Möglicherweise haben Sie kürzlich Nachrichten wie „Microsoft warnt Windows-Benutzer vor dringender Aktualisierung des Secure Boot-Zertifikats“ gesehen. Aber worum geht es? Nun, wenn Sie einen relativ alten PC haben und die Firmware noch nicht aktualisiert haben, ist jetzt möglicherweise der richtige Zeitpunkt, damit anzufangen. Das ursprüngliche Windows Secure Boot-Zertifikat von Microsoft aus dem Jahr 2011 wird langsam veraltet, wobei das erste Ende Juni 2026 abläuft. Hier erfahren Sie, wie Sie überprüfen, wo sich Ihr PC befindet, und was zu tun ist, wenn ein Update erforderlich ist.
Was ist ein Secure Boot-Zertifikat und warum ist es wichtig?
Secure Boot ist eine Sicherheitsfunktion auf Firmware-Ebene, die in UEFI integriert ist, dem modernen Ersatz für das traditionelle BIOS. Seine Aufgabe besteht darin, sicherzustellen, dass beim Start nur vertrauenswürdige, digital signierte Software ausgeführt werden darf, bevor Windows überhaupt geladen wird. Dies blockiert Malware, die versucht, einen PC zum frühestmöglichen Zeitpunkt zu kapern, wenn herkömmliche Antiviren-Tools nicht ausgeführt werden.
Um Malware zu erkennen, stützt sich Secure Boot auf eine Reihe von Zertifizierungsstellen (CAs). Und wie jedes digitale Zertifikat haben auch diese ein Ablaufdatum. Microsoft hat das Originalset im Jahr 2011 herausgebracht und nach mehr als 15 Jahren im Einsatz haben sie das Ende ihres geplanten Lebenszyklus erreicht. Die Microsoft Corporation KEK CA 2011 und die Microsoft Corporation UEFI CA 2011 laufen beide am 24.–27. Juni 2026 aus, die Windows Production PCA 2011 folgt im Oktober 2026.
Bemerkenswert ist, dass die Ersatzzertifikate für 2023 auf neueren Geräten installiert wurden, automatisch eingeführt werden und bis 2053 gültig sind, sodass Sie sich über den Ablauf des Windows Secure Boot-Zertifikats für lange Zeit keine Sorgen machen müssen.
Die meisten PCs funktionieren tatsächlich mit alten Zertifikaten. Sie erhalten möglicherweise keine Updates, wenn die neue Zertifikatskette nicht installiert ist, was dazu führen kann, dass später keine aktuelle Firmware mehr verfügbar ist. Dies kann einige Sicherheitsprobleme verursachen oder dazu führen, dass Ihr BitLocker wiederholt nach dem Passwort fragt, wenn Sie es eingerichtet haben.
So überprüfen Sie, ob Sie über ein altes sicheres Startzertifikat für Windows 11 verfügen
Option 1 – Überprüfen Sie die Windows-Sicherheits-App
Dies ist die einfachste Methode und die, mit der die meisten Menschen beginnen sollten.
Schritt 1. Öffnen Sie „Start“, suchen Sie nach „Windows-Sicherheit“ und öffnen Sie es.
Schritt 2. Gehen Sie im linken Menü auf „Gerätesicherheit“.
Schritt 3. Suchen Sie nach dem Eintrag „Secure Boot“ und überprüfen Sie die Farbe des Abzeichens und die dazugehörige Meldung.
Wenn Sie über die aktualisierte Software verfügen, sollten hier einige Abzeichen angezeigt werden. Das bedeutet jeweils Folgendes:
- Grün: Secure Boot ist aktiviert und alle erforderlichen Zertifikataktualisierungen wurden angewendet. Es sind keine Maßnahmen erforderlich.
- Gelb: Auf Ihrem Gerät wird immer noch das ältere Zertifikat ausgeführt und das Update wird voraussichtlich über Windows Update verfügbar sein. Es kann auch bedeuten, dass das Update durch eine Hardware- oder Firmware-Einschränkung blockiert wird.
- Rot: Für die aktuelle Konfiguration Ihres Geräts kann kein Sicherheitsupdate bereitgestellt werden und es ist sofortiges Eingreifen erforderlich.
Option 2 – Mit PowerShell prüfen
Wenn die Windows-Sicherheits-App nicht über den Zertifikatsstatus auf Ihrem Gerät verfügt, erhalten Sie von PowerShell eine direkte Antwort.
Schritt 1. Öffnen Sie „Start“, suchen Sie nach PowerShell und wählen Sie „Als Administrator ausführen“. Dies ist auch verfügbar, indem Sie mit der rechten Maustaste auf die Schaltfläche „Start“ klicken und „Terminal (Admin)“ auswählen.
Schritt 2. Fügen Sie den folgenden Befehl ein und drücken Sie die Eingabetaste.
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‚Windows UEFI CA 2023‘
Schritt 3. Überprüfen Sie das Ergebnis: „True“ bedeutet, dass das 2023-Zertifikat (gültig bis 2053) bereits installiert ist. „Falsch“ bedeutet, dass Sie immer noch das Originalzertifikat verwenden, das im Juni 2026 abläuft.

Option 3 – Überprüfen Sie die Ereignisanzeige
Wenn die ersten beiden Optionen keine Ergebnisse liefern, kann Ihnen die Ereignisanzeige zeigen, wo sich ein Gerät im Rollout-Prozess befindet.
Schritt 1. Öffnen Sie „Start“ und gehen Sie dann zu „EventViewer“.
Schritt 2. Gehen Sie zu „Windows-Protokolle“ und dann zu „System“.
Schritt 3. Klicken Sie im rechten Bereich auf „Aktuelles Protokoll filtern“.

Schritt 4. Klicken Sie auf das Dropdown-Menü „Ereignisquellen“, geben Sie den Buchstaben „T“ ein, scrollen Sie dann nach unten zu „TPM-WMI“ und wählen Sie es aus. Klicken Sie dann im Dialog auf „OK“.

Schritt 5. Suchen Sie nach der Ereignis-ID 1801 mit einer Meldung wie „BucketConfidenceLevel: Unter Beobachtung – Weitere Daten erforderlich.“

Dieser Eintrag sieht alarmierend aus, bedeutet aber lediglich, dass Windows das neue Zertifikat heruntergeladen und im Betriebssystem bereitgestellt, es aber noch nicht in die Firmware geschrieben hat – der Rollout erfolgt in zwei Phasen und Geräte können in dieser Phase eine Weile verbleiben, da Microsoft vor der Aktivierung die Kompatibilität überprüft.
So aktualisieren Sie Ihr Boot-Zertifikat
Bei den allermeisten Heimanwendern erfolgt das Update automatisch. Wenn Ihre Prüfung oben ein älteres Zertifikat ergab, führen Sie Windows Update aus, laden Sie die neuesten Updates herunter und führen Sie es dann erneut aus. Alternativ benötigen einige Geräte ein Firmware-Update vom Hersteller, bevor das Zertifikatsupdate sauber angewendet werden kann.
Dazu müssen Sie die Support-Seite des Herstellers besuchen und nach dem neuesten BIOS/UEFI-Firmware-Update für Ihr genaues Modell suchen und es dann installieren.
Wenn Ihnen die Windows-Sicherheits-App mitteilt, dass das Update „vorübergehend angehalten“ ist, hält Microsoft die Einführung möglicherweise zurück, bis ein Fix verfügbar ist. Das bedeutet nur, dass Sie möglicherweise etwas länger warten müssen.
Letzter Ausweg: Wenden Sie sich an den Hersteller Ihres Geräts
Wenn Ihr Secure Boot-Abzeichen rot bleibt oder die Windows-Sicherheits-App ausdrücklich angibt, dass Ihr Gerät das automatische Update aufgrund von Hardware- oder Firmware-Einschränkungen nicht erhalten kann, muss das Update vom OEM stammen. Wenden Sie sich an das Support-Team Ihres Herstellers, verweisen Sie auf das Update des Secure Boot-Zertifikats und fragen Sie, ob ein kompatibles Firmware-Update für Ihr Modell verfügbar ist.