Einige der bisher verwendeten Secure-Boot-Zertifikate sind Ende Juni 2026 abgelaufen. Microsoft ersetzt diese älteren Zertifikate durch neue Versionen aus dem Jahr 2023.
Das klingt zunächst dramatisch. Du musst aber keine Angst haben, dass Dein Computer plötzlich nicht mehr startet. Auch ein noch nicht aktualisierter PC funktioniert normalerweise weiterhin und erhält gewöhnliche Windows-Updates. Allerdings können künftig wichtige Sicherheitsverbesserungen für den Startvorgang fehlen. Microsoft verteilt die neuen Zertifikate deshalb weiterhin über Windows Update.
In diesem Beitrag erfährst Du, was Secure Boot ist, wie Du den Status Deines PCs prüfst und wann Du tatsächlich etwas unternehmen musst.
Was ist Secure Boot?
Secure Boot bedeutet auf Deutsch „Sicherer Start“.
Die Funktion überprüft bereits beim Einschalten Deines Computers, ob die für den Windows-Start benötigten Programme vertrauenswürdig sind. Dadurch soll verhindert werden, dass sich Schadsoftware vor dem eigentlichen Start von Windows einnistet.
Vereinfacht funktioniert Secure Boot wie eine Eingangskontrolle:
- Du schaltest den Computer ein.
- Die Firmware des Computers überprüft wichtige Startdateien.
- Nur vertrauenswürdige und digital signierte Bestandteile dürfen ausgeführt werden.
- Anschließend startet Windows.
Secure Boot schützt damit einen besonders empfindlichen Bereich des Computers: den Startvorgang.
Was ist 2026 abgelaufen?
Secure Boot selbst ist nicht abgelaufen. Betroffen sind einige digitale Microsoft-Zertifikate, die bereits im Jahr 2011 eingeführt wurden.
Die ersten beiden wichtigen Zertifikate liefen am 24. und 27. Juni 2026 ab. Ein weiteres Zertifikat, das unter anderem den Windows-Startmanager betrifft, läuft am 19. Oktober 2026 ab. Sie werden durch neue Zertifikate aus dem Jahr 2023 ersetzt.
Du musst diese Zertifikate nicht kaufen. Bei einem gewöhnlichen privaten Windows-PC sollen sie automatisch über Windows Update installiert werden.
Ist mein Computer gefährdet?
Nicht automatisch.
Falls Dein Computer die neuen Zertifikate noch nicht erhalten hat, startet er in der Regel trotzdem weiterhin normal. Auch normale Windows-Updates werden weiterhin installiert. Microsoft weist jedoch darauf hin, dass künftig möglicherweise neue Schutzmaßnahmen für den frühen Startvorgang nicht mehr eingespielt werden können.
Das betrifft beispielsweise den Schutz vor neu entdeckter Schadsoftware, die bereits vor Windows aktiv werden möchte.
Deshalb gilt:
Dein Computer wird nicht plötzlich unbrauchbar. Trotzdem solltest Du jetzt prüfen, ob die Umstellung bereits abgeschlossen wurde.
Werden die neuen Zertifikate automatisch installiert?
Bei den meisten privaten Computern erfolgt die Aktualisierung automatisch über Windows Update.
Microsoft verteilt die neuen Zertifikate jedoch nicht auf allen Geräten gleichzeitig. Auch im Juli 2026 werden sie weiterhin schrittweise über Windows Update installiert. Manche Computer benötigen zusätzlich ein BIOS- oder UEFI-Update des Geräteherstellers.
Es ist daher möglich, dass:
- Dein Computer bereits vollständig aktualisiert wurde,
- die Aktualisierung noch aussteht,
- oder ein Firmware-Update des Herstellers erforderlich ist.
Zuerst prüfen: Ist Secure Boot aktiviert?
Bevor Du den Zertifikatstatus kontrollierst, solltest Du prüfen, ob Secure Boot auf Deinem Computer grundsätzlich eingeschaltet ist.
Prüfung mit der kostnix-web.de – Windows Toolbox
Die kostenlose kostnix-web.de – Windows Toolbox zeigt Dir den Secure-Boot-Status übersichtlich an.
Öffne in der Toolbox:
Systeminformationen → Windows
Im Bereich Sicherheit werden unter anderem folgende Angaben angezeigt:
- Secure Boot
- TPM
- Firewall
- Windows Defender
- Benutzerkontensteuerung
Steht bei Secure Boot der Wert „Ja“, ist der sichere Start auf Deinem Computer aktiviert.
Wichtig: Die Anzeige „Secure Boot: Ja“ bestätigt, dass die Funktion eingeschaltet ist. Sie bestätigt noch nicht, dass bereits alle neuen Zertifikate aus dem Jahr 2023 installiert wurden.
Die Toolbox verändert bei dieser Prüfung nichts an Deinem Computer. Sie liest lediglich vorhandene Windows-Informationen aus.

Secure Boot ohne Toolbox prüfen
Du kannst die Funktion auch direkt mit Windows kontrollieren:
- Drücke gleichzeitig Windows-Taste + R.
- Gib
msinfo32ein. - Klicke auf OK.
- Suche nach dem Eintrag Sicherer Startzustand.

Mögliche Anzeigen sind:
- Ein: Secure Boot ist aktiviert.
- Aus: Secure Boot ist deaktiviert.
- Nicht unterstützt: Der PC verwendet möglicherweise den älteren BIOS-Modus oder unterstützt Secure Boot nicht.
Beim Eintrag BIOS-Modus sollte normalerweise UEFI stehen.
So prüfst Du den Zertifikatstatus
Microsoft hat die Windows-Sicherheits-App um eine Anzeige für die Secure-Boot-Zertifikate erweitert. Sie befindet sich unter:
Windows-Sicherheit → Gerätesicherheit → Sicherer Start
Dort soll Windows anzeigen, ob die neuen Zertifikate bereits installiert wurden oder ob noch Handlungsbedarf besteht. Diese Anzeige wird seit April 2026 schrittweise bereitgestellt. Daher kann sie je nach Windows-Version und Update-Stand etwas unterschiedlich aussehen.

Achte nicht nur auf das Symbol, sondern auch auf den erklärenden Text.
Was bedeuten die Hinweise in der Windows-Sicherheit?
Alles ist aktuell
Zeigt Windows an, dass Secure Boot aktiviert ist und alle erforderlichen Zertifikatupdates angewendet wurden, musst Du nichts weiter unternehmen.
Dein Computer ist in diesem Bereich auf dem aktuellen Stand.
Ältere Konfiguration erkannt
Windows kann darauf hinweisen, dass Secure Boot zwar aktiv ist, aber noch eine ältere Startkonfiguration verwendet wird.
Gehe dann so vor:
- Öffne Einstellungen → Windows Update.
- Klicke auf Nach Updates suchen.
- Installiere alle angebotenen Updates.
- Starte den Computer neu.
- Suche anschließend erneut nach Updates.
Da Microsoft die Zertifikate weiterhin gestaffelt verteilt, kann es sinnvoll sein, den Status nach einigen Tagen noch einmal zu kontrollieren.
Gelbe Warnung
Eine gelbe Warnung bedeutet, dass eine Empfehlung oder Einschränkung vorliegt.
Mögliche Ursachen sind:
- Die neuen Zertifikate wurden noch nicht installiert.
- Die Aktualisierung wurde vorübergehend zurückgestellt.
- Die Firmware des Computers verhindert die automatische Aktualisierung.
- Ein BIOS- oder UEFI-Update des Herstellers ist notwendig.
Microsoft nennt die Windows-Sicherheits-App als einfachste Möglichkeit, um zu erkennen, ob der PC aktuell ist oder ein Firmware-Update benötigt.
Rote Warnung
Eine rote Warnung solltest Du nicht ignorieren. Sie kann bedeuten, dass eine neue Sicherheitsverbesserung wegen der alten Startkonfiguration nicht installiert werden kann.
Prüfe dann:
- Sind alle Windows-Updates installiert?
- Wurde der Computer vollständig neu gestartet?
- Gibt es ein BIOS- oder UEFI-Update für Deinen PC?
- Wird Deine Windows-Version noch mit Sicherheitsupdates versorgt?
Zusätzliche Prüfung mit PowerShell
Möchtest Du genauer prüfen, ob Secure Boot aktiv ist und ob Windows die neuen Zertifikate aus dem Jahr 2023 bereits erkennt, kannst Du das folgende PowerShell-Skript verwenden.
Das Skript liest ausschließlich vorhandene Informationen aus. Es verändert keine Einstellungen, installiert keine Zertifikate und nimmt keine Änderungen am BIOS oder UEFI vor.

Die Ausgabe zeigt Dir unter anderem:
- ob Secure Boot aktiviert ist,
- ob Windows die Zertifikataktualisierung als abgeschlossen meldet,
- und ob die neuen Secure-Boot-Zertifikate in den UEFI-Datenbanken gefunden werden.
Öffne dazu PowerShell als Administrator, kopiere das vollständige Skript in das Fenster und bestätige die Ausführung mit der Eingabetaste.
Ein fehlendes Zertifikat oder eine gelbe Meldung bedeutet nicht automatisch, dass Dein Computer unsicher ist. Installiere zunächst alle Windows-Updates und prüfe zusätzlich den Hinweis in der Windows-Sicherheits-App.
# Dieses Skript liest nur Informationen aus.
# Es verändert keine Secure-Boot-Einstellungen.
Write-Host "Secure-Boot-Prüfung" -ForegroundColor Cyan
Write-Host "--------------------"
try {
$secureBootAktiv = Confirm-SecureBootUEFI
if ($secureBootAktiv) {
Write-Host "Secure Boot ist aktiviert." -ForegroundColor Green
}
else {
Write-Host "Secure Boot ist deaktiviert." -ForegroundColor Yellow
}
}
catch {
Write-Host "Der Secure-Boot-Status konnte nicht ausgelesen werden."
Write-Host "Möglicherweise verwendet der PC kein UEFI oder unterstützt die Abfrage nicht."
return
}
try {
$status = Get-ItemPropertyValue `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing" `
-Name "UEFICA2023Status" `
-ErrorAction Stop
if ($status -eq "Updated") {
Write-Host "Windows meldet die Zertifikataktualisierung als abgeschlossen." `
-ForegroundColor Green
}
else {
Write-Host "Windows meldet folgenden Aktualisierungsstatus: $status" `
-ForegroundColor Yellow
}
}
catch {
Write-Host "Windows meldet keinen eindeutigen Aktualisierungsstatus." `
-ForegroundColor Yellow
}
try {
$kekText = [System.Text.Encoding]::ASCII.GetString(
(Get-SecureBootUEFI -Name KEK).Bytes
)
$dbText = [System.Text.Encoding]::ASCII.GetString(
(Get-SecureBootUEFI -Name db).Bytes
)
$kek2023 = $kekText -match "Microsoft Corporation KEK 2K CA 2023"
$windowsCa2023 = $dbText -match "Windows UEFI CA 2023"
$microsoftCa2023 = $dbText -match "Microsoft UEFI CA 2023"
Write-Host ""
Write-Host "Gefundene Zertifikate:"
Write-Host "Microsoft Corporation KEK 2K CA 2023: $kek2023"
Write-Host "Windows UEFI CA 2023: $windowsCa2023"
Write-Host "Microsoft UEFI CA 2023: $microsoftCa2023"
}
catch {
Write-Host ""
Write-Host "Die UEFI-Zertifikatsdatenbanken konnten nicht vollständig ausgelesen werden." `
-ForegroundColor Yellow
}
Write-Host ""
Write-Host "Hinweis: Dieses Skript nimmt keine Änderungen am Computer vor."
Was solltest Du jetzt konkret tun?
Für die meisten Nutzer reichen diese Schritte:
1. Secure Boot prüfen
Kontrolliere mit der kostnix-web.de – Windows Toolbox oder über msinfo32, ob Secure Boot aktiviert ist.
2. Windows vollständig aktualisieren
Öffne:
Einstellungen → Windows Update
Klicke auf Nach Updates suchen und installiere alle wichtigen Updates.
3. Computer neu starten
Nutze im Startmenü ausdrücklich:
Ein/Aus → Neu starten
Ein Neustart ist wichtig, weil bestimmte Änderungen erst beim nächsten Start übernommen werden.
4. Noch einmal nach Updates suchen
Öffne Windows Update nach dem Neustart erneut. Manche Aktualisierungen werden erst angeboten, nachdem vorherige Updates vollständig installiert wurden.
5. Windows-Sicherheit kontrollieren
Öffne anschließend:
Windows-Sicherheit → Gerätesicherheit → Sicherer Start
Prüfe dort den angezeigten Hinweis.
Benötige ich ein BIOS-Update?
Nicht jeder Computer benötigt ein BIOS- oder UEFI-Update.
Ein solches Update kann erforderlich sein, wenn die Firmware des Computers die neuen Zertifikate nicht korrekt übernehmen kann. Windows sollte dann einen entsprechenden Hinweis anzeigen.
Besuche in diesem Fall ausschließlich die offizielle Supportseite Deines:
- Notebookherstellers,
- PC-Herstellers,
- oder Mainboardherstellers.
Installiere nur ein Update, das ausdrücklich für Dein genaues Modell angeboten wird.
Vor einem BIOS-Update: BitLocker-Schlüssel sichern
Bei vielen Windows-11-Computern ist BitLocker oder die Geräteverschlüsselung aktiviert.
Nach einem BIOS- oder UEFI-Update wird der BitLocker-Schlüssel normalerweise nicht benötigt. Verändert das Update jedoch sicherheitsrelevante Merkmale des Startvorgangs, kann BitLocker beim nächsten Start vorsichtshalber den Wiederherstellungsschlüssel verlangen. Deshalb solltest Du vor einem Firmware-Update prüfen, ob Du Zugriff auf diesen Schlüssel hast.
Dieser Schlüssel besteht aus 48 Ziffern. Ohne ihn kannst Du möglicherweise nicht mehr auf Deine verschlüsselten Daten zugreifen.
Prüfe deshalb vor einem BIOS-Update, ob Du den Wiederherstellungsschlüssel gesichert hast.
In der kostnix-web.de – Windows Toolbox findest Du unter:
Systeminformationen → Windows → Aktionen
eine Schaltfläche BitLocker. Sie öffnet die entsprechende originale Windows-Funktion.
Die Toolbox verändert den BitLocker-Status nicht automatisch.
Sollte ich Secure-Boot-Schlüssel selbst verändern?
Nein.
Als unerfahrener Nutzer solltest Du keine Secure-Boot-Schlüssel löschen, zurücksetzen oder manuell ersetzen.
Falsche Änderungen können dazu führen, dass:
- Windows nicht mehr startet,
- BitLocker den Wiederherstellungsschlüssel verlangt,
- ein zusätzlich installiertes Betriebssystem nicht mehr startet,
- oder die bisherige Secure-Boot-Konfiguration verloren geht.
Verwende keine unbekannten PowerShell-Befehle oder Registry-Anleitungen aus Foren. Für einen normalen privaten PC ist die Aktualisierung über Windows Update und gegebenenfalls über den Gerätehersteller der sicherste Weg.
Was tun, wenn Secure Boot deaktiviert ist?
Zeigt die Toolbox bei Secure Boot „Nein“ an, solltest Du die Funktion nicht einfach im BIOS einschalten.
Vorher muss unter anderem geprüft werden:
- Läuft Windows bereits im UEFI-Modus?
- Verwendet die Systemfestplatte den richtigen Partitionsstil?
- Ist BitLocker aktiv?
- Ist ein zweites Betriebssystem installiert?
- Unterstützt die Hardware Secure Boot vollständig?
Bei einer ungeeigneten Konfiguration kann Windows nach dem Einschalten möglicherweise nicht mehr starten.
Häufige Fragen
Läuft Secure Boot 2026 ab?
Nein. Secure Boot selbst läuft nicht ab. Betroffen sind ältere Microsoft-Zertifikate aus dem Jahr 2011.
Startet mein Computer weiterhin?
In der Regel ja. Auch gewöhnliche Windows-Updates werden weiterhin installiert. Neue Schutzmaßnahmen für den Startvorgang können jedoch fehlen.
Muss ich ein Zertifikat kaufen?
Nein. Die neuen Zertifikate werden über Windows Update und gegebenenfalls über ein Firmware-Update bereitgestellt.
Reicht die Anzeige „Secure Boot: Ja“ in der Toolbox?
Sie bestätigt, dass Secure Boot aktiviert ist. Den Stand der Zertifikataktualisierung prüfst Du zusätzlich in der Windows-Sicherheits-App.
Muss ich sofort ein BIOS-Update installieren?
Nur wenn Windows oder Dein Gerätehersteller darauf hinweist. Installiere keine Firmware eines anderen Modells.
Warum ist das Thema im Juli 2026 noch aktuell?
Weil Microsoft die neuen Zertifikate auch nach den ersten Ablaufdaten weiterhin über Windows Update verteilt. Noch nicht aktualisierte Computer funktionieren zwar weiter, sollten aber kontrolliert werden.
Fazit
Die ersten alten Secure-Boot-Zertifikate sind inzwischen abgelaufen. Trotzdem besteht kein Grund zur Panik.
Ein noch nicht aktualisierter Computer startet normalerweise weiterhin und erhält gewöhnliche Windows-Updates. Damit Dein PC aber auch künftig neue Schutzmaßnahmen für den Startvorgang erhält, sollten die neuen Zertifikate aus dem Jahr 2023 installiert sein.
Für die meisten Nutzer genügt es:
- Secure Boot mit der kostnix-web.de – Windows Toolbox zu prüfen.
- Alle Windows-Updates zu installieren.
- Den Computer neu zu starten.
- Den Zertifikatstatus in der Windows-Sicherheit zu kontrollieren.
Nur wenn dort weiterhin eine Warnung erscheint, solltest Du zusätzlich nach einem BIOS- oder UEFI-Update des Geräteherstellers suchen.
Nimm keine eigenen Änderungen an den Secure-Boot-Schlüsseln vor. Windows Update und die offiziellen Updates des Herstellers sind für unerfahrene Nutzer der sicherste Weg.












0 Kommentare