Juni-Patchday 2026: Secure-Boot-dbx mit Deploy-Risiko

Morgen ist Patchday — und dieser hat es in sich. Am 9. Juni rollt Microsoft seine monatlichen Sicherheitsupdates aus. Normalerweise heißt das einfach: installieren und gut. Diesmal solltest du aber kurz innehalten, denn ein Teil des Updates kann im schlimmsten Fall dafür sorgen, dass dein PC danach nicht mehr startet.

UNGLAUBLICH: Ein Update gegen den Boot-Vorgang?

Der Juni-Patchday gilt als die letzte planmäßige Gelegenheit vor einer wichtigen Frist: Am 26. Juni laufen die alten Microsoft-Secure-Boot-Zertifikate aus dem Jahr 2011 aus. Damit Systeme weiter geschützt bleiben, schiebt Microsoft Updates für die sogenannte Secure-Boot-Sperrliste (dbx) nach.

Diese dbx-Liste sagt deinem Rechner, welche Boot-Komponenten als unsicher gelten und nicht mehr starten dürfen. Das ist sinnvoll — aber riskant: Wer noch ältere Bootloader, ein Dual-Boot-Setup mit Linux oder ungewöhnliche Boot-Konfigurationen nutzt, kann nach dem Update plötzlich vor einem nicht startenden System stehen.

GEFAHR für Homelab und Dual-Boot

Besonders aufpassen sollten alle, die mehr als nur ein Standard-Windows fahren: Dual-Boot-PCs mit Linux, selbstgebaute Boot-Sticks, virtualisierte Umgebungen oder ältere Hardware. Genau dort sitzen oft Boot-Komponenten, die von der neuen Sperrliste betroffen sein könnten.

EXTRA: Diese Lücken werden außerdem gestopft

Der Patchday bringt nicht nur das Secure-Boot-Thema. Microsoft liefert auch den Fix für eine bereits aktiv ausgenutzte Exchange-Server-Lücke (CVE-2026-42897, CVSS 8.1) aus, vor der schon gewarnt wurde. Wer einen eigenen Exchange-Server betreibt, sollte hier nicht zögern.

So gehst du auf NUMMER SICHER

1. Backup zuerst: Lege vor dem Update eine vollständige Sicherung an. Das ist die wichtigste Versicherung gegen ein nicht mehr startendes System.

2. Secure-Boot-Status prüfen: Unter Windows zeigt dir msinfo32, ob Secure Boot aktiv ist. So weißt du, ob dich das dbx-Thema überhaupt betrifft.

3. Nicht blind alles sofort: Auf produktiven Systemen und im Homelab lohnt es sich, das Update erst auf einem Testgerät einzuspielen, bevor du es überall verteilst.

4. Recovery bereithalten: Halte einen Windows-Wiederherstellungs-Stick und deine BitLocker-Schlüssel griffbereit — falls doch etwas klemmt.

FAZIT: Updaten ja, aber mit Plan

Sicherheitsupdates gehören eingespielt, gar keine Frage. Aber dieser Patchday verlangt einen Moment Vorbereitung. Mit Backup und einem Blick auf den Secure-Boot-Status nimmst du dem Zeitzünder die Spannung — und bleibst trotzdem geschützt.

Häufige Fragen

Was ist das Secure-Boot-dbx-Update überhaupt?

Die dbx ist eine Sperrliste im UEFI deines PCs. Sie enthält Boot-Komponenten, die als unsicher gelten und nicht mehr ausgeführt werden dürfen. Microsoft erweitert diese Liste, um auslaufende Zertifikate von 2011 abzulösen. Das erhöht die Sicherheit, kann aber ältere Boot-Setups blockieren.

Lohnt sich das Update sofort oder kann ich warten?

Die Sicherheitsupdates solltest du zeitnah einspielen, gerade den Exchange-Fix. Beim dbx-Teil ist etwas Vorsicht angebracht: Mit einem Backup und einem kurzen Test auf einem Einzelgerät bist du auf der sicheren Seite, bevor du es flächendeckend ausrollst.

Bricht das Update mein Dual-Boot mit Linux?

Möglich, aber nicht zwangsläufig. Gefährdet sind vor allem ältere oder ungewöhnliche Bootloader. Aktuelle Linux-Distributionen mit gültig signierten Boot-Komponenten sind meist unkritisch. Ein vorheriges Backup und ein Recovery-Stick geben dir trotzdem Sicherheit.

Wie führe ich das Update sicher durch?

Erst ein vollständiges Backup anlegen, dann mit msinfo32 den Secure-Boot-Status prüfen. Auf wichtigen Systemen das Update zunächst auf einem Testgerät einspielen. BitLocker-Schlüssel und einen Wiederherstellungs-Stick bereithalten — danach kannst du beruhigt installieren.

ZEITZÜNDER IM PC! Microsofts Patchday MORGEN kann deinen Rechner vom Start abhalten — DAS musst du vorher wissen