Secure Boot Zertifikate 2026 prüfen und aktualisieren

Secure Boot gehört zu den wichtigsten Sicherheitsfunktionen von Windows-PCs. Die Funktion sorgt dafür, dass beim Start Deines PCs nur vertrauenswürdige und korrekt signierte Startkomponenten geladen werden. Dieser Schutz ist wichtig, weil Schadsoftware auf der Startebene besonders gefährlich sein kann. Wenn sich ein Bootkit sehr früh vor Windows einklinkt, kann es sich tief im System verstecken und Sicherheitsfunktionen umgehen.

Im Jahr 2026 ist Secure Boot besonders wichtig, weil mehrere ältere Microsoft Secure Boot Zertifikate aus dem Jahr 2011 ablaufen. Microsoft ersetzt diese alten Zertifikate durch neue 2023-Zertifikate. Die meisten privaten Windows-Geräte erhalten diese Aktualisierung automatisch über Windows Update. Trotzdem solltest Du prüfen, ob Dein PC bereits vollständig aktualisiert wurde.

Die wichtigste Nachricht vorweg: Dein Windows-PC startet normalerweise nicht plötzlich nicht mehr, nur weil alte Secure Boot Zertifikate ablaufen. Microsoft beschreibt, dass Geräte ohne die neuen 2023-Zertifikate weiterhin starten und funktionieren können. Das eigentliche Problem liegt an anderer Stelle. Solche Geräte können künftig möglicherweise keine neuen Schutzmaßnahmen für den frühen Startprozess mehr erhalten. Genau deshalb solltest Du das Thema nicht ignorieren.

In diesem Beitrag zeigen wir, was die Secure Boot Zertifikate 2026 bedeuten, welche Zertifikate ablaufen, wie Du den Status unter Windows prüfen kannst und was Du tun solltest, wenn Windows eine Warnung anzeigt.

Inhalt dieses Beitrags:

Inhaltsverzeichnis

Was sind Secure Boot Zertifikate überhaupt?

Secure Boot ist eine Sicherheitsfunktion der UEFI-Firmware. UEFI ist der moderne Nachfolger des klassischen BIOS. Wenn Dein PC startet, wird nicht sofort Windows geladen. Zuerst prüft die Firmware, welche Startkomponenten ausgeführt werden dürfen. Dazu gehören zum Beispiel Firmware-Treiber, Option-ROMs, Bootloader und der Windows Boot Manager.

Damit diese Prüfung funktioniert, verwendet Secure Boot digitale Zertifikate und Signaturen. Vereinfacht gesagt fragt Dein PC beim Start:

  • Ist diese Startkomponente vertrauenswürdig?
  • Wurde sie von einer bekannten Stelle signiert?
  • Darf sie vor dem Windows-Start ausgeführt werden?
  • Wurde die Signatur inzwischen widerrufen oder gesperrt?

Wenn alles passt, startet Windows normal. Wenn etwas nicht passt, kann Secure Boot verhindern, dass nicht vertrauenswürdige Startkomponenten geladen werden. Genau dadurch schützt Secure Boot den frühen Startvorgang vor Manipulationen.

Eine ausführliche Grundlage zur Funktion findest Du in unserem Beitrag Windows Secure Boot: Konfiguration, Vor- und Nachteile. Wenn Du wissen möchtest, ob Dein Rechner noch im alten BIOS-Modus oder bereits im UEFI-Modus läuft, hilft Dir zusätzlich diese Anleitung: Feststellen, ob Windows UEFI oder BIOS nutzt.

Warum laufen Secure Boot Zertifikate 2026 ab?

Viele Windows-Geräte verwenden seit Jahren Secure Boot Zertifikate, die ursprünglich 2011 ausgestellt wurden. Sicherheitszertifikate haben aber eine begrenzte Gültigkeit. Das ist normal und gewollt. Zertifikate sollen nicht unbegrenzt gültig bleiben, weil sich Sicherheitsanforderungen, Signaturverfahren, Hardwareplattformen und Angriffswege mit der Zeit ändern.

Microsoft stellt deshalb neue Zertifikate aus dem Jahr 2023 bereit. Diese neuen Zertifikate sollen sicherstellen, dass Windows auch künftig Bootkomponenten, Bootloader, Option-ROMs und Sicherheitsupdates zuverlässig prüfen und absichern kann. Für normale Anwender läuft diese Umstellung meistens automatisch über Windows Update. Für Unternehmen, ältere Geräte, Sonderkonfigurationen, Server, virtuelle Maschinen oder Geräte mit Firmware-Einschränkungen kann zusätzliche Kontrolle notwendig sein.

Wichtig ist: Es geht nicht nur um ein einzelnes Zertifikat. Es gibt mehrere alte Zertifikate, die ersetzt werden müssen. Dazu gehören Zertifikate für den Key Exchange Key, den Windows Boot Manager, Drittanbieter-Bootloader und Option-ROMs.

Welche Secure Boot Zertifikate laufen 2026 ab?

Welche Secure Boot Zertifikate laufen 2026 ab?

Microsoft nennt mehrere wichtige alte Zertifikate, die im Jahr 2026 ablaufen. Dazu gehören unter anderem Microsoft Corporation KEK CA 2011, Microsoft UEFI CA 2011 und Microsoft Windows Production PCA 2011. Die neuen Nachfolger stammen aus dem Jahr 2023.

Altes ZertifikatAblaufdatumNeues ZertifikatBereichAufgabe
Microsoft Corporation KEK CA 201124. Juni 2026Microsoft Corporation KEK 2K CA 2023KEKAutorisiert Updates für Secure Boot Datenbanken
Microsoft UEFI CA 201127. Juni 2026Microsoft UEFI CA 2023DBVertrauen für Bootloader und EFI-Anwendungen von Drittanbietern
Microsoft UEFI CA 201127. Juni 2026Microsoft Option ROM UEFI CA 2023DBVertrauen für bestimmte Option-ROMs von Drittanbietern
Microsoft Windows Production PCA 201119. Oktober 2026Windows UEFI CA 2023DBSignatur und Vertrauen für den Windows Boot Manager

Diese Daten sind wichtig, weil oft nur allgemein von ablaufenden Secure Boot Zertifikaten Mitte 2026 gesprochen wird. Tatsächlich gibt es mehrere Stichtage und mehrere Zertifikate. Die offizielle Microsoft-Seite zum Thema findest Du hier: Ablauf des Windows Secure Boot Zertifikats und Updates der Zertifizierungsstelle.

Startet mein PC nach dem Ablauf der Secure Boot Zertifikate noch?

Ja, in den meisten Fällen startet Dein PC weiterhin. Das ist ein sehr wichtiger Punkt, weil bei diesem Thema schnell der Eindruck entsteht, Windows-PCs könnten ab einem bestimmten Tag massenhaft nicht mehr starten. So einfach ist es nicht.

Microsoft beschreibt, dass Geräte ohne aktualisierte 2023-Zertifikate weiterhin starten und funktionieren können. Auch normale Windows-Updates werden dadurch nicht automatisch blockiert. Problematisch ist aber, dass solche Geräte künftig möglicherweise nicht mehr alle neuen Sicherheitsmaßnahmen für den frühen Startprozess erhalten können. Dazu gehören zum Beispiel Updates für den Windows Boot Manager, Secure Boot Datenbanken, Sperrlisten und Schutzmaßnahmen gegen neue Boot-Level-Schwachstellen.

Für Dich bedeutet das:

  • Wenn Dein Gerät noch nicht aktualisiert ist, ist es nicht automatisch unbrauchbar.
  • Du solltest den Status trotzdem prüfen.
  • Du solltest Windows Update vollständig ausführen.
  • Du solltest bei Warnungen in der Windows-Sicherheit-App handeln.
  • Du solltest bei älteren PCs auch nach BIOS- oder UEFI-Firmwareupdates suchen.

Der eigentliche Schaden entsteht also nicht unbedingt sofort beim nächsten Neustart. Das größere Risiko liegt darin, dass Dein Gerät bei neuen Angriffstechniken auf den Bootvorgang schlechter geschützt sein kann.

Warum ist das Thema für Windows 11 besonders wichtig?

Windows 11 setzt stark auf moderne Sicherheitsfunktionen. Dazu gehören TPM 2.0, Secure Boot, Virtualization Based Security, BitLocker und weitere Schutzmechanismen. Secure Boot ist dabei ein wichtiger Baustein, weil die Vertrauenskette schon vor dem eigentlichen Windows-Start beginnt.

Wenn Secure Boot zwar aktiviert ist, aber veraltete Zertifikate verwendet, sieht der PC oberflächlich vielleicht in Ordnung aus. Windows startet. Programme funktionieren. Updates werden installiert. Trotzdem kann der Schutz des Startprozesses nicht mehr vollständig auf dem neuesten Stand sein.

Gerade bei Windows 11 solltest Du deshalb nicht nur prüfen, ob Secure Boot eingeschaltet ist. Du solltest zusätzlich prüfen, ob die neuen 2023-Zertifikate angewendet wurden. Passend dazu findest Du auf Windows-FAQ.de auch unseren Beitrag Windows 11 KB5094126 Update für Secure Boot und Sicherheit, in dem es ebenfalls um aktuelle Secure Boot Änderungen geht.

Gilt das auch für Windows 10?

Ja, das Thema betrifft auch Windows 10, sofern das Gerät Secure Boot verwendet und weiterhin Updates erhält. Allerdings ist Windows 10 inzwischen ein Sonderfall. Der reguläre Support für Windows 10 endete am 14. Oktober 2025. Geräte mit Windows 10 können zwar weiter funktionieren, erhalten aber ohne Extended Security Updates keine normalen Sicherheitsupdates mehr für das Betriebssystem.

Für Windows 10 bedeutet das in der Praxis:

  • Wenn Du Windows 10 ohne Extended Security Updates nutzt, solltest Du den Wechsel auf Windows 11 ernsthaft planen.
  • Wenn Dein Windows 10-PC ESU nutzt oder eine unterstützte LTSC-Variante verwendet, sollte der Secure Boot Zertifikatsstatus ebenfalls geprüft werden.
  • Wenn Dein Gerät alt ist und keine passenden Firmwareupdates mehr erhält, kann die automatische Secure Boot Aktualisierung blockiert sein.

Eine Übersicht zu auslaufenden Microsoft-Produkten findest Du hier: Support-Ende Microsoft Produkte 2026.

So prüfst Du den Secure Boot Status in Windows

Zuerst solltest Du prüfen, ob Secure Boot überhaupt aktiviert ist. Das geht mit Bordmitteln über die Systeminformationen.

  1. Drücke die Tastenkombination Windows + R.
  2. Gib folgenden Befehl ein:
msinfo32
  1. Drücke Enter.
  2. Suche in den Systeminformationen nach dem Eintrag „Sicherer Startzustand“.
Windows MSINFO32 Sicherer Startzustand

Wenn dort „Ein“ steht, ist Secure Boot aktiviert. Wenn dort „Aus“ steht, ist Secure Boot deaktiviert. Wenn dort „Nicht unterstützt“ steht, unterstützt das Gerät Secure Boot nicht oder es wurde im UEFI anders konfiguriert.

Diese Prüfung zeigt Dir aber nur, ob Secure Boot aktiv ist. Sie sagt noch nicht zuverlässig, ob die neuen 2023-Zertifikate bereits vollständig angewendet wurden.

Secure Boot Zertifikate in der Windows-Sicherheit-App prüfen

Microsoft zeigt in der Windows-Sicherheit-App zusätzliche Informationen zum Status der Secure Boot Zertifikatupdates an. Du findest diese Informationen unter „Gerätesicherheit“ und „Sicherer Start“. Die App kann anzeigen, ob Dein Gerät die benötigten Zertifikatupdates erhalten hat und ob weitere Aktionen erforderlich sind.

So gehst Du vor:

  1. Öffne das Startmenü.
  2. Gib „Windows-Sicherheit“ ein.
  3. Öffne die Windows-Sicherheit-App.
  4. Wechsle zu „Gerätesicherheit“.
  5. Öffne den Bereich „Sicherer Start“.
  6. Prüfe die angezeigte Meldung und das Symbol.

Ein grünes Symbol kann bedeuten, dass alles in Ordnung ist. Wichtig ist aber die genaue Textmeldung. Ein grünes Häkchen allein bestätigt nicht in jedem Fall, dass die Zertifikate vollständig aktualisiert wurden. Entscheidend ist eine Meldung, die sinngemäß sagt, dass Secure Boot aktiviert ist und alle erforderlichen Zertifikatupdates angewendet wurden.

Die offizielle Microsoft-Erklärung zu dieser Anzeige findest Du hier: Zertifikatupdate für den sicheren Start in der Windows-Sicherheit-App.

Was bedeuten die Secure Boot Meldungen in Windows-Sicherheit?

Vollständig aktualisiert

Das ist der gewünschte Zustand. Dein Gerät hat die erforderlichen Secure Boot Zertifikatupdates erhalten und der aktualisierte Windows Boot Manager wurde installiert. In diesem Fall besteht normalerweise kein Handlungsbedarf.

Noch nicht aktualisiert

Diese Meldung bedeutet, dass Dein Gerät noch mit älteren Secure Boot Zertifikaten arbeitet. Das muss nicht sofort ein Notfall sein. In vielen Fällen wird das Update automatisch über Windows Update nachgereicht. Du solltest aber sicherstellen, dass Dein PC mit dem Internet verbunden ist und alle aktuellen Windows-Updates installiert sind.

Gelbe Warnung

Eine gelbe Warnung bedeutet, dass eine Sicherheitsempfehlung vorhanden ist. Das kann passieren, wenn das Update wegen Hardware- oder Firmwareeinschränkungen nicht automatisch abgeschlossen werden kann. Prüfe zuerst Windows Update, installiere verfügbare Updates und suche beim Hersteller Deines PCs oder Mainboards nach BIOS- oder UEFI-Updates.

Rote Warnung

Eine rote Warnung ist ernster. Sie kann bedeuten, dass ein Sicherheitsrisiko besteht, das mit der aktuellen Startkonfiguration Deines Geräts nicht mehr sauber behoben werden kann. Installiere alle Windows-Updates, starte den PC neu und prüfe danach erneut. Wenn die Warnung bestehen bleibt, solltest Du nach Firmwareupdates suchen oder den Support des Geräteherstellers prüfen.

Secure Boot Zertifikate per PowerShell prüfen

Für technisch interessierte Anwender und Administratoren ist PowerShell eine gute Möglichkeit, den Status genauer zu prüfen. Starte PowerShell oder Windows Terminal als Administrator und führe zuerst folgenden Befehl aus:

Confirm-SecureBootUEFI

Wenn der Befehl True zurückgibt, ist Secure Boot aktiviert. Wenn False erscheint, ist Secure Boot deaktiviert. Wenn eine Fehlermeldung erscheint, kann das Gerät Secure Boot möglicherweise nicht unterstützen oder Windows läuft nicht im passenden UEFI-Modus.

Secure Boot Zertifikate per PowerShell prüfen

Noch wichtiger für das Zertifikatsthema ist dieser Befehl:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status').UEFICA2023Status

Wenn als Ergebnis Updated erscheint, ist das ein sehr gutes Zeichen. Dieser Status weist darauf hin, dass die Zertifikate bereits auf die 2023-Versionen aktualisiert wurden.

Mögliche Ergebnisse können je nach System unterschiedlich aussehen:

AnzeigeBedeutungEmpfehlung
UpdatedDie neuen Zertifikate und der passende Boot Manager wurden angewendet.Kein direkter Handlungsbedarf.
InProgressDie Aktualisierung läuft oder wartet auf einen weiteren Schritt.Windows Update abschließen und neu starten.
Kein WertDie Aktualisierung wurde möglicherweise noch nicht gestartet oder der Registry-Pfad ist nicht vorhanden.Updates installieren und später erneut prüfen.
FehlerwertWindows konnte das Update nicht sauber anwenden.Ereignisanzeige und Firmwareupdates prüfen.

Die offizielle Microsoft-Seite zu den Registrywerten findest Du hier: Registry key updates for Secure Boot.

Was tun, wenn UEFICA2023Status nicht Updated anzeigt?

Wenn der Status nicht Updated lautet, solltest Du nicht sofort manuell in der Firmware oder Registry experimentieren. Gehe lieber schrittweise vor.

Schritt 1: Windows Update vollständig ausführen

Öffne Windows Update und installiere alle verfügbaren Updates. Suche auch nach optionalen Updates, vor allem nach Treiber- und Firmwareupdates. Danach solltest Du den PC neu starten.

Falls Windows Update nicht sauber funktioniert, hilft Dir diese Anleitung weiter: Windows Update reparieren.

Schritt 2: PC neu starten und erneut prüfen

Bei Secure Boot Änderungen kann ein Neustart besonders wichtig sein, weil Änderungen an Bootkomponenten und Firmwarevariablen nicht immer im laufenden Betrieb vollständig abgeschlossen werden. Starte den PC nach den Updates neu und prüfe danach erneut die Windows-Sicherheit-App und den PowerShell-Status.

Schritt 3: BIOS oder UEFI Firmware aktualisieren

Wenn weiterhin kein aktualisierter Status angezeigt wird, suche beim Hersteller Deines PCs oder Mainboards nach einem aktuellen BIOS- oder UEFI-Update. Das betrifft besonders ältere Geräte, Business-Notebooks, Mini-PCs, selbst gebaute Desktop-PCs und Mainboards, die seit längerer Zeit kein Firmwareupdate erhalten haben.

Eine passende Anleitung findest Du hier: BIOS-Update durchführen. Wenn Du nicht weißt, wie Du überhaupt in die Firmware kommst, hilft Dir dieser Beitrag: Wie komme ich ins UEFI oder ins BIOS?

Schritt 4: BitLocker Wiederherstellungsschlüssel sichern

Wenn BitLocker auf Deinem Gerät aktiv ist, solltest Du vor Änderungen an Secure Boot, TPM, BIOS oder UEFI unbedingt Deinen BitLocker Wiederherstellungsschlüssel sichern. Nach Firmwareänderungen kann Windows beim nächsten Start den Wiederherstellungsschlüssel anfordern.

Wie Du den Schlüssel findest, zeigt diese Anleitung: BitLocker Wiederherstellungsschlüssel finden und sicher aufbewahren.

Warum Firmwareupdates bei Secure Boot so wichtig sind

Secure Boot sitzt nicht nur in Windows. Ein Teil der Vertrauenskette liegt in der Firmware Deines Geräts. Deshalb kann Windows nicht auf jedem Gerät beliebig alle Secure Boot Werte aktualisieren. Die Firmware muss solche Änderungen unterstützen und korrekt annehmen.

Wenn ein Gerät zu alt ist oder die Firmware bestimmte Secure Boot Variablen nicht aktualisieren kann, kann die Zertifikatsaktualisierung blockiert werden. In solchen Fällen hilft oft nur ein BIOS- oder UEFI-Update des Herstellers.

Bei Fertig-PCs und Notebooks findest Du solche Updates normalerweise auf der Support-Seite des Herstellers. Suche dort nach Deinem genauen Modell. Bei selbst gebauten PCs ist die Support-Seite des Mainboard-Herstellers entscheidend.

Achte unbedingt darauf, das richtige Firmwareupdate für Dein exaktes Modell zu verwenden. Ein falsches BIOS-Update kann den PC im schlimmsten Fall unbrauchbar machen. Falls Dein PC gar nicht mehr startet, findest Du hier weitere Hilfe: PC bootet nicht: Was kann ich machen?

Sollte man Secure Boot einfach deaktivieren?

Sollte man Secure Boot einfach deaktivieren?

Nein, das ist keine gute Lösung. Secure Boot zu deaktivieren kann manche Startprobleme oder Kompatibilitätsprobleme kurzfristig umgehen, aber es reduziert den Schutz Deines Systems. Gerade Angriffe auf den Bootprozess sind gefährlich, weil sie vor vielen Windows-Sicherheitsfunktionen aktiv werden können.

Secure Boot sollte auf modernen Windows-11-PCs grundsätzlich aktiviert bleiben. Deaktiviere es nur, wenn Du genau weißt, warum es erforderlich ist, zum Beispiel für bestimmte Spezialkonfigurationen. Für normale Windows-Nutzer ist das Deaktivieren von Secure Boot keine sinnvolle Antwort auf ablaufende Zertifikate.

Was ist Windows UEFI CA 2023?

Windows UEFI CA 2023 ist eines der neuen Zertifikate, die Microsoft als Nachfolger älterer 2011-Zertifikate bereitstellt. Es ist besonders wichtig, weil es für den Windows Boot Manager relevant ist. Der Windows Boot Manager ist die Komponente, die den Windows-Start einleitet.

Wenn ein Gerät künftig Bootkomponenten verwendet, die mit neuen Zertifikaten signiert sind, muss die Firmware diesen Zertifikaten vertrauen. Genau dafür werden die neuen 2023-Zertifikate in die Secure Boot Datenbank eingetragen.

Das bedeutet: Der PC muss nicht nur Secure Boot eingeschaltet haben. Er muss auch die richtigen aktuellen Vertrauenseinträge besitzen.

Was ist Microsoft UEFI CA 2023?

Microsoft UEFI CA 2023 ist ein weiteres neues Zertifikat. Es ist vor allem für Bootloader und EFI-Anwendungen von Drittanbietern relevant. Das kann zum Beispiel bei bestimmten Linux-Bootloadern, Spezialtools, Diagnoseumgebungen oder anderen UEFI-Komponenten eine Rolle spielen.

Gerade bei Dual-Boot-Systemen, älteren Bootloadern oder Spezialtools solltest Du vorsichtig sein. Wenn Du ein solches System verwendest, solltest Du vor Änderungen an Secure Boot prüfen, ob Deine eingesetzten Komponenten mit den neuen Zertifikaten kompatibel sind.

Was ist Microsoft Option ROM UEFI CA 2023?

Option-ROMs sind firmware-nahe Komponenten, die zum Beispiel von bestimmten Erweiterungskarten oder Hardwarekomponenten verwendet werden können. Auch diese Komponenten können beim Startvorgang eine Rolle spielen. Das neue Microsoft Option ROM UEFI CA 2023 Zertifikat ist für solche Drittanbieter-Option-ROMs relevant.

Für normale Heimanwender ist dieser Bereich meistens nicht sichtbar. Für Administratoren, Server, Workstations, Spezialhardware oder ältere Erweiterungskarten kann er aber wichtig sein.

Was ist Microsoft Corporation KEK 2K CA 2023?

Der KEK, also Key Exchange Key, ist wichtig für das sichere Aktualisieren der Secure Boot Datenbanken. Wenn dieser Bereich nicht sauber aktualisiert werden kann, können spätere Änderungen an DB oder DBX blockiert sein. Deshalb ist das neue Microsoft Corporation KEK 2K CA 2023 Zertifikat besonders wichtig.

Das alte Microsoft Corporation KEK CA 2011 Zertifikat gehört zu den Zertifikaten, deren Ablauf bereits im Juni 2026 liegt. Microsoft nennt dafür den 24. Juni 2026.

Welche Rolle spielt DBX?

Die DBX ist die Datenbank für widerrufene Signaturen. Dort landen Einträge, denen Secure Boot nicht mehr vertrauen soll. Das ist wichtig, wenn alte, verwundbare oder missbrauchbare Bootkomponenten gesperrt werden müssen.

Gerade bei Bootkits und Schwachstellen im Startprozess ist DBX sehr wichtig. Wenn Microsoft künftig neue Bootloader sperren oder neue Schutzmaßnahmen gegen Boot-Level-Angriffe ausrollen muss, muss Dein Gerät diese Updates auch annehmen können. Ohne aktuelle Zertifikatsbasis kann genau das schwieriger oder unmöglich werden.

Was ist der Ordner C:\Windows\SecureBoot?

Im Zusammenhang mit Secure Boot stößt Du unter Windows eventuell auch auf den Ordner C:\Windows\SecureBoot. Dieser Ordner ist nicht automatisch ein Hinweis auf Malware oder einen Fehler. Er kann mit Secure Boot Dateien, Bootinformationen und Aktualisierungen rund um den sicheren Start zusammenhängen.

Eine ausführliche Erklärung findest Du hier: C:\Windows\SecureBoot: Was der Windows Ordner bedeutet.

Wie hängen Secure Boot Zertifikate und BitLocker zusammen?

Wie hängen Secure Boot Zertifikate und BitLocker zusammen?

BitLocker schützt Deine Festplatte oder SSD durch Verschlüsselung. Secure Boot schützt den Startprozess. Beide Funktionen sind nicht identisch, arbeiten aber sicherheitstechnisch in derselben Vertrauenskette.

Wenn Du Secure Boot, TPM oder die UEFI-Firmware änderst, kann BitLocker reagieren. Das ist kein Fehler, sondern eine Schutzfunktion. Windows möchte sicherstellen, dass das verschlüsselte Laufwerk nicht in einer manipulierten Startumgebung geöffnet wird.

Deshalb solltest Du vor BIOS-Updates, Secure Boot Änderungen oder größeren Startdatei-Updates immer prüfen, ob Dein BitLocker Wiederherstellungsschlüssel verfügbar ist.

Was gilt für Firmen-PCs und verwaltete Geräte?

In Unternehmen ist das Thema noch wichtiger. Dort reicht es nicht, einzelne PCs manuell zu prüfen. Administratoren sollten den Secure Boot Zertifikatsstatus zentral erfassen, überwachen und gezielt aktualisieren.

Sinnvoll ist eine stufenweise Vorgehensweise:

  1. Inventarisieren, welche Geräte Secure Boot aktiv verwenden.
  2. Prüfen, welche Geräte den Status Updated melden.
  3. Geräte mit Fehlern, ausstehenden Updates oder fehlendem Status separat betrachten.
  4. Firmwarestände nach Hersteller, Modell und BIOS-Version auswerten.
  5. Eine kleine Testgruppe mit typischen Hardwaremodellen bilden.
  6. Updates erst nach erfolgreichem Test breiter ausrollen.
  7. Windows-Sicherheit, Registrywerte und Ereignisanzeige regelmäßig überwachen.

Microsoft stellt für IT-verwaltete Geräte eigene Anleitungen bereit. Besonders relevant ist der Statuswert UEFICA2023Status. Für Unternehmen ist außerdem die Ereignisanzeige wichtig, weil dort erfolgreiche und fehlerhafte Secure Boot Aktualisierungen protokolliert werden können.

Die offizielle Microsoft-Anleitung für IT-Organisationen findest Du hier: Zertifikatupdates für den sicheren Start: Leitfaden für IT-Experten und Organisationen.

Secure Boot in Hyper-V und virtuellen Maschinen

Bei virtuellen Maschinen ist die Situation etwas spezieller. Secure Boot kann auch in VMs aktiv sein, zum Beispiel bei Generation-2-VMs in Hyper-V. Dann hängen die Secure Boot Aktualisierungen nicht nur vom Gastbetriebssystem ab, sondern auch vom Host und der virtuellen Firmware.

Für Hyper-V-Umgebungen solltest Du deshalb nicht nur die virtuelle Maschine aktualisieren. Auch der Hyper-V-Host sollte auf einem aktuellen Stand sein. Wenn der Host veraltet ist, kann eine VM trotz aktueller Windows-Updates weiterhin Probleme beim Secure Boot Zertifikatsstatus zeigen.

Praktisch bedeutet das:

  • Aktualisiere zuerst den Hyper-V-Host.
  • Aktualisiere danach die Gast-VM.
  • Starte Host und Gast kontrolliert neu.
  • Prüfe anschließend den Secure Boot Status in der VM.
  • Achte auf relevante Ereignisse im Systemprotokoll.

Wichtige Ereignis-IDs für Administratoren

Wenn die Secure Boot Aktualisierung nicht sauber funktioniert, hilft die Ereignisanzeige weiter. Microsoft dokumentiert mehrere relevante Ereignisse im Systemprotokoll mit der Quelle TPM-WMI.

Ereignis-IDBedeutung
1801Zertifikate wurden aktualisiert, aber möglicherweise noch nicht vollständig auf die Gerätefirmware angewendet.
1802Update wurde wegen bekannter Firmware- oder Hardwarebedingungen blockiert.
1803Ein benötigter PK-signierter KEK wurde für das Gerät nicht gefunden.
1808Die erforderlichen neuen Secure Boot Zertifikate wurden erfolgreich angewendet.

Ereignis 1808 ist besonders positiv. Es weist darauf hin, dass die erforderlichen neuen Secure Boot Zertifikate auf die Firmware angewendet wurden und der Boot Manager auf eine passende Version aktualisiert wurde. Die offizielle Microsoft-Übersicht findest Du hier: Secure Boot DB and DBX variable update events.

Typische Probleme bei Secure Boot Zertifikaten 2026

Nicht jedes Gerät wird sofort sauber aktualisiert. Typische Ursachen sind:

  • Veraltete BIOS- oder UEFI-Firmware.
  • Zu alte Windows-Version oder fehlende Monatsupdates.
  • Deaktiviertes Secure Boot.
  • Spezielle Dual-Boot-Konfigurationen.
  • Manipulierte oder angepasste Bootloader.
  • Ältere Hyper-V-Hosts oder Gastbetriebssysteme.
  • Firmware, die bestimmte Secure Boot Variablen nicht korrekt aktualisieren kann.
  • Fehlerhafte Intune-, GPO- oder Updatekonfigurationen in Unternehmen.

Falls Windows nach Änderungen am Startvorgang beschädigt wirkt oder nicht mehr korrekt startet, findest Du hier zusätzliche Hilfen: Windows reparieren und Windows Systemwiederherstellung nutzen.

Schritt für Schritt: Secure Boot Zertifikate prüfen und aktualisieren

Diese Anleitung richtet sich an normale Windows-Nutzer, die wissen möchten, ob ihr PC bereits richtig vorbereitet ist.

Secure Boot Zertifikate nach Windows Updates suchen

Schritt 1: Windows Update vollständig ausführen

  1. Öffne die Einstellungen.
  2. Gehe zu „Windows Update“.
  3. Klicke auf „Nach Updates suchen“.
  4. Installiere alle verfügbaren Updates.
  5. Prüfe auch optionale Updates, wenn dort Firmware- oder Treiberupdates angeboten werden.
  6. Starte den PC neu.

Schritt 2: Secure Boot Aktivierung prüfen

  1. Drücke Windows + R.
  2. Gib msinfo32 ein.
  3. Prüfe den Eintrag „Sicherer Startzustand“.

Wenn dort „Ein“ steht, ist Secure Boot aktiviert. Wenn dort „Aus“ steht, prüfe im UEFI Deines PCs, ob Secure Boot aktiviert werden kann. Vor Änderungen im UEFI solltest Du bei aktivem BitLocker unbedingt Deinen Wiederherstellungsschlüssel sichern.

Schritt 3: Windows-Sicherheit-App prüfen

  1. Öffne die Windows-Sicherheit.
  2. Gehe zu „Gerätesicherheit“.
  3. Öffne „Sicherer Start“.
  4. Prüfe die Meldung zum Zertifikatsstatus.

Wenn dort steht, dass alle erforderlichen Zertifikatupdates angewendet wurden, ist Dein Gerät in einem guten Zustand.

Schritt 4: PowerShell Status prüfen

Öffne PowerShell als Administrator und führe diesen Befehl aus:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status').UEFICA2023Status

Wenn Updated erscheint, ist der Status sehr gut.

Schritt 5: Bei Problemen Firmware aktualisieren

Wenn Windows-Sicherheit eine Warnung zeigt oder PowerShell keinen aktualisierten Status meldet, prüfe die Herstellerseite Deines PCs oder Mainboards. Suche nach einem BIOS- oder UEFI-Update für Dein genaues Modell.

Installiere Firmwareupdates nur dann, wenn Du sicher bist, dass sie zu Deinem Gerät passen. Schließe ein Notebook währenddessen unbedingt an das Netzteil an.

Schritt 6: Erneut prüfen

Nach Windows- und Firmwareupdates solltest Du den PC neu starten und die Prüfung wiederholen. Bei einigen Geräten kann der Status erst nach einem weiteren Neustart korrekt angezeigt werden.

Was Du auf keinen Fall tun solltest

Du solltest Secure Boot nicht vorschnell deaktivieren. Dadurch verschwindet vielleicht eine Warnung oder ein Startproblem, aber Dein Gerät verliert eine wichtige Schutzfunktion.

Du solltest auch keine unbekannten Registry-Befehle aus Foren übernehmen, wenn Du nicht genau weißt, was sie bewirken. Secure Boot arbeitet mit Firmwarevariablen. Fehlerhafte Änderungen können Startprobleme verursachen.

Ebenso solltest Du keine zufälligen BIOS-Dateien installieren. Verwende nur Firmwareupdates vom Hersteller Deines PCs oder Mainboards.

Wenn BitLocker aktiv ist, solltest Du vor Änderungen an Secure Boot, TPM oder UEFI immer den BitLocker Wiederherstellungsschlüssel sichern. Sonst kann es passieren, dass Windows nach einer Firmwareänderung den Wiederherstellungsschlüssel verlangt.

Sollte ich den alten PC ersetzen?

Nicht jeder ältere PC muss sofort ersetzt werden. Wenn Dein Gerät weiterhin aktuelle Windows-Updates erhält, Secure Boot aktiviert ist und der Hersteller Firmwareupdates bereitstellt, kann es auch 2026 noch sicher betrieben werden.

Problematisch wird es, wenn mehrere Punkte zusammenkommen:

  • Windows 10 ohne Extended Security Updates.
  • Kein Upgrade auf Windows 11 möglich.
  • Keine Firmwareupdates mehr vom Hersteller.
  • Secure Boot Warnungen in Windows-Sicherheit.
  • UEFICA2023Status bleibt dauerhaft nicht aktualisiert.

In diesem Fall solltest Du mittelfristig über ein neues Gerät nachdenken. Das gilt besonders dann, wenn Du den PC für Onlinebanking, berufliche Daten, Microsoft 365, VPN, Unternehmenszugänge oder sensible Dokumente verwendest.

Checkliste - Ist Dein PC für Secure Boot 2026 vorbereitet.webp

Checkliste: Ist Dein PC für Secure Boot 2026 vorbereitet?

Prüfe diese Punkte:

  • Windows Update ist vollständig installiert.
  • Der PC wurde nach den Updates neu gestartet.
  • Secure Boot ist aktiviert.
  • Windows-Sicherheit zeigt keine gelbe oder rote Secure Boot Warnung.
  • Die Meldung in Windows-Sicherheit bestätigt die angewendeten Zertifikatupdates.
  • Der PowerShell-Wert UEFICA2023Status zeigt Updated.
  • Für Dein Gerät ist ein aktuelles BIOS- oder UEFI-Update installiert.
  • BitLocker Wiederherstellungsschlüssel sind gesichert.
  • Bei Firmen-PCs wird der Status zentral überwacht.
  • Bei virtuellen Maschinen sind Host und Gast aktuell.

Wenn alle Punkte erfüllt sind, ist Dein Gerät sehr wahrscheinlich gut auf die Secure Boot Umstellung vorbereitet.

Fazit: Secure Boot Zertifikate 2026 sind wichtig, aber kein Grund zur Panik

Die ablaufenden Secure Boot Zertifikate im Jahr 2026 sind ein wichtiges Sicherheitsthema. Trotzdem musst Du nicht davon ausgehen, dass Dein PC plötzlich nicht mehr startet. Die entscheidende Frage lautet nicht: „Geht Windows morgen noch an?“ Die bessere Frage lautet: „Kann mein Gerät auch künftig neue Schutzmaßnahmen für den frühen Startprozess erhalten?“

Genau dafür brauchst Du die neuen Secure Boot Zertifikate aus dem Jahr 2023. Die meisten Geräte erhalten sie automatisch über Windows Update. Trotzdem solltest Du den Status prüfen, vor allem wenn Du Warnungen in der Windows-Sicherheit-App siehst, ein älteres Gerät verwendest oder PCs in einem Unternehmen verwaltest.

Für normale Anwender reichen meistens drei Schritte: Windows Update vollständig installieren, Windows-Sicherheit unter „Gerätesicherheit“ prüfen und bei Bedarf ein BIOS- oder UEFI-Update vom Hersteller installieren. Administratoren sollten zusätzlich PowerShell, Registry-Status, Ereignisanzeige, Intune oder Gruppenrichtlinien nutzen, um den Zustand ganzer Geräteflotten zu überwachen.

Wenn Dein Gerät den Status Updated zeigt und Windows-Sicherheit meldet, dass alle erforderlichen Zertifikatupdates angewendet wurden, bist Du auf der sicheren Seite.

FAQ zu Secure Boot Zertifikaten 2026

FAQ zu Secure Boot Zertifikaten 2026

Was passiert, wenn Secure Boot Zertifikate 2026 ablaufen?

Dein PC startet normalerweise weiterhin. Das größere Problem ist, dass Geräte ohne neue 2023-Zertifikate künftig möglicherweise keine neuen Schutzmaßnahmen für den frühen Windows-Startprozess mehr erhalten können. Dazu gehören Updates für den Windows Boot Manager, Secure Boot Datenbanken und Sperrlisten.

Muss ich wegen Secure Boot Zertifikaten meinen PC austauschen?

In den meisten Fällen nicht. Die meisten Windows-Geräte erhalten die neuen Secure Boot Zertifikate automatisch über Windows Update. Ein Austausch kann aber sinnvoll werden, wenn Dein Gerät sehr alt ist, kein Windows 11 unterstützt, keine Firmwareupdates mehr erhält und dauerhaft Warnungen zum Secure Boot Zertifikatsstatus angezeigt werden.

Wie prüfe ich, ob Secure Boot aktiviert ist?

Drücke Windows + R, gib msinfo32 ein und prüfe den Eintrag „Sicherer Startzustand“. Steht dort „Ein“, ist Secure Boot aktiviert. Steht dort „Aus“, ist Secure Boot deaktiviert oder im UEFI nicht korrekt eingeschaltet.

Wie prüfe ich, ob die neuen 2023-Zertifikate installiert sind?

Du kannst in der Windows-Sicherheit-App unter „Gerätesicherheit“ und „Sicherer Start“ nachsehen. Zusätzlich kannst Du PowerShell als Administrator öffnen und den Wert UEFICA2023Status prüfen. Wenn der Wert Updated lautet, ist das ein sehr guter Hinweis auf einen aktualisierten Zustand.

Welcher PowerShell-Befehl zeigt den Secure Boot Zertifikatsstatus?

Nutze PowerShell als Administrator und führe diesen Befehl aus:

(Get-ItemProperty 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing' -Name 'UEFICA2023Status').UEFICA2023Status

Wenn als Ergebnis Updated erscheint, wurden die relevanten 2023-Zertifikatupdates angewendet.

Was bedeutet UEFICA2023Status Updated?

Updated bedeutet, dass die Secure Boot Aktualisierung auf die 2023-Zertifikate abgeschlossen wurde. Das ist der gewünschte Zustand. Danach sind normalerweise keine zusätzlichen manuellen Schritte erforderlich.

Warum zeigt Windows-Sicherheit eine gelbe Secure Boot Warnung?

Eine gelbe Warnung bedeutet, dass eine Sicherheitsempfehlung vorhanden ist. Häufig liegt das an fehlenden Updates, ausstehenden Neustarts oder Hardware- beziehungsweise Firmwareeinschränkungen. Installiere alle Windows-Updates, starte den PC neu und prüfe beim Hersteller, ob ein BIOS- oder UEFI-Update verfügbar ist.

Warum zeigt Windows-Sicherheit eine rote Secure Boot Warnung?

Eine rote Warnung weist auf ein schwerwiegenderes Problem hin. Es kann bedeuten, dass ein Sicherheitsrisiko mit der aktuellen Startkonfiguration nicht mehr sauber behoben werden kann. Installiere alle Updates, starte den PC neu und prüfe Firmwareupdates. Wenn die Warnung bleibt, solltest Du den Hersteller-Support prüfen.

Sollte ich Secure Boot deaktivieren, wenn es Probleme gibt?

Nein, normalerweise nicht. Secure Boot schützt den frühen Startprozess Deines PCs. Wenn Du es deaktivierst, reduzierst Du den Schutz gegen Bootkits und Manipulationen vor dem Windows-Start. Deaktiviere Secure Boot nur, wenn Du genau weißt, warum es notwendig ist.

Betrifft das Thema auch Windows 10?

Ja, Secure Boot Zertifikate betreffen auch Windows 10-Geräte mit Secure Boot. Allerdings ist Windows 10 seit dem 14. Oktober 2025 regulär aus dem Support. Ohne Extended Security Updates oder unterstützte Sonderversionen solltest Du den Wechsel auf Windows 11 planen.

Betrifft das Thema auch Windows Server?

Ja, auch Windows Server können betroffen sein, wenn sie Secure Boot verwenden. Das gilt besonders für physische Server und virtuelle Maschinen mit aktiviertem Secure Boot. Administratoren sollten den Status zentral prüfen und Firmware, Hosts und Gäste aktuell halten.

Was bedeutet Windows UEFI CA 2023?

Windows UEFI CA 2023 ist ein neues Secure Boot Zertifikat, das unter anderem für den Windows Boot Manager wichtig ist. Es ersetzt ältere Vertrauenseinträge und sorgt dafür, dass Windows künftig weiter mit aktuellen, vertrauenswürdigen Bootkomponenten starten kann.

Was bedeutet Microsoft UEFI CA 2023?

Microsoft UEFI CA 2023 ist ein neues Zertifikat für bestimmte Bootloader und EFI-Anwendungen von Drittanbietern. Es ist besonders dann relevant, wenn Dein System Komponenten nutzt, die nicht direkt zum Windows Boot Manager gehören.

Brauche ich ein BIOS Update wegen Secure Boot?

Nicht immer. Viele Geräte erhalten die Zertifikatsupdates automatisch über Windows Update. Wenn Dein Gerät aber Warnungen anzeigt oder der Status nicht aktualisiert wird, kann ein BIOS- oder UEFI-Update vom Hersteller notwendig sein.

Kann BitLocker betroffen sein?

BitLocker funktioniert nicht automatisch nicht mehr. Allerdings ist Secure Boot Teil der Sicherheitskette rund um den frühen Startprozess. Deshalb solltest Du bei Änderungen an Secure Boot, TPM oder UEFI immer Deinen BitLocker Wiederherstellungsschlüssel sichern.

Was sollten Administratoren in Unternehmen tun?

Administratoren sollten den Secure Boot Status zentral erfassen. Wichtig sind Secure Boot Aktivierung, UEFICA2023Status, Ereignisanzeige und Firmwarestand. Für größere Umgebungen eignen sich Intune, Gruppenrichtlinien, Skripte oder andere Inventarisierungslösungen. Besonders wichtig ist ein Testrollout mit verschiedenen Hardwaremodellen.