Secure-Boot-Krise ab Juni: Windows-10-Geräte verlieren Sicherheitsupdates

Ab Ende Juni 2026 verlieren drei zentrale Secure-Boot-Zertifikate ihre Gültigkeit – mit weitreichenden Folgen für Windows-Nutzer weltweit. Während Microsoft seit 2023 neue Zertifikate ausrollt, droht vor allem Windows-10-Geräten ohne Extended-Security-Updates der Verlust wichtiger Boot-Sicherheitsupdates. Zeitgleich verschärft die US-Handelsbehörde FTC die Regeln für Firmware-Updates – ausgelöst durch schwerwiegende HP-Panne bei BIOS-Updates.

Drei Zertifikate, drei Stichtage

Die erste Zertifikatskaskade startet am 24. Juni mit dem Ablauf des „Microsoft Corporation KEK CA 2011". Nur drei Tage später folgt das „Microsoft UEFI CA 2011", am 19. Oktober schließlich das „Microsoft Windows Production PCA 2011". Die Zertifikate stammen aus dem Jahr 2011 und bilden das Fundament der Boot-Sicherheit.

Während die Sicherheit alter Zertifikate ausläuft, ist der rechtzeitige Wechsel auf ein aktuelles System der beste Schutz vor modernen Bedrohungen. Wie Sie den Umstieg auf Windows 11 ohne Risiko und ohne Datenverlust meistern, erfahren Sie in diesem kostenlosen Experten-Report. Windows 11 Starterpaket jetzt kostenlos anfordern

Was bedeutet das konkret? Systeme starten auch nach dem Ablauf weiterhin normal. Doch die Fähigkeit, neue Secure-Boot-Datenbanken, Sperrlisten und Patches gegen Boot-Level-Schwachstellen zu installieren, endet damit faktisch. Besonders kritisch: Angriffe wie BlackLotus, die vor dem vollständigen Betriebssystemstart zuschlagen, lassen sich dann nicht mehr abwehren.

Windows 10: Das große Fragezeichen

Microsoft hat die Umstellung frühzeitig eingeleitet. Seit Anfang 2023 rollt der Konzern Ersatzzertifikate per Windows-Update aus, zuletzt mit dem Update KB5089549. Windows-11-Nutzer erhalten die Updates automatisch – die meisten sind bereits versorgt.

Anders sieht es bei Windows 10 aus: Nur wer am kostenpflichtigen Extended Security Updates (ESU)-Programm teilnimmt, bekommt die neuen Zertifikate. Alle anderen laufen Gefahr, ab Juli ohne Boot-Sicherheitsupdates dazustehen. Ältere Hardware benötigt zudem oft ein Firmware-Update des Herstellers, um die neue Zertifikatskette zu unterstützen.

IT-Administratoren sollten dringend prüfen, ob das Zertifikat „Microsoft UEFI CA 2023" auf ihren Systemen vorhanden ist – entweder in den Windows-Sicherheitseinstellungen oder per Systembefehl.

HP-Desaster: BIOS-Update legt Premium-Laptops lahm

Die Dringlichkeit des Thema unterstreicht ein aktueller Vorfall bei HP. Automatische BIOS-Updates über Windows Update haben bei mehreren High-End-Modellen zu Boot-Loops, Blue-Screens und Hardware-Ausfällen geführt. Betroffen sind die Modelle ZBook Ultra G1a und EliteBook X G1a – Geräte, die teilweise über 4.000 Euro kosten. Die Probleme traten vor allem bei Systemen mit Intel-Xeon-W-Chipsätzen und Hybrid-Grafikkonfigurationen auf.

Viele Nutzer stehen beim Thema Windows 11 vor der Hürde vermeintlich inkompatibler Hardware und technischer Komplikationen. Dieser Gratis-Ratgeber zeigt Ihnen einen legalen Weg, wie Sie das Upgrade auch auf älteren Geräten schnell und sicher durchführen. Anleitung für Windows 11 auf ‚inkompatiblen‘ PCs gratis sichern

Die FTC hat daraufhin die neue Regelung „Fair Firmware Update Practices" aktiviert, die ab 1. Juli 2026 vollständig durchgesetzt wird. HP muss bis zum 5. Juni eine öffentliche Warnung herausgeben und bis zum 15. Juni eine korrigierte BIOS-Version (01.04.06 oder höher) bereitstellen. Ein Rollback-Tool ist bis zum 30. Juni Pflicht, ein umfassender Compliance-Bericht binnen 30 Tagen.

Bis dahin empfiehlt HP betroffenen Nutzern, Hybrid-Grafik im BIOS vorübergehend zu deaktivieren. Bei bereits funktionsunfähigen Geräten ist eine manuelle Netzwerk-BIOS-Downgrade über einen speziellen HP-USB-C-auf-Ethernet-Adapter nötig.

Was IT-Abteilungen jetzt wissen müssen

In einem technischen Briefing im März 2026 erläuterten Microsoft-Sicherheitsarchitekten die Komplexität des Secure-Boot-Updates. Der Prozess nutzt einen Security Version Number (SVN)-Mechanismus, der Rollbacks auf ältere, verwundbare Boot-Manager verhindert. Das Update ist mit BitLocker kompatibel, erfordert aber mehrere Neustarts.

Microsoft rät Unternehmensadministratoren von einer breiten Erzwingung per Gruppenrichtlinie ab – der Prozess kann auf bestimmten Hardware-Konfigurationen scheitern. Die Update-Logik überspringt automatisch Systeme mit Legacy-BIOS oder solchen, bei denen Secure Boot nicht aktiv ist. Wer PXE-Boot nutzt, muss die Boot-Images manuell mit dem neuen Boot-Manager aktualisieren.

Parallel dazu hat Microsoft den kritischen Sicherheitslücken CVE-2026-8711 (CVSS-Score 8.8) geschlossen. Die Schwachstelle ermöglicht Code-Ausführung mit erhöhten Rechten auf Windows 10 Version 21H2, Windows 11 Version 22H2, Windows Server 2022 sowie mehreren Office-Versionen.

KI-Kosten zwingen Microsoft zu internem Umdenken

Der Druck auf IT-Budgets betrifft nicht nur Hardware und Firmware. Microsofts Sparte Experiences & Devices, die Windows, Office und Surface verantwortet, kündigte an, interne Lizenzen für Claude Code bis zum 30. Juni zu kündigen. Das Tool war seit Dezember 2025 von Microsoft-Ingenieuren genutzt worden – die Kosten für die token-basierte Nutzung waren jedoch zu hoch.

Die Entwickler werden auf die GitHub Copilot Command Line Interface (CLI) umgestellt. Ein Trend, der sich branchenweit abzeichnet: Uber soll sein gesamtes KI-Budget von 3,4 Milliarden Euro für 2026 bereits in den ersten vier Monaten aufgebraucht haben. GitHub selbst stellt ab 1. Juni 2026 alle Copilot-Tarife auf nutzungsbasierte Abrechnung um.

Das Ende der Selbstregulierung

Die gleichzeitige Zertifikats-Expiration und die neuen FTC-Regeln markieren eine Zeitenwende. Jahrelang galten Firmware-Updates als zweitrangig gegenüber Betriebssystem-Patches – oft dem Nutzer oder Hersteller überlassen. Boot-Level-Bedrohungen haben das grundlegend geändert. Firmware ist zum primären Schlachtfeld der Cybersicherheit geworden.

Der HP-Vorfall zeigt die Risiken automatisierter Updates. Während sie Sicherheitspatches schnell verbreiten, steigt mit der Komplexität moderner Hardware – besonders bei Hybrid-Architekturen – die Wahrscheinlichkeit katastrophaler Fehler. Die FTC-Intervention signalisiert: Die Ära der Selbstregulierung bei Firmware-Auslieferung ist vorbei.

Ausblick: Zweiklassengesellschaft der PCs

Nach den Juni-Stichtagen zeichnet sich eine wachsende Kluft zwischen unterstützter und nicht unterstützter Hardware ab. Moderne Geräte wie die ab 2025 ausgelieferten Copilot+-PCs enthalten bereits die 2023er-Zertifikate und sind von der Krise nicht betroffen. Hunderte Millionen Windows-10-Geräte bleiben dagegen ein Sicherheitsrisiko.

Die FTC-Regeln ab Juli werden alle großen OEMs zu strengeren Test- und Wiederherstellungsprotokollen zwingen. Die Branche bewegt sich auf standardisierte Dienste wie den Linux Vendor Firmware Service zu – ein Zeichen für kollaborativere, plattformübergreifende Sicherheitsstandards. Für IT-Abteilungen bedeutet der Rest des Jahres 2026: akribisches Hardware-Lifecycle-Management und lückenlose Prüfung der Boot-Integrität.

de | wissenschaft | 69417861 |