„Meine PCs laufen doch noch einwandfrei. Warum sollte ich die alle austauschen?“ Diese Frage höre ich häufig von Unternehmern, die noch Windows 10 auf Hardware aus den Jahren 2014 bis 2018 betreiben. Verständlich – wenn der Rechner funktioniert, warum dann Geld ausgeben?
Die Antwort kommt ab Juni 2026 in Form eines Problems, das die meisten nicht auf dem Schirm haben: Millionen Windows-Computer verlieren dann eine fundamentale Sicherheitsfunktion. Nicht mit einem dramatischen Crash, sondern schleichend. Die Computer starten weiterhin, arbeiten scheinbar normal – aber eine zentrale Verteidigungslinie gegen besonders gefährliche Schadsoftware bricht zusammen.
Was Microsoft jetzt allen Unternehmen mit Windows-PCs mitteilt, klingt erst einmal technisch: Secure Boot-Zertifikate laufen ab. Aber die Konsequenzen sind für jeden Betrieb real und messbar. Lassen Sie mich das übersetzen.
Was ist Secure Boot – und warum sollte Sie das kümmern?
Stellen Sie sich vor, Ihr Computer ist wie ein Ladengeschäft. Jeden Morgen, wenn Sie aufschließen, sollten Sie sicherstellen, dass niemand nachts eingebrochen ist und gefälschte Ware in Ihre Regale gestellt hat. Genau das macht Secure Boot beim Computerstart: Es prüft, ob alle Systemkomponenten echt und unverändert sind.
Microsoft führte Secure Boot 2012 mit Windows 8 ein – als Reaktion auf eine neue Generation von Schadsoftware, sogenannte Bootkits. Diese nistet sich tief im System ein, noch bevor Windows überhaupt startet. Normale Antivirenprogramme können solche Schädlinge kaum erkennen, weil sie sich quasi „unter“ dem Betriebssystem verstecken.
Die Lösung: Digitale Zertifikate im UEFI-Chip des Computers (dem Nachfolger des alten BIOS), die beim Start überprüfen, ob die startende Software von Microsoft oder einem vertrauenswürdigen Hersteller signiert wurde. Passt die Signatur nicht, blockiert Secure Boot den Start. Simpel, aber wirkungsvoll.
Das Problem: Diese Zertifikate haben ein Ablaufdatum. Und das ist für Millionen Computer im Juni 2026 erreicht.
Drei Zertifikate laufen aus – mit unterschiedlichen Folgen
Microsoft warnt aktuell vor dem Ablauf von drei zentralen Secure Boot-Zertifikaten aus dem Jahr 2011:
Microsoft Corporation KEK CA 2011 (Juni 2026): Der „Schlüsselregistrierungsschlüssel“ ermöglicht es, neue Zertifikate zu installieren. Ohne ihn können keine Sicherheitsupdates für die Boot-Komponenten mehr eingespielt werden.
Microsoft Corporation UEFI CA 2011 (Juni 2026): Dieses Zertifikat bestätigt, dass Bootloader von Microsoft und Drittanbietern vertrauenswürdig sind. Nach Ablauf können neu signierte Bootloader nicht mehr verifiziert werden.
Microsoft Windows Production PCA 2011 (Oktober 2026): Verantwortlich für die Signatur des Windows Boot Managers. Nach Ablauf gibt es keine Sicherheitspatches mehr für diese kritische Komponente.
Die gute Nachricht: Ihr Computer wird am 1. Juni 2026 nicht plötzlich den Dienst verweigern. Er startet weiterhin ganz normal.
Die schlechte Nachricht: Ab diesem Datum gibt es keine Sicherheitsupdates mehr für die Boot-Komponenten. Und hier wird es kritisch.
Das eigentliche Risiko: Kein Schutz mehr gegen Bootkit-Malware
Warum ist das so gefährlich? Ein Beispiel: 2023 tauchte BlackLotus auf, die erste Bootkit-Malware, die Secure Boot aktiv umgehen konnte. Microsoft schloss die Sicherheitslücke (CVE-2023-24932) mit einem Update – das aber nur auf Systemen mit gültigen Zertifikaten installiert werden kann.
Ab Juni 2026 gibt es für Computer mit abgelaufenen Zertifikaten solche Updates nicht mehr. Entdecken Kriminelle neue Schwachstellen im Bootloader – und die Geschichte zeigt, dass sie das tun werden – bleiben betroffene Systeme verwundbar.
Für einen Handwerksbetrieb mit Kundendatenbank oder eine Arztpraxis mit Patientenakten bedeutet das konkret: Ein Angreifer könnte Schadsoftware installieren, die sich so tief im System verankert, dass selbst eine Neuinstallation von Windows sie nicht entfernt. Ransomware, die erst monatelang Daten sammelt, bevor sie zuschlägt. Spionage-Software, die Tastatureingaben mitliest – einschließlich Online-Banking-Zugängen.
Das mag dramatisch klingen, aber genau dafür sind Bootkits konzipiert: maximale Kontrolle, minimale Entdeckungsgefahr.
Wer ist betroffen – und wer nicht?
Fast alle Windows-Computer seit 2012 nutzen die auslaufenden Zertifikate. Das betrifft:
- Windows 10 und Windows 11 auf Standard-PCs und Laptops
- Windows Server ab Version 2012
- Virtuelle Maschinen mit aktiviertem Secure Boot
- Sogar manche Linux-Systeme im Dual-Boot-Betrieb
Ausnahmen gibt es kaum. Nur die neuesten Copilot+ PCs ab 2025 kommen bereits mit den 2023er Zertifikaten. Alle anderen Geräte müssen aktualisiert werden.
Einen besonderen Fall stellt Windows 10 dar: Der offizielle Support endete im Oktober 2025. Nur Nutzer mit Extended Security Updates (ESU) erhalten weiterhin Updates – einschließlich der neuen Zertifikate. Unternehmen, die Windows 10 ohne ESU weiterbetreiben, stehen vor einem doppelten Problem: Keine regulären Sicherheitsupdates UND keine Zertifikats-Aktualisierung.
Was Microsoft tut – und warum das nicht ausreicht
Microsoft rollt die neuen Zertifikate (KEK 2K CA 2023, UEFI CA 2023) seit dem Januar-Patchday 2026 schrittweise aus. Der Prozess läuft theoretisch automatisch über Windows Update. Das klingt beruhigend, hat aber Haken:
Haken 1: Nur Systeme mit aktiviertem und korrekt konfiguriertem Windows Update erhalten die Zertifikate. In unseren IT-Audits entdecken wir regelmäßig Firmen-PCs, auf denen Updates manuell deaktiviert wurden – „weil die immer so lange dauern“ oder „weil danach mal was nicht funktionierte“.
Haken 2: Microsoft verteilt die Updates zunächst nur an Geräte, die „ausreichend erfolgreiche Update-Signale“ gezeigt haben. Übersetzung: Computer mit Update-Problemen in der Vergangenheit könnten später oder gar nicht berücksichtigt werden.
Haken 3: Manche Hersteller müssen eigene Firmware-Updates bereitstellen. Dell beispielsweise kündigte BIOS-Updates für unterstützte Plattformen bis Ende 2025 an. Ältere Geräte mit End-of-Life-Status? Pech gehabt.
Haken 4: Bei virtuellen Maschinen hängt die Zertifikats-Aktualisierung von der Virtualisierungsplattform ab. VMware-Hosts, Hyper-V-Server – auch hier müssen Admins aktiv werden.
Was Sie jetzt konkret tun sollten
Als Unternehmer ohne eigene IT-Abteilung können Sie selbst wenig ausrichten. Aber Sie können – und sollten – die richtigen Fragen stellen:
Schritt 1: Bestandsaufnahme Wer kümmert sich bei Ihnen um IT? Ein externer Dienstleister? Ein Mitarbeiter „der sich damit auskennt“? Fragen Sie explizit nach: „Sind unsere Windows-PCs auf die Secure Boot-Zertifikats-Umstellung vorbereitet?“
Schritt 2: Prüfen lassen Windows-Taste + R drücken, „msinfo32“ eingeben, Enter. Im Fenster „Systeminformationen“ steht der „Sichere Startzustand“. Zeigt dieser „Ein“, ist Secure Boot aktiv – gut. Steht dort „Aus“, ist Secure Boot deaktiviert. Das sollte geklärt werden: Warum? War das Absicht oder ein Versehen?
Schritt 3: Update-Status klären Laufen auf Ihren Computern noch Windows 10 ohne ESU? Dann gibt es ab Oktober 2025 grundsätzlich keine Updates mehr – auch keine Zertifikate. Windows 11-Migration oder ESU-Lizenz sind dann die Optionen.
Schritt 4: Timeline definieren Die Zertifikate laufen zwischen Juni und Oktober 2026 ab. Das klingt nach „noch Zeit“. In der Praxis bedeutet es: Sie haben wenige Monate, um dutzende oder hunderte Computer zu überprüfen, Updates einzuspielen und eventuell Hardware zu ersetzen. Das braucht Planung.
Warum Managed Services hier den Unterschied machen
Ich merke an dieser Stelle oft: „Klingt kompliziert. Kann ich nicht einfach abwarten?“ Theoretisch schon. Praktisch ist das ein kalkuliertes Risiko, das Sie bewusst eingehen müssten.
In unserem Managed Services Portfolio für mittelständische Unternehmen gehört genau solche Thematik zum Standardrepertoire. Wir überwachen, welche Systeme welche Zertifikate haben. Wir stellen sicher, dass Windows Updates laufen. Und wir schlagen frühzeitig Alarm, wenn Hardware am Ende ihrer Lebensdauer angekommen ist.
Ein konkretes Beispiel: Ein Elektro-Fachbetrieb mit 18 Mitarbeitern und 25 PCs (inkl. Werkstatt-Terminals) stellten wir im Herbst 2025 fest, dass sieben Rechner noch Windows 10 ohne ESU-Lizenz liefen. Zwei weitere hatten Secure Boot deaktiviert – niemand wusste warum. Ein Gerät war so alt, dass der Hersteller keine Firmware-Updates mehr bereitstellte.
Ohne Managed Services? Der Geschäftsführer hätte davon vermutlich erst erfahren, wenn im Sommer 2026 die ersten Security-Scanner Alarm geschlagen hätten. Oder schlimmer: wenn ein Sicherheitsvorfall eintritt.
Mit unserer Betreuung: Wir haben einen Migrationsplan erstellt, die ESU-Lizenzen organisiert, Firmware-Updates eingespielt und das alte Gerät durch neue Hardware ersetzt. Der Betrieb? Konnte sich weiter aufs Kerngeschäft konzentrieren.
Der Blick nach vorne: Security wird zur Dauerbaustelle
Das Secure Boot-Zertifikats-Problem ist kein Einzelfall. Es ist symptomatisch für eine grundlegende Entwicklung: IT-Sicherheit wird immer komplexer, die Anforderungen ändern sich schneller, und die Konsequenzen von Versäumnissen werden teurer.
Früher reichte es, alle paar Jahre neue Computer zu kaufen und gelegentlich ein Antiviren-Programm zu erneuern. Heute gibt es Zertifikats-Updates, Firmware-Patches, BIOS-Aktualisierungen, Compliance-Anforderungen (NIS2, DSGVO), Hardware-Security-Module, TPM-Chips – die Liste wird länger, nicht kürzer.
Für einen Schreinerei-Betrieb mit zehn Mitarbeitern ist das nicht mehr nebenbei zu stemmen. Die Alternative zur eigenen IT-Abteilung sind Managed Services: Professionelle Betreuung, proaktive Überwachung, klare Verantwortlichkeiten. Nicht als Luxus, sondern als vernünftige Risikovorsorge.
Denn eines ist sicher: Die nächste technische Herausforderung kommt bestimmt. Ob Sie darauf vorbereitet sind, entscheiden Sie jetzt.
Kostenlose IT-Infrastruktur-Analyse: Wie steht es um Ihre Windows-Computer? Sind Secure Boot aktiviert? Läuft Windows Update? Welche Geräte brauchen bis Mitte 2026 ein Upgrade? Wir analysieren Ihre Situation und zeigen konkrete Handlungsschritte auf – kostenfrei und unverbindlich. Jetzt Termin vereinbaren
