Microsofts UEFI-Zertifikate: Countdown für Milliarden Geräte läuft

Ab Juni verlieren alte PCs ihren Schutz vor Hackerangriffen auf die Firmware. Grund ist der Auslaufschutz für 15 Jahre alte Sicherheitszertifikate von Microsoft.

Die globale Technologiebranche steht vor einer ihrer größten Sicherheitsumstellungen. Die grundlegenden Secure-Boot-Zertifikate, die seit 2011 als Vertrauensanker für Milliarden Computer dienen, laufen Ende Juni aus. Microsoft und Linux-Distributoren veröffentlichten diese Woche finale Patches, um einen flächendeckenden Sicherheitsverfall bei älterer Hardware zu verhindern.

Ihr PC gilt als ‚inkompatibel‘ für Windows 11? Dieser legale Weg funktioniert trotzdem. Die Gratis-PDF zeigt das Upgrade Schritt für Schritt – ohne neue Hardware und ohne Datenverlust. Upgrade trotz Inkompatibilität: Kostenlose Anleitung sichern

Was genau läuft aus – und wann?

Der Countdown betrifft drei kritische Zertifikate aus dem Jahr 2011. Das Microsoft Corporation KEK CA 2011 verliert am 24. Juni 2026 seine Gültigkeit. Drei Tage später, am 27. Juni, folgt das Microsoft Corporation UEFI CA 2011. Ein drittes Zertifikat für den Windows-Bootloader selbst läuft am 19. Oktober aus.

Die Konsequenz ist klar: Jedes Gerät, das bis zu diesen Stichtagen nicht auf die neuen 2023er Zertifikate aktualisiert wurde, kann keine neuen Boot-Level-Sicherheitsupdates mehr verifizieren. Es bleibt dauerhaft anfällig für moderne Firmware-Angriffe.

Warum ist diese Zertifikats-Ablöse so kritisch?

Secure Boot ist eine fundamentale Sicherheitsfunktion. Sie stellt sicher, dass beim Hochfahren eines PCs nur vertrauenswürdige, digital signierte Software ausgeführt wird. Diese Prüfung basiert auf kryptografischen Schlüsseln in der Firmware des Geräts.

Da die Zertifikate 2011 mit einer geplanten Laufzeit von 15 Jahren ausgestellt wurden, ist ihr Ablauf kein Fehler, sondern ein geplanter Lebenszyklus. Das Problem ist der beispiellose Umfang der Erneuerung. Millionen unterschiedlicher Hardware-Konfigurationen von diversen Herstellern sind betroffen.

Für moderne Systeme aus den Jahren 2024 und 2025 sind die neuen Schlüssel meist schon in der Firmware vorhanden. Bei älteren Geräten ist der Prozess komplexer. Das Betriebssystem muss die neuen Zertifikatsdaten in die Secure-Boot-Datenbanken im NVRAM des Motherboards schreiben. Die März-Updates 2026 stellen die finale Phase dieser Kampagne dar.

Linux und Dual-Boot-Systeme im Fokus

Die Umstellung ist eine besondere Herausforderung für die Linux-Community. Die meisten Distributionen nutzen Microsofts UEFI-Zertifikat, um einen kleinen Bootloader („Shim“) zu signieren. Dieser überprüft dann die eigenen Schlüssel der Distribution.

In der Woche ab dem 22. März veröffentlichten Enterprise-Distributionen wie AlmaLinux, Red Hat Enterprise Linux und Oracle Linux kritische Sicherheitshinweise und aktualisierte Shim-Pakete. Sie sollen die Kompatibilität mit den neuen Microsoft-Schlüsseln von 2023 sicherstellen.

Während moderne Firmware oft beide Zertifikate enthält, benötigen ältere Systeme – besonders mit alten Versionen von Debian, Fedora oder Ubuntu – manuelles Eingreifen. Fehlt der 2023er Schlüssel in der Firmware-Datenbank, startet keine Linux-Installation oder kein Kernel-Update mehr, das mit dem neuen Zertifikat signiert ist. Viele Unternehmen auditieren deshalb gerade ihre Serverlandschaften.

Genervt von Windows-Fehlermeldungen und Zwangs-Updates? Das kostenlose Linux-Startpaket zeigt Schritt für Schritt, wie Sie Ubuntu parallel zu Windows installieren – ohne Risiko und ohne Datenverlust. Kostenloses Linux Startpaket inkl. Ubuntu anfordern

Die Hürde: Veraltete Firmware der Hersteller

Eine zentrale Komplikation ist die Abhängigkeit von herstellerspezifischen Firmware-Updates. Da die Secure-Boot-Variablen im NVRAM des Motherboards liegen, hängt die Fähigkeit des Betriebssystems, sie zu aktualisieren, von der Firmware-Implementierung ab.

Ältere Hardware, insbesondere Geräte aus den Jahren 2012 bis 2018, hat oft begrenzten NVRAM-Speicher oder BIOS-Beschränkungen. Diese verhindern die automatische Aufnahme neuer Zertifikate via Windows Update oder Linux-Tools wie fwupd.

Große OEMs wie Dell, HP und Lenovo arbeiten mit Microsoft an BIOS-Patches. Sie sollen den NVRAM-Speicher erweitern oder manuelle Wege für die Zertifikatserneuerung bieten. Technische Hinweise deuten an, dass ein „kleiner Teil der Geräte“ diese Firmware-Updates benötigt. Schlägt ein Update fehl, protokolliert das System Fehler. Administratoren sollten BIOS-Updates für alte Hardware priorisieren, um Boot-Fehler im Sommer zu vermeiden.

Mehr als Bürokratie: Ein Schlag gegen Bootkit-Malware

Der Druck zur Aktualisierung ist keine reine Compliance-Aufgabe. Es ist eine entscheidende Verteidigung gegen hochspezialisierte Bootkit-Malware.

Der Wechsel ist ein Kernbestandteil der Langzeit-Strategie gegen Schwachstellen wie BlackLotus (CVE-2023-24932). Diese erlaubt Angreifern, Secure Boot zu umgehen, indem sie ältere, anfällige Bootloader ausnutzt. Durch das Widerrufen der 2011er Zertifikate und den Umstieg auf den 2023er Standard kann die Industrie die Signaturen dieser exploitable Dateien effektiv „blockieren“.

Neue Schwachstellen aus dem Jahr 2025 unterstreichen zudem die Notwendigkeit einer aktuellen Secure Boot Revocation List (DBX). Systeme, die ihre Zertifikate nicht aktualisieren, geraten in einen „herabgesetzten Sicherheitszustand“. Sie starten zwar normal, können aber keine neuen DBX-Updates mehr erhalten. Sie bleiben dauerhaft verwundbar für künftige Boot-Level-Angriffe, da ihnen der „Vertrauensanker“ für die Prüfung der Widerrufslisten fehlt.

Handlungsempfehlung: Was Nutzer jetzt tun müssen

Die Aufmerksamkeit richtet sich nun auf Millionen Geräte mit nicht mehr unterstützten Betriebssystemen. Besonders Windows-10-Nutzer, die nach dem Support-Ende im Oktober 2025 nicht am Extended-Security-Updates-Programm teilnehmen, sind gefährdet. Ihre Systeme erhalten die 2023er Zertifikate nicht über Standardkanäle und bleiben mit dem Schutz von 2011 „in der Zeit eingefroren“.

Für unterstützte Windows-11- und Enterprise-Linux-Nutzer gilt: Alle monatlichen Sicherheitsupdates installieren und den Status der Secure-Boot-Zertifikate prüfen. Unter Windows zeigt ein einfacher PowerShell-Befehl, ob das „Windows UEFI CA 2023“ in der Signaturdatenbank vorhanden ist.

Für Unternehmen bedeuten die nächsten drei Monate intensives Testen von Deployment-Skripten. Sie müssen auf Firmware-Ebene nach erfolgreichen Update-Signalen suchen. Gelingt der vollständige Wechsel bis Oktober 2026, hat die Computerindustrie ihre kryptografische Basis resilienter gemacht – und ein wichtiges Kapitel in der hardwaregestützten Sicherheit abgeschlossen.

boerse | 68979638 |