Zertifikate abgelaufen: Bootkit-Risiko steigt – Updates von Dell, HP, Lenovo

Abgelaufene Zertifikate erhöhen Bootkit-Risiko. Hersteller wie Dell, HP und Lenovo liefern Firmware-Updates aus.

Dell, HP und Lenovo rollen Firmware-Updates aus, um die Sicherheitslücke zu schließen.

Am 24. Juni 2026 lief das Key Exchange Key Certificate Authority (KEK CA) 2011 ab, drei Tage später folgte das UEFI Certificate Authority (UEFI CA) 2011. Diese Zertifikate sind zentral für den Secure-Boot-Schutz von Windows-Systemen. Ein weiteres Zertifikat, das Windows Production PCA 2011, soll am 19. Oktober 2026 auslaufen.

Kein sofortiger Ausfall – aber erhöhtes Risiko

Die abgelaufenen Zertifikate führen nicht zu einem sofortigen Systemausfall. Doch die Sicherheitslücke ist real: Ohne die neuen Zertifikate steigt das Risiko von Bootkit-Infektionen deutlich. Bootkits sind Schadprogramme, die sich noch vor dem Betriebssystem laden und so nahezu unsichtbar für Antiviren-Lösungen bleiben.

Die Hersteller haben daher begonnen, Firmware-Updates auszurollen. Die Strategien unterscheiden sich jedoch je nach Gerätealter und Produktlinie erheblich.

OEM-Strategien im Überblick

Dell setzt seit Ende 2024 auf eine Doppelzertifikat-Strategie, die den Übergang vorbereitet. Allerdings: Geräte mit einem End-of-Service-Datum vor dem 1. Januar 2026 erhalten kein Update mehr. Das betrifft vor allem ältere Modelle.

Lenovo bietet BIOS-Updates direkt zum Download an – kategorisiert nach Produktfamilien wie ThinkPad und Yoga. Auch hier bleiben Geräte am Ende ihres Lebenszyklus außen vor.

HP verfolgt einen gestaffelten Ansatz: Verbrauchergeräte erhalten das Update über Windows Update. Für Enterprise-Hardware ist eine BIOS-Version mit der Secure Boot Key Provisioning Functionality Version 3 (SBKPFV3) nötig. HP hatte zuvor ein Problem behoben, bei dem BIOS-Updates zu BitLocker-Wiederherstellungsschleifen führten. Modelle aus dem Jahr 2018 und älter bleiben unberücksichtigt.

ASUS, Acer und MSI setzen ebenfalls auf Windows Update. ASUS gibt manuelle Anleitungen für Nutzer, die gelbe oder rote Sicherheitshinweise sehen. MSI fokussiert sich auf bestimmte Hardware-Generationen – etwa Intel 7. bis 11. Gen und AMD Ryzen 3000H bis 5000U – über Windows Update. Neuere Modelle benötigen einen manuellen BIOS-Flash.

Anzeige

Seit dem 24. Juni 2026 sind zentrale Secure-Boot-Zertifikate abgelaufen. Das erhöht das Risiko von Bootkit-Infektionen – besonders auf älteren Geräten. Mit unserer Checkliste prüfen Sie in 5 Minuten, ob Ihr System betroffen ist, und erhalten OEM-spezifische Update-Anleitungen. Kostenlose Checkliste per E-Mail anfordern

Linux und Legacy-Systeme betroffen

Das abgelaufene UEFI CA 2011 betrifft nicht nur Windows. Auch Drittanbieter-Binärdateien, darunter solche von Linux-Distributionen, sind betroffen. Da sie oft nur mit dem nun abgelaufenen Zertifikat signiert waren, könnten sie auf aktualisierten Systemen die Secure-Boot-Prüfung nicht bestehen.

Die großen Distributionen – Debian, Ubuntu und Fedora – haben daher doppelt signierte Shim-Binärdateien ausgerollt. Experten raten Nutzern von Bare-Metal-Installationen oder benutzerdefinierten Partitionen, ihre Firmware-Einstellungen zu prüfen und sicherzustellen, dass die Bootloader-Shims aktuell sind.

Windows 11: Support-Ende für Version 24H2 rückt näher

Parallel zu den Sicherheitsupdates bereitet Microsoft das Ende des Supports für Windows 11 Version 24H2 vor. Für Home und Pro endet der Support am 13. Oktober 2026. Danach gibt es keine Sicherheits-Patches oder Fehlerbehebungen mehr.

Geschäftskunden mit Version 24H2 erhalten Unterstützung bis zum 12. Oktober 2027. Microsoft empfiehlt den Umstieg auf Version 25H2, die bis Oktober 2027 unterstützt wird, oder die kommende Version 26H2, die für Herbst 2026 erwartet wird.

Laut Marktdaten nutzen derzeit rund 31 Prozent der globalen Windows-Nutzer Windows 11.

Anzeige

Ihr Secure-Boot-Schutz bröckelt? Die Checkliste zeigt Ihnen, wie Sie den Zertifikatsstatus prüfen, welche OEM-Updates verfügbar sind und was Sie bei nicht mehr unterstützten Geräten tun können. Sicherheits-Checkliste anfordern

Automatische Updates für unterstützte Geräte

Für Systeme, die noch im Support sind – darunter die Microsoft Surface-Reihe – werden die notwendigen Zertifikats-Updates automatisch über die üblichen Systemupdate-Kanäle ausgeliefert. Nutzer können den Status ihres Secure-Boot-Updates über Systeminformationen oder durch spezifische Ereignis-IDs wie Event ID 1808 auf MSI-Systemen überprüfen.