Die meisten Unternehmen kümmern sich erst dann um Firmware- und Update-Themen, wenn ein System plötzlich nicht mehr sauber startet. Genau deshalb lohnt sich jetzt ein Blick auf ein Thema, welches auf den ersten Blick unscheinbar wirkt, in der Praxis aber erhebliche Auswirkungen haben kann: Auslaufende UEFI Secure Boot-Zertifikate. Denn Microsoft weist seit 2025 darauf hin, dass zentrale Secure-Boot-Zertifikate ab Juni 2026 und weitere ab Oktober 2026 auslaufen. Gleichzeitig läuft der Austausch auf die neuen 2023er Zertifikate bereits an.
Was bedeutet das überhaupt?
Der sogenannte Secure Boot ist ein Sicherheitsmechanismus in UEFI-Systemen. Er sorgt dafür, dass beim Start eines PCs oder Servers nur vertrauenswürdige, signierte Komponenten geladen werden. Damit soll verhindert werden, dass sich Schadsoftware bereits vor dem eigentlichen Betriebssystemstart einnistet. Die Vertrauenskette basiert auf Zertifikaten und Signaturdatenbanken im UEFI-System. Und genau diese Vertrauensanker müssen nun bei vielen Windows-Systemen erneuert werden.
Warum ist das jetzt relevant?
Die bisher breit genutzten Microsoft-Zertifikate aus der älteren Generation erreichen 2026 ihr Ablaufdatum. Dies betrifft nach Angaben von Microsoft insbesondere Zertifikate in den Bereichen KEK und DB, welche für die Vertrauenskette von Secure Boot entscheiden sind. Fehlen die neueren 2023er Zertifikate, laufen viele Geräte zwar nicht sofort aus dem Betrieb, aber sie verlieren schrittweise die Fähigkeit, wichtige Schutzmechanismen im frühen Bootprozess aktuell zu halten. Dazu gehören unter anderem Aktualisierungen des Windows Boot Managers, Secure-Boot-Datenbanken, Sperrlisten und Schutzmaßnahmen gegen neu entdeckte Boot-Level-Schwachstellen.
Welche Systeme können betroffen sein?
Betroffen ist laut Microsoft viele physische und auch virtuelle Windows-Systeme, welche seit 2012 im Einsatz sind, darunter Windows 10, Windows 11 und diverse Windows-Server-Versionen. Neuere Geräte sind nicht automatisch außen vor, allerdings verfügen viele Computer, welche seit 2024 ausgeliefert wurden, bereits über die neueren 2023er Zertifikate. Entscheidend ist also nicht allein die Windows-Version, sondern der tatsächliche Zustand von UEFI, Firmware und Zertifikaten auf dem jeweiligen Gerät.
Wo liegt das Risiko für Unternehmen?
Das Problem zeigt sich oft nicht im Tagesgeschäft, sondern erst dann, wenn ein betroffenes Gerät bestimmte Sicherheitsupdates oder Boot-Komponenten nicht mehr sauber übernehmen kann. Microsoft warnt ausdrücklich davor, dass Geräte ohne rechtzeitige Aktualisierung beim sicheren Start beeinträchtigt sein können. Das Risiko liegt also weniger in einem sofortigen flächendeckenden Ausfall, sondern vielmehr in einer schleichenden Verschlechterung der Sicherheitsniveaus und in Störungen, welche genau dann auftreten, wenn man sie am wenigsten gebrauchen kann.
Läuft das nicht automatisch per Windows Update?
Nun könnte man denken: Läuft das nicht automatisch über ein Windows Update? Teilweise ja, aber eben nicht in jeder Umgebung und nicht auf jedem Gerät gleichermaßen. Microsoft hat mit dem Januar-Update 2026 begonnen, neue Secure-Boot-Zertifikate stufenweise nur an ausgewählte, als geeignet bewertete Geräte auszurollen. Das passiert bewusst phasenweise, um Risiken zu minimieren. Gleichzeitig betont Microsoft, dass aktuelle OEM- bzw. Firmware-Updates eine wichtige Grundlage dafür sind, dass die neuen Zertifikate überhaupt sauber angewendet werden können.
Einfacher gesagt: Nicht jedes Gerät ist automatisch “durch”, nur weil Windows Updates installiert werden.
Warum ist das Thema in vielen Unternehmen schwer greifbar?
Das Thema ist für die meisten Unternehmen so schwer greifbar, weil man den Status nicht auf einen Blick sieht. Denn in vielen IT-Umgebungen fehl eine verlässliche Übersicht darüber, ob Secure Boot aktiv ist, welche Zertifikate tatsächlich vorhanden sind, welche Geräte bereits aktualisiert wurden und bei welchen Systemen Hersteller- oder Firmware-Abhängigkeiten bestehen.
Und gerade in gewachsenen Umgebungen mit unterschiedlichen Herstellern, älteren Notebooks, Workstations, virtuellen Maschinen und Sonderfällen wird daraus schnell ein Thema, welches man nicht nebenbei „mitmacht“. Microsoft stellt zwar Werkzeuge und Prüfpfade bereit, etwa über Registry-Statuswerte und Ereignisprotokolle für IT-gesteuerte Umgebungen, aber die Bewertung und Priorisierung bleibt Aufgabe der IT.
Was sollten Unternehmen jetzt tun?
Aus unserer Sicht sind nun die folgenden vier Schritte sinnvoll:
1. Bestand prüfen
Es sollte zuerst geklärt werden, welche Systeme grundsätzlich betroffen sein können. Hierzu gehören Clients, Server und eventuell auch virtuelle Maschinen.
2. Secure-Boot-Status und Zertifikate bewerten
Anschließend muss geprüft werden, ob Secure Boot aktiv ist und ob die relevanten 2023 Zertifikate bereits vorhanden sind oder noch ausgerollt werden müssen. Microsoft empfiehlt zudem ausdrücklich, den Rollout und die Gerätebereitschaft aktiv zu überwachen.
3. Firmware-Stand berücksichtigen
Vor etwaigen Zertifikatsmaßnahmen sollten verfügbare BIOS- bzw. UEFI-Updates der Hersteller geprüft werden. Microsoft weißt weiterhin darauf hin, dass OEM-Firmware-Updates eine wichtige Voraussatzung für eine saubere Umsetzung sein können.
4. Rollout geplant statt hektisch umsetzen
Insbesondere in Unternehmensumgebungen sollten Änderungen an Secure-Boot, Zertifikaten und Firmware nicht ad hoc erfolgen, sondern geplant, getestet und dokumentiert. Dies gilt besonders dann, wenn BitLocker, Spezialhardware oder ältere Geräte im Einsatz sind.
Unsere Empfehlung als IT-Systemhaus aus Mainz
Für Unternehmen im Rhein-Main-Gebiet ist das kein Thema, welches man bis kurz vor Ablauf aufschieben sollte. Wer frühzeitig prüft, welche Systeme betroffen sind, kann Maßnahmen strukturiert planen und unnötige Risiken vermeiden. Denn wer zu lange wartet, läuft eher Gefahr, unter Zeitdruck reagieren zu müssen.
Kunden mit einem vollumfänglichen Managed Service Vertrag (inkl. Managed Services für Clients) werden von uns in diesem Zusammenhang geprüft. Wir schauen uns an, welche Systeme potenziell betroffen sind, wie der aktuelle Stand aussieht und wo konkreter Handlungsbedarf besteht.
Und natürlich gilt das nicht nur für Bestandskunden: Auch Unternehmen, die bisher noch keine Kunden der Interix GmbH sind, können sich gerne bei uns melden. Wir unterstützen bei der Einordnung, der technischen Prüfung und der Planung der nächsten Schritte.
Fazit
Auslaufende UEFI Secure Boot-Zertifikate sind kein theoretisches Nischenthema, sondern ein handfester Baustein moderner IT-Sicherheit. Nicht jedes System ist automatisch betroffen, aber viele Unternehmen sollten das Thema jetzt aktiv prüfen. Wer rechtzeitig Transparenz schafft, reduziert Risiken, vermeidet Überraschungen und sorgt dafür, dass Sicherheitsmechanismen auch künftig zuverlässig greifen.