. Juni 2026 als Frist für Unternehmen, ihre Umgebungen abzusichern. Zudem adressierte das Mai-2026-Patch-Tuesday zwei Schwachstellen in Microsoft Defender, die offenbar bereits aktiv ausgenutzt wurden.
Angesichts der sich wandelnden Bedrohungslandschaft hat Microsoft seine institutionellen Bande gestärkt. Am 27. Mai 2026 ging das Unternehmen auf der CyCon-Konferenz in Tallinn eine strategische Cybersicherheitspartnerschaft mit der NATO ein. Diese nicht-kommerzielle Vereinbarung, der sich auch Palo Alto Networks und ESET anschlossen, konzentriert sich auf den Austausch von Bedrohungsinformationen und die Koordination von Abwehrstrategien gegen globale Cyberbedrohungen.
