Mai-Patch-Tuesday: Secure-Boot-Cert-Frist 26. Juni 2026

Microsoft schickt heute den Mai-Patch-Tuesday in die Welt. Was nach Routine klingt, ist der wichtigste Patch des Jahres. Grund: Die Secure-Boot-Zertifikate von 2011 laufen am 26. Juni 2026 ab. Wer bis dahin nicht migriert hat, sitzt auf einem Geraet, das in einer degradierten Sicherheitslage hoekt.

SCHOCK: 47 Tage bis zur Cert-Apokalypse

Microsoft Corporation KEK CA 2011 und Microsoft UEFI CA 2011 expirieren beide im Juni 2026. Die Microsoft Windows Production PCA 2011, die den Bootloader signiert, kippt im Oktober. Klingt technisch? Ist es. Aber die Konsequenzen sind brutal:

Geraete ohne 2023er-CAs koennen keine neuen Bootloader mehr verifizieren.
Sicherheitsupdates fuer das Boot-Stadium sind nicht mehr signiert.
Manche aelteren PCs (vor 2024) kriegen keinen vollwertigen Update-Pfad mehr.

Microsoft baut deshalb in Windows 11 ab Mai eine Warn-Anzeige ein: ein gelbes Caution-Badge im Windows-Security-App, wenn der Cert-Update-Pfad blockiert ist.

So checkst du DEINEN Cert-Status

Windows-Security-App oeffnen.
Geraetesicherheit › Sichere Boot-Konfiguration.
Status pruefen: „2023 CA installiert“ — gut. „Update erforderlich“ — handeln.
Alternativ in PowerShell: Get-SecureBootUEFI -Name PK.

Bei zentral gemanagten Flotten: Microsoft Configuration Manager hat in der Mai-Build ein neues Reporting-Pack — Geraete pro Standort, pro Cert-Status, pro Update-Block.

UND was, wenn der Update-Pfad blockiert ist?

Manche Geraete haben Hardware-Beschraenkungen. Vor allem aelterer OEM-Hardware mit nicht updatebaren UEFI-Implementierungen. Die Optionen:

OEM-Firmware-Update: beim Hersteller pruefen, ob ein UEFI-Update verfuegbar ist.
Manuelles Cert-Update: via Microsoft-Toolset, dokumentiert im Secure-Boot-Playbook.
Geraete-Tausch: Letzter Ausweg fuer EOL-Hardware, vor allem in Behoerden- und Krankenhaus-Umgebungen.

EXTRA-TIPP: Linux-User auch betroffen

Wer ein Dual-Boot-System mit Windows und Ubuntu, RHEL oder Fedora hat: Auch die Linux-Distros nutzen die Microsoft-CAs fuer Shim-Verifizierung. Red Hat hat schon im Februar einen Migrations-Playbook publiziert. Ubuntu liefert mit 24.10+ die 2023-CAs out-of-the-box, aeltere Releases brauchen ein Update der shim-signed-Pakete.

FAZIT: Letzte Chance fuer ruhige Updates

Wenn du nach diesem Patch-Tuesday nichts machst, hast du einen Monat Zeit fuer den Juni-Patch — danach gibt es keine routinierte Roll-out-Welle mehr. Die meisten IT-Abteilungen haben sich bereits auf Mai festgelegt. Mach mit.

Haeufige Fragen

Welche Geraete sind betroffen?

Alle Windows-Geraete, die Secure Boot mit den 2011-CAs nutzen — also der Loewenanteil von Geraeten, die vor Mitte 2024 ausgeliefert wurden. Microsoft listet pro Hersteller-OEM, ob UEFI-Updates verfuegbar sind. Auch Linux-Distros mit Shim sind betroffen, wenn sie die Microsoft-CAs zur Verifikation nutzen.

Wie merke ich, ob mein Geraet OK ist?

Windows-Security-App, dann Geraetesicherheit, dann Sichere-Boot-Konfiguration. Alternativ PowerShell: Get-SecureBootUEFI -Name KEK liefert die installierten Schluessel. Wer die 2023-CA sieht, ist sauber. Wer nur die 2011-CA hat, muss handeln.

Wie behebe ich das Problem konkret?

Mai-Patch-Tuesday installieren — der enthaelt Cert-Update-Logik. Reboot. Dann erneut den Status pruefen. Falls blockiert: Hersteller-Firmware-Update einspielen oder das Microsoft-Secure-Boot-Playbook befolgen. Bei Behoerden oder regulierten Umgebungen frueh mit dem Compliance-Team abstimmen.

Gab es schon aktive Angriffe?

Nicht direkt auf den Cert-Ablauf. Aber: jede Verzoegerung beim Cert-Update verlaengert das Zeitfenster fuer Bootkit-Attacken (BlackLotus, Black Mamba), die genau auf veraltete Cert-Stacks abzielen.

Quellen: Microsoft: Secure Boot Playbook 2026, Microsoft: Act now, Secure Boot certificates expire in June 2026, Red Hat: Secure Boot Certificate Changes 2026.

WINDOWS-ALARM! Secure-Boot-Apokalypse rueckt JETZT 47 TAGE naeher — DEIN PC kann am 26. Juni IM EIMER sein