In deinem Windows-PC tickt eine leise Zeitbombe — und das Gemeine ist: Die meisten merken nichts davon. Ab dem 26. Juni 2026 beginnen Microsofts Secure-Boot-Zertifikate aus dem Jahr 2011 auszulaufen. Was harmlos klingt, hat handfeste Folgen für deine Sicherheit.
Was da genau passiert
Secure Boot sorgt dafür, dass beim Start nur vertrauenswürdige, signierte Software geladen wird. Die Signaturen hängen an Zertifikaten — und die von 2011 laufen zwischen Juni und Oktober 2026 ab. Danach kann Microsoft mit ihnen keine Boot-Dateien mehr signieren.
GEFAHR: Dein PC bootet weiter — aber ungeschützt
Die gute Nachricht zuerst: Dein Rechner startet auch danach ganz normal. Die schlechte: Die Sicherheit baut still ab. Ohne gültige Zertifikate bekommst du keine Updates mehr für den Windows Boot Manager und keine neuen Einträge in der DBX-Sperrliste (die bekannte Schad-Bootloader blockt). Damit steigt das Risiko für Bootkits — Schadsoftware, die sich noch vor Windows einnistet. Außerdem könnten künftige Funktions-Updates irgendwann nicht mehr installierbar sein.
So schützt du dich
Die Lösung ist das Einspielen der neuen 2023-Zertifikate, bevor die alten ablaufen:
- Windows-Update aktiviert lassen. Für die meisten Nutzer kommen die neuen Zertifikate automatisch über Windows Update — ohne dein Zutun.
- Viele seit 2024 gebaute PCs haben die 2023-Zertifikate bereits ab Werk.
- In Firmen-Umgebungen mit verwalteten Geräten muss die IT die Verteilung aktiv anstoßen und testen — hier ist Handeln gefragt.
EXTRA-TIPP: Auch im Homelab betrifft das deine Windows-VMs und Bare-Metal-Hosts mit Secure Boot. Wer dort Secure Boot nutzt, sollte den Zertifikatswechsel ebenfalls auf dem Schirm haben.
FAZIT: Kein Grund zur Panik, aber ein Grund zum Hinschauen. Lass Windows-Update laufen, prüfe bei älteren Geräten den Zertifikatsstatus — dann tickt die Zeitbombe ins Leere.
Häufige Fragen
Geht mein PC nach dem 26. Juni nicht mehr an?
Woran erkenne ich, ob mein PC die neuen Zertifikate hat?
Muss ich selbst etwas tun?
Quellen: