Windows 11 rollt automatisch das Secure Boot 2023 Zertifikats-Update mit dem Patch Tuesday Update vom Juni 2026 aus

Mit dem Patch Tuesday Update vom Juni 2026 (KB5094126) hat Microsoft den Rollout des Secure Boot 2023 Zertifikats-Updates auf eine breitere Palette von Windows 11- und Windows 10-Geräten ausgeweitet. Fast zwei Jahre lang war der Rollout vorsichtig und schrittweise aufgrund von Firmware-Kompatibilitätsprüfungen. Mit diesem neuesten Update werden jedoch die meisten unterstützten Verbraucher-PCs, für die Microsoft Diagnosedaten hat, nun als hohes Vertrauen eingestuft. Das bedeutet, dass die Zertifikate entweder bereits angewendet wurden oder automatisch angewendet werden, ohne dass eine Benutzerintervention erforderlich ist.

Secure Boot war für viele Windows-Nutzer ein missverstandenes Thema. Während IT-Profis damit vertraut sein könnten, fragen sich normale Heimanwender oft, ob sie etwas tun müssen. Die kurze Antwort für die meisten Nutzer lautet nein. Es gibt jedoch spezifische Szenarien, die zusätzliche Aufmerksamkeit erfordern können, die wir unten behandeln werden.

Was ist Secure Boot und warum ist es wichtig für Ihren PC?

Secure Boot ist eine Sicherheitsfunktion, die in die Firmware Ihres PCs eingebettet ist, speziell in die UEFI (Unified Extensible Firmware Interface), die das ältere BIOS-System ersetzt hat. Wenn Sie Ihren Computer einschalten, überprüft Secure Boot die kryptografische Signatur der Software, die vor dem Start von Windows geladen werden soll. Wenn nicht autorisierte Software, wie Rootkits oder Bootkits, versucht, während dieses Prozesses ausgeführt zu werden, blockiert Secure Boot diese. Diese Funktion ist seit der Einführung von Windows 11 obligatorisch und standardmäßig auf den meisten modernen PCs aktiviert.

Die ursprünglichen Zertifikate, die Secure Boot unterstützen, wurden 2011 ausgestellt und werden nun ausgemustert, mit Ablaufdaten ab dem 24. Juni 2026 und bis Oktober 2026. Microsoft liefert Ersatz-Zertifikate, bekannt als Secure Boot 2023, um sicherzustellen, dass PCs sicher bleiben und in der Lage sind, Boot-Level-Updates zu erhalten, nachdem die älteren Zertifikate abgelaufen sind.

Wenn Sie ein normaler Windows 11- oder Windows 10-Benutzer sind, hier ist, was Sie tun sollten

Für die meisten Heimanwender ist keine manuelle Aktion erforderlich. Die Secure Boot 2023 Zertifikate werden über Windows Update bereitgestellt. Wenn Ihr Gerät berechtigt ist und Windows Update nicht pausiert ist, erfolgt das Update automatisch im Hintergrund. Es ist jedoch ratsam, den Update-Status zu überprüfen:

1. Öffnen Sie die Windows Sicherheits-App.
2. Navigieren Sie zu Gerätesicherheit > Secure Boot.
3. Überprüfen Sie die Statusanzeige:
   • Grünes Häkchen: Ihr PC ist vollständig aktualisiert, und es sind keine weiteren Aktionen erforderlich.
   • Gelbe Warnung: Das Zertifikats-Update steht aus. Stellen Sie sicher, dass Windows Update läuft, und warten Sie.
   • Roter Alarm: Dies weist auf ein Firmware-Kompatibilitätsproblem hin. Besuchen Sie die Support-Seite Ihres Geräteherstellers, um das neueste BIOS/UEFI-Update herunterzuladen und zu installieren.

Einige Benutzer haben beobachtet, dass ihre PCs während der letzten Updates mehrmals neu starten. Microsoft hat bestätigt, dass dies ein erwartetes Verhalten ist, das auf den Secure Boot Zertifikats-Updateprozess zurückzuführen ist, der mehrere Stufen umfasst: Zertifikate vorbereiten, anwenden und Neustart zum Aktualisieren des Bootloaders.

Wenn Sie einen neuen SecureBoot-Ordner in C:\Windows bemerken, löschen Sie ihn nicht. Dieser Ordner wird von Windows verwendet, um kryptografische Dateien zu speichern, bevor sie in die Firmware geschrieben werden. Das Löschen ist unnötig und könnte den Update-Prozess stören.

Ältere PCs und Kompatibilität

Ältere PCs fallen in verschiedene Kategorien:

• Neuere PCs (2020 oder später): Das Juni-Update deckt diese Geräte wahrscheinlich automatisch ab.
• Mittelalte PCs (2015–2019): Für diese Geräte benötigt Microsoft möglicherweise mehr Zeit, um Kompatibilitätsdaten zu sammeln.
• Sehr alte PCs: Einige erhalten das Update möglicherweise nicht aufgrund ungelöster Firmwareprobleme. In solchen Fällen kann eine manuelle Fehlerbehebung oder Unterstützung durch den Hersteller erforderlich sein.

Für Heimanwender ist es nicht erforderlich, BIOS-Einstellungen oder Registrierungsschlüssel manuell zu ändern. Microsoft hat erklärt, dass der Prozess für Geräte, die Updates über Windows Update erhalten, automatisch ist.

HP-Geräte – Spezifische Probleme

HP-Benutzer sollten beachten, dass einige BIOS-Updates vom April 2026 BitLocker-Wiederherstellungsschleifen und Boot-Fehler auf bestimmten Premium-Laptops und Workstations verursachten. HP hat dieses Problem inzwischen durch die Veröffentlichung aktualisierter Firmware behoben. Wenn Sie auf solche Probleme stoßen, überprüfen Sie die Support-Seite von HP auf die neuesten BIOS-Updates und installieren Sie diese, bevor Sie fortfahren.

Was IT-Administratoren wissen müssen

Das Juni-2026-Update hat die Liste der Geräte in Microsofts Hochvertrauens-Datenbank erheblich erweitert, sodass automatische Zertifikats-Updates für die meisten verwalteten Systeme möglich sind. Administratoren, die Geräte über Intune verwalten, können den Update-Fortschritt über den Intune Secure Boot Monitoring Report überwachen, der den Status aller verwalteten Geräte hervorhebt.

Für Geräte außerhalb der Hochvertrauens-Kategorie kann eine manuelle Intervention erforderlich sein. Dies umfasst das Auslösen von Updates über Intune-Richtlinieneinstellungen oder Registrierungsschlüssel. Administratoren sollten:

1. Den Secure Boot Monitoring Report abrufen.
2. Geräte identifizieren, die noch nicht aktualisiert wurden.
3. Updates auf einer kleinen Geräteuntergruppe testen.
4. Die Bereitstellung nur nach erfolgreichem Testen erweitern.

Geräte, die aufgrund von Firmware-Kompatibilitätsproblemen pausiert wurden, benötigen Firmware-Updates vom OEM, bevor sie fortfahren können. Microsoft bietet detaillierte Anleitungen für den Umgang mit solchen Fällen und betont die Bedeutung der Live-Datenüberwachung, um zu vermeiden, auf veralteten Berichten zu handeln.

Wichtige Ereignisprotokolle zur Fehlerbehebung

IT-Administratoren können den Windows-Ereignisanzeiger verwenden, um Secure Boot Update-Probleme zu diagnostizieren:

• Ereignis-ID 1801: Zeigt an, dass ein Gerät überwacht wird und auf weitere Daten wartet.
• Ereignis-ID 1802: Signalisiert ein Firmware-Kompatibilitätsproblem.
• Ereignis-ID 1808: Bestätigt erfolgreiche Secure Boot Zertifikats-Updates.

Fazit

Das Secure Boot Zertifikats-Update ist ein kritischer Schritt zur Aufrechterhaltung der Boot-Level-Sicherheit für Windows-Geräte. Für die meisten Benutzer ist der Prozess nahtlos und automatisch. IT-Administratoren, die große Geräteflotten verwalten, sollten die Kompatibilität sicherstellen und Updates sorgfältig überwachen. Weitere Informationen finden Sie in Microsofts zentraler Ressource unter aka.ms/GetSecureBoot.