Was passiert mit Ihrem alten PC nach dem Ablauf der Microsoft Secure Boot 2011 Zertifikate?

Mit dem Ablauf der Microsoft Secure Boot 2011 Zertifikate am 24. Juni fragen sich viele Nutzer älterer Hardware, insbesondere Geräte vor 2018, welche Konsequenzen dies haben könnte. Während die meisten modernen PCs das Secure Boot 2023 Update bereits über Windows Update erhalten haben, gibt es einen erheblichen Anteil an Geräten, die dieses Update nie erhalten werden. Dieser Artikel erklärt, was dies für Ihren PC, Ihre Sicherheit und die möglichen Schritte bedeutet, die Sie in Betracht ziehen könnten.

Ihr alter PC wird nach dem 24. Juni weiterhin starten

Das Ablaufen der Secure Boot 2011 Zertifikate bedeutet nicht, dass Ihr PC nicht mehr funktioniert. Microsoft hat bestätigt, dass Geräte ohne die neuen Zertifikate weiterhin normal starten und arbeiten werden. Laut der offiziellen Support-Seite von Microsoft:

"Wenn Ihr Gerät das Ablaufdatum ohne die neuen Zertifikate erreicht, wird es weiterhin starten und normal funktionieren. Standardmäßige Windows-Updates werden weiterhin installiert."

Allerdings beeinflusst das Ablaufen die Fähigkeit Ihres Geräts, zukünftige sicherheitsrelevante Boot-Updates zu erhalten. Ohne die 2023 Zertifikate wird Ihr PC keine Updates für den Windows Boot Manager, Secure Boot Datenbanken, Widerrufslisten oder Maßnahmen gegen neue Boot-Sicherheitslücken mehr erhalten. Diese Verschlechterung erfolgt schrittweise und nicht plötzlich, und es werden keine plötzlichen Abschaltungen oder Fehlermeldungen auftreten.

Warum einige PCs das Secure Boot Update nicht erhalten können

Das Secure Boot 2023 Update ist nicht universell über Windows Update verfügbar. Es erfordert eine Firmware-Kompatibilität, die von Updates des PC-Herstellers abhängt. Zum Beispiel hat Dell erklärt, dass Geräte, deren Service-Lebensdauer vor dem 1. Januar 2026 endet, keine BIOS-Updates erhalten werden, die die neuen Zertifikate unterstützen. Ähnlich haben andere Hersteller wie HP, Lenovo und ASUS ähnliche Stichtage für BIOS-Unterstützung festgelegt.

Ältere PCs, insbesondere solche aus der frühen UEFI-Ära oder solche, die im Compatibility Support Module (CSM)-Modus laufen, nutzen UEFI Secure Boot überhaupt nicht. Für diese Geräte ist das Zertifikatsupdate irrelevant. Darüber hinaus zeigen Geräte mit umgangenen Windows 11 Installationen (z. B. Deaktivierung von TPM 2.0 und CPU-Checks) oft keinen Secure Boot-Status oder Fehler in der Windows Sicherheits-App, da Secure Boot entweder deaktiviert oder falsch im Firmware konfiguriert ist.

Das tatsächliche Sicherheitsrisiko fehlender 2023 Secure Boot Updates

Ohne die 2023 Zertifikate wird Ihr PC keine Updates für die Secure Boot DBX (Forbidden Signature Database) erhalten, die kompromittierte oder anfällige Bootloader auflistet. Zum Beispiel nutzte das BlackLotus UEFI-Bootkit ältere Windows-Bootloader, um Secure Boot zu umgehen. Geräte ohne die 2023 Zertifikate bleiben anfällig für solche Bedrohungen, da sie keine neuen DBX-Updates verarbeiten können, die mit dem 2023 Schlüssel signiert wurden.

Für die meisten privaten Nutzer bleibt dieses Risiko größtenteils theoretisch, da Bootkit-Angriffe komplex sind und normalerweise auf Unternehmen, Regierungen oder hochrangige Personen abzielen. Das Risiko wird jedoch mit der Zeit steigen, da mehr Schwachstellen entdeckt werden.

Schritte, die Sie unternehmen können, wenn Sie keine Secure Boot Updates erhalten

Je nach Ihrer Situation gibt es mehrere Maßnahmen, die Sie in Betracht ziehen können:

1. Windows 10 Nutzer: Wenn Ihr PC im Extended Security Updates (ESU)-Programm eingeschrieben ist, erhält er die Secure Boot 2023 Zertifikate über Windows Update. Überprüfen Sie den Secure Boot-Status in der Windows Sicherheits-App (verfügbar ab dem Mai 2026 Update, KB5087544).
2. Nicht unterstützte PCs: Geräte ohne OEM-BIOS-Updates oder solche mit umgangenen Windows 11 Installationen werden das Update nicht erhalten. Optionen umfassen:
   • Die weitere Nutzung des Geräts in seiner aktuellen Konfiguration unter Berücksichtigung der Sicherheitsrisiken.
   • Aktivieren von Secure Boot im UEFI, falls unterstützt, für umgangene Systeme.
   • Aufrüstung auf neuere Hardware.
3. Unternehmensnutzer: Unternehmen müssen Compliance-Anforderungen berücksichtigen. Optionen umfassen die Dokumentation von Ausnahmen, die Implementierung kompensierender Kontrollen oder den Austausch veralteter Hardware.

So überprüfen Sie Ihren aktuellen Secure Boot-Status

So überprüfen Sie Ihren Secure Boot-Status:

1. Windows Sicherheits-App: Öffnen Sie die App, navigieren Sie zu Gerätesicherheit und suchen Sie nach dem Abschnitt Secure Boot. Seit April 2026 zeigt die App ein Abzeichen-System an:
   • Grün: Die 2023 Zertifikate sind angewandt.
   • Gelb: Das Update steht aus.
   • Rot: Eine Firmware-Inkompatibilität blockiert das Update.
2. Systeminformations-Tool: Öffnen Sie msinfo32 und überprüfen Sie den “Secure Boot State” unter Systemübersicht. Es wird An, Aus oder Nicht unterstützt anzeigen.

Für eine tiefere Untersuchung stellt Microsoft Diagnosetools und Skripte unter aka.ms/GetSecureBoot zur Verfügung.

Ihr PC wird auch ohne das Update weiter funktionieren

Für die meisten Nutzer älterer Hardware stellt das Fehlen des Secure Boot 2023 Updates eine Sicherheitslücke dar, beeinflusst jedoch nicht den täglichen Betrieb des PCs. Reguläre Windows-Updates werden weiterhin ausgeliefert, und das Gerät wird weiterhin funktionieren. Unternehmen mit Compliance-Anforderungen und Endpoint-Sicherheitsverpflichtungen sollten dies jedoch als ein prioritäres Problem behandeln und entsprechende Maßnahmen planen.

Wenn Sie BIOS-Updates oder zusätzliche Ressourcen erkunden möchten, besuchen Sie die Secure Boot Übergangs-Supportseite Ihres Herstellers oder die offizielle Ressource von Microsoft, die oben verlinkt ist.

Windows Latest bedankt sich für Ihre Unterstützung. Erwägen Sie, uns zu Ihrer bevorzugten Quelle auf Google Discover und Search zu machen, um unabhängige Berichterstattung zu fördern.