Juli 2026
Autor des Beitrags
Attila
Senior Engineer Virtualization
Veröffentlicht am
09.07.2026 von Attila
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter

Secure Boot 2026: Warum Unternehmen jetzt handeln sollten

 

Im Jahr 2026 laufen mehrere zentrale Secure-Boot-Zertifikate von Microsoft ab. Was zunächst wie ein technisches Detail wirkt, kann in der Praxis weitreichende Folgen haben: Systeme, deren Firmware die neuen Zertifikate nicht kennt oder aktualisieren kann, riskieren künftig Probleme bei Bootloader-Updates – im schlimmsten Fall startet das Betriebssystem nach einem Sicherheitsupdate nicht mehr.

Viele Unternehmen verlassen sich darauf, dass Windows Updates die notwendigen Änderungen automatisch durchführen. Genau das funktioniert jedoch nicht in jeder Umgebung. Abhängig von Firmware, Hardwarehersteller oder Virtualisierungsplattform können manuelle Maßnahmen erforderlich werden.

In diesem Beitrag erfahren Sie, welche Stichtage relevant sind, warum die Zertifikatsumstellung wichtig ist und wie Sie prüfen, ob Ihre physischen und virtuellen Systeme für die Änderungen vorbereitet sind.

Was ist Secure Boot?

 

Secure Boot ist eine Sicherheitsfunktion moderner Computer, die verhindert, dass beim Starten des Systems nicht vertrauenswürdige oder manipulierte Software geladen wird. Beim Einschalten prüft Secure Boot, ob die Firmware (UEFI) und das Betriebssystem mit gültigen, vom Hersteller signierten Zertifikaten versehen sind. Nur wenn diese Signaturen stimmen, wird der Bootvorgang fortgesetzt. Dadurch wird das Risiko von Schadsoftware, Rootkits oder unerwünschten Änderungen am Systemstart deutlich reduziert. Secure Boot ist vor allem in Unternehmensumgebungen und bei aktuellen Windows-Versionen ein wichtiger Bestandteil der Gerätesicherheit.

Wie funktioniert Secure Boot?

 

Microsoft stellt zwar kein einzelnes, offizielles “Riesen-Poster” als Flowchart bereit, aber der Prozess lässt sich in eine klare logische Kette unterteilen. Das Prinzip nennt sich Chain of Trust (Vertrauenskette): Jede Komponente überprüft die Signatur der nächsten, bevor sie diese ausführt.

Hier ist die detaillierte Funktionsweise:

1. Die Schlüssel-Hierarchie (Die Datenbanken)

Damit die Validierung funktioniert, nutzt das UEFI-BIOS vier Datenbanken, die im NVRAM (dem Speicher des Mainboards) liegen:

2. Der Boot-Ablauf (Das Flowchart im Detail)

Beim Einschalte des PCs läuft folgender Prozess ab:

  1. Hardware-Start: Die CPU startet die UEFI-Firmware.

  2. Firmware-Selbsttest: Die Firmware prüft ihre eigene Integrität. Wenn alles okay ist, sucht sie nach dem Bootloader (z.B. bootmgfw.efi).

  3. Signatur-Extraktion: Die Firmware liest die digitale Signatur aus der Bootloader-Datei aus.

  4. Die Sperr-Prüfung (dbx):

    • Die Firmware prüft, ob der Hash des Bootloaders in der dbx steht.

    • Falls ja: Boot-Vorgang wird sofort abgebrochen (Security Violation).

  5. Die Erlaubnis-Prüfung (db):

    • Die Firmware prüft, ob die Signatur mit einem Zertifikat in der db übereinstimmt (z.B. dem Microsoft Windows Production PCA).

    • Falls gültig: Die Firmware führt den Bootloader aus.

    • Falls ungültig: Der Start wird blockiert.

  6. Übergabe an Windows: Der Windows Boot Manager übernimmt und verifiziert nach dem gleichen Prinzip den Windows-Kernel, die Treiber und das ELAM-Modul (Frühstart-Antiviren-Programm).

Die kritischen Stichtage 2026

 

Entgegen der häufigen Annahme gibt es keinen einzelnen Stichtag, an dem Systeme plötzlich nicht mehr starten. Microsoft verwendet verschiedene Zertifikate für unterschiedliche Aufgaben im Secure-Boot-Prozess – entsprechend laufen sie zu unterschiedlichen Zeitpunkten im Jahr 2026 ab. Entscheidend ist dabei weniger das eigentliche Ablaufdatum als die Zeit danach: Sobald Microsoft sicherheitsrelevante Updates für den Windows Boot Manager oder andere Boot-Komponenten mit den neuen 2023-Zertifikaten signiert, müssen diese Zertifikate bereits auf den betroffenen Systemen vorhanden sein. Dafür müssen die neuen Secure-Boot-Variablen im UEFI-NVRAM des Systems hinterlegt werden. Genau hier liegt jedoch die Herausforderung: Befindet sich ein Gerät beispielsweise im Setup Mode oder verhindert der Hardwarehersteller Änderungen an den Secure-Boot-Variablen, kann Windows die neuen Zertifikate nicht automatisch installieren. In diesem Fall schlagen spätere Bootloader-Updates fehl oder Sicherheitsupdates können nicht mehr eingespielt werden.

Was passiert an diesen Tagen genau?

Entgegen mancher Panikmache werden die PCs im Unternehmen am 24. oder 27. Juni nicht plötzlich den Dienst verweigern oder explodieren. Microsoft hat klargestellt:

  1. Systeme booten weiterhin: Ein bereits installierter Bootloader wird meist auch nach Ablauf des Zertifikats geladen, solange die Firmware den Zeitstempel der Signatur akzeptiert (was die meisten UEFI-Implementierungen tun).

  2. Das Problem ist das „Danach“: Wenn nach diesem Datum ein Sicherheits-Patch für den Windows Boot Manager erscheint (z. B. gegen eine neue Zero-Day-Lücke), wird dieser mit dem neuen 2023er Zertifikat signiert sein. Wenn das BIOS/UEFI dieses neue Zertifikat nicht kennt, wird es das Update ablehnen – das System bleibt auf einem alten, unsicheren Stand hängen oder bootet nach dem Update gar nicht mehr.

Microsoft stellt genau das im April bereit:
https://msrc.microsoft.com/update-guide/releaseNote/2026-Apr

Bin ich betroffen?

 

Mit dem langen Einzeiler lässt sich schön darstellen, welche UEFI-Zertifikate noch fehlen:

$k=[Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).Bytes);$d=[Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).Bytes);[pscustomobject]@{KEK_2023=$k -match 'Microsoft Corporation KEK 2K CA 2023';Windows_UEFI_CA_2023=$d -match 'Windows UEFI CA 2023';Microsoft_UEFI_CA_2023=$d -match 'Microsoft UEFI CA 2023';OptionROM_UEFI_CA_2023=$d -match 'Microsoft Option ROM UEFI CA 2023'}

Wenn man den gebündelten Status verschiedener Werte und deren Ablauf sehen möchte, steht hier ein Skript bereit: SecureBootInventoryDataCollection.ps1

Vorher

Nachher

Wie installiert oder aktualisiert man die Zertifikate?

 

Der Aktualisierungsprozess variiert je nach Mainboard-Hersteller erheblich. Bei HP-Systemen mit „HP Sure Start“ kann es beispielsweise zu Komplikationen kommen, da diese proprietären BIOS-Schutzmechanismen den Schreibzugriff auf das NVRAM einschränken oder das Zurücksetzen der Zertifikate blockieren können.

Physische Rechner

 

Bitlocker Situation

Zu beachten ist auch BitLocker, da bei Manipulationen in diesem Bereich die Daten wieder entschlüsselt werden müssen. Beim normalen OS-/Windows-gesteuerten Einspielen der Microsoft Secure-Boot-2023-Zertifikate ist ein vorheriges Pausieren von BitLocker in der Regel nicht zwingend erforderlich. Microsoft nennt aber explizit, dass bei veralteter Firmware oder fehlgeschlagenen Zertifikatsupdates BitLocker-Recovery-Prompts, Boot-Hänger oder Boot-Fehler auftreten können, deshalb sind Pilotierung, Firmware-Stand und Recovery-Key-Verfügbarkeit wichtig (siehe auch unten bei Referenzen: Update Secure Boot Certificates for Windows Devices).

Es gibt zwei Möglichkeiten, um Kopfschmerzen bei einem potenziellen Fehlerfall vorzubeugen. Entweder pausieren oder den Code zum Entsperren aufschreiben.

1) BitLocker pausieren

Kann übersprungen werden, wenn die Firmware der Hardware aktuell ist.

BitLocker verwalten im Startmenü suchen → Schutz anhalten

oder den PowerShell Befehl ausführen

Suspend-BitLocker -MountPoint "C:" -RebootCount 2

2) Bitlocker Wiederherstellungsschlüssel sichern

Einmal im Entra ID-Konto speichern, falls vorhanden. Anklicken, dauert ein paar Sekunden. Fertig. Keine weiteren Schritte nötig.

Dann Wiederherstellungsschlüssel drucken (sicher ist sicher) → Beliebigen Drucker oder Print to PDF auswählen

OptIn

Nachdem wir die Bedenken bezüglich BitLocker ausgeräumt haben, können wir das Opt-in-Flag zum bevorzugten Installieren des neuen Zertifikats aktivieren.

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "MicrosoftUpdateManagedOptIn" -Value 1 -Type DWord

 

Soll im Registry so aussehen

Update durchführen

Mit dem Registry-Schlüssel können wir das Update bzw. den Rollout der neuen Zertifikate auslösen. Der Wert 0x5944 ist eine Bitmaske und kombiniert mehrere Secure-Boot-Update-Aktionen. Damit werden die relevanten 2023-Zertifikate in KEK bzw. DB ausgerollt und der Windows Boot Manager auf die 2023-signierte Variante aktualisiert. Während der Verarbeitung löscht Windows erfolgreich abgeschlossene Bits automatisch aus AvailableUpdates. Ein temporärer Wert wie 0x4100 zeigt an, dass ein Neustart erforderlich ist, bevor die Boot-Manager-Aktualisierung vollständig abgeschlossen werden kann.

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

 

Nach dem Setzen des Registry-Werts wird der Update-Prozess durch Windows verarbeitet. Je nach Systemzustand und Firmware kann hierfür ein Neustart erforderlich sein.

Secure Boot Update Task ausführen

Mit dem Task werden die eigentlichen Aufgaben gestartet. Die obigen Registry-Werte sind die Voraussetzung, dass dieser Task die Arbeit tatsächlich durchführt.

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

1.

Dauer ca. 2 Minuten

2.

Danach änderte sich der Wert von AvailableUpdates auf 4000 in meinem Fall

4. System neustarten

Nach dem Neustart soll die Abfrage ähnlich aussehen

Wenn am Ende Updated beim Status steht, soll alles in Ordnung sein

Wenn es mal nicht so rund läuft

Dies kann zu einem zufälligen vollständigen Systemfreeze führen, der nur durch langes Drücken des Power-Buttons zum kontrollierten Herunterfahren gebracht werden kann, da der Prozess wiederholt versucht wurde, jedoch nicht ausgeführt werden konnte.

Man kann danach unter Windows Events bei der TPM-WMI Quelle (EventID 1801) folgende Meldung sehen:

Abhilfe können folgende PowerShell Befehle schaffen:

Voraussetzungen und Checks:

Install-Module UEFIv2 -Force
Get-UEFISecureBootCerts db | select SignatureSubject
Get-UEFISecureBootCerts kek | select SignatureSubject

Update forcieren

WinCsFlags.exe /apply --key "F33E0C8E002"
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Wenn fertig, Flag wieder zurückdrehen

WinCsFlags.exe /apply --key "F33E0C8E001"

 

Citrix

 

Eine Aktualisierung des NVRAMs ist bei Citrix-VMs nicht ohne Weiteres möglich, da diese Informationen aus der Metadatensammlung des Templates bezogen und nicht dynamisch vom Betriebssystem überschrieben werden können. Administratoren müssen hier das Basis-Template aktualisieren und die betroffenen VMs neu aus dem geänderten Template bereitstellen (Re-provisioning). Siehe auch für PVS:

VMWare and XenServer based PVS Targets using Secure Boot Become Unbootable After Applying Windows Updates to the vDisk

Hier ist ein Skript für XenServer um eine Übersicht erstellen zu können:

#!/bin/bash

# Print Table Header
printf "%-30s | %-36s | %-12s | %-36s | %-12s\n" "VM Name" "KEK GUID" "KEK 2023" "DB GUID" "DB 2023"
echo "$(printf '%0.s-' {1..140})"

# Get list of all VM UUIDs
vms=$(xe vm-list is-control-domain=false params=uuid --minimal | tr ',' ' ')

for vm_uuid in $vms; do
    vm_name=$(xe vm-list uuid=$vm_uuid params=name-label --minimal)

    # Discover all GUIDs present in this VM's varstore
    mapfile -t guids < <(varstore-ls "$vm_uuid" 2>/dev/null | awk '{print $1}' | sort -u)

    kek_guid=""
    kek_status="MISSING"
    db_guid=""
    db_status="MISSING"

    for guid in "${guids[@]}"; do
        # Discover variable names under this GUID
        mapfile -t varnames < <(varstore-ls "$vm_uuid" 2>/dev/null | awk -v g="$guid" '$1==g {print $2}')

        for varname in "${varnames[@]}"; do
            lower_var=$(echo "$varname" | tr '[:upper:]' '[:lower:]')

            if [[ "$lower_var" == "kek" ]]; then
                kek_guid="$guid"
                if varstore-get "$vm_uuid" "$guid" "$varname" 2>/dev/null | strings | grep -q "2023"; then
                    kek_status="INSTALLED"
                else
                    kek_status="MISSING"
                fi
            fi

            if [[ "$lower_var" == "db" ]]; then
                db_guid="$guid"
                if varstore-get "$vm_uuid" "$guid" "$varname" 2>/dev/null | strings | grep -q "2023"; then
                    db_status="INSTALLED"
                else
                    db_status="MISSING"
                fi
            fi
        done
    done

    printf "%-30s | %-36s | %-12s | %-36s | %-12s\n" \
        "$vm_name" \
        "${kek_guid:-NOT FOUND}" "$kek_status" \
        "${db_guid:-NOT FOUND}" "$db_status"
done

VMware

 

VMware-Tipp: Das Löschen der .nvram-Datei erzwingt eine Neukonfiguration der UEFI-Variablen beim Neustart. Mit vSphere 8.0 Update 3h (oder vSphere 9) werden dabei automatisch die neuen, gültigen Zertifikate hinterlegt. Beachte jedoch, dass durch das Zurücksetzen eventuell manuell konfigurierte Boot-Einträge verloren gehen und nach dem Neustart neu eingerichtet werden müssen.

AVD

 

Microsoft stellt für Azure Virtual Desktop eine eigene Referenz zum Secure-Boot-2023-Zertifikatsupdate bereit. Darin wird beschrieben, welche AVD-Session-Hosts und Golden Images betroffen sind, wie der Update-Status überwacht werden kann und welche Rollout-Methoden, z. B. Intune, GPO, Registry oder Windows Update, unterstützt werden.

Secure Boot Certificate Updates for Azure Virtual Desktop – Microsoft Support


Fazit

Es gibt sowohl auf materieller als auch auf virtueller Ebene Handlungsbedarf, um unangenehmen Überraschungen aus dem Weg zu gehen.

Auf physischen Rechnern sollte man sich vorab informieren, ob der Hardwarehersteller Besonderheiten vorsieht, die beachtet werden müssen, und den oben beschriebenen Prozess entsprechend anpassen.

Für die virtuelle Welt empfehlen wir generell, die betroffenen VMs, Clones und Kataloge mit neuen Templates neu aufzubauen. Das Klonen einer alten VM kann später zu unerwarteten Problemen führen: Stammt das Zertifikat im Katalog aus dem alten Master oder Template, erhält ein frisch erstelltes System weiterhin das alte Zertifikat und kann nicht mehr hochfahren und dadurch auch nicht gepatcht werden.


 

Weitere Links zum Thema:

 

Microsoft-Anleitung für Secure-Boot-Zertifikate von Windows Servern | heise online

Windows Server Secure Boot playbook for certificates expiring in 2026 | Microsoft Community Hub

Sample Secure Boot Inventory Data Collection script – Microsoft Support

Secure Boot Certificate updates: Guidance for IT professionals and organizations – Microsoft Support

Registry key updates for Secure Boot: Windows devices with IT-managed updates – Microsoft Support

January 13, 2026—KB5073724 (OS Builds 19045.6809 and 19044.6809) – Microsoft Support

https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-security/update-secure-boot-certificates

https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are?page=2#answers

Secure Boot certificates have been updated but are not yet applied – Microsoft Q&A

Sie möchten mehr Infos?

Wir sind für Sie da.

Bei welchem Projekt oder welcher Herausforderung dürfen wir Sie unterstützen?
Wir sind gerne für Sie da.

 

HEIKO WESSELS

+49 89 71040920

heiko@provectus.de

 

Zum Kontaktformular

 

Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an

Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.

Zur Newsletter Anmeldung 

Blogbeitrag

Echtes Zero Trust im Citrix-Workspace mit deviceTRUST

Conditional Access prüft beim Login, deviceTRUST während der gesamten Citrix-Session: kontinuierlich und kontextbasiert. Wie du deine Citrix-Umgebung zu einem Zero-Trust-Workspace weiterentwickelst, der Security-Anforderungen und Alltag der Fachbereiche zusammenbringt.
Weiterlesen
Blogbeitrag

Secure Boot 2026: Warum Unternehmen jetzt handeln sollten

2026 laufen wichtige Secure-Boot-Zertifikate ab – erfahren Sie, warum Unternehmen ihre Systeme schon heute prüfen und vorbereiten sollten.
Weiterlesen
Blogbeitrag

KI wirtschaftlich einsetzen: Warum der richtige Workflow wichtiger ist als der Prompt

Mit der verbrauchsabhängigen Abrechnung von Microsoft Copilot Cowork wird Wirtschaftlichkeit im KI-Einsatz zur operativen Frage. Der Artikel zeigt, warum nicht der Prompt, sondern vor allem der passende Workflow über Aufwand, Transparenz und Nutzen entscheidet.
Weiterlesen
Blogbeitrag

US-Urteil zur FTC: Handlungsbedarf für Microsoft-Kunden?

Das Urteil des US Supreme Court zur FTC sorgt für neue Fragen rund um das EU-US Data Privacy Framework. Wir ordnen ein, was das für Microsoft 365, Azure und die nächsten Schritte in der Praxis bedeutet.
Weiterlesen
Blogbeitrag

Die neue Infrastrukturkostenkrise

Hardwarepreise steigen, Virtualisierungslizenzen werden teurer, Energiekosten unberechenbarer. Wer jetzt einfach verlängert, trifft eine Entscheidung, ohne neu gerechnet zu haben. Was sich gerade verändert und warum es sich lohnt, die eigene Infrastruktur neu zu bewerten.
Weiterlesen
Provectus Team
Blogbeitrag

25 Jahre Provectus: Eine Reise, die im Biergarten begann 

Christian Jupe und Josef Lang blicken auf 25 Jahre Provectus zurück: von den ersten Ideen im Biergarten über prägende Kundenprojekte bis zur heutigen Vision als Smart-Work- und Business-Partner. Im Interview sprechen sie über Unternehmenskultur, Werte, Wandel und die Zukunft mit KI.
Weiterlesen
Blogbeitrag

Vom Trainee-Programm ins Kundenprojekt: Unser Rückblick auf acht intensive Monate

Unsere Trainees berichten von den ersten Monaten im Provectus-Traineeprogramm, geben Einblicke in Workshops, Lernphasen und den täglichen Einsatz von KI-Tools und zeigen, wie sie auf ihre Rolle als Junior Professionals vorbereitet werden.
Weiterlesen
Webinar

Moderne Apps brauchen moderne Plattformen: Warum der Betrieb über Ihren Erfolg entscheidet

Für alle, die verstehen wollen, warum Cloud-Projekte nicht an der Migration scheitern, sondern im Betrieb. Unternehmen kämpfen mit steigenden Kosten, fehlender Transparenz und neuen Risiken. Der Grund: Cloud ist kein Infrastrukturthema, sondern ein Betriebsmodell mit klaren Anforderungen.
Weiterlesen
Blogbeitrag

Virtual Workplace Evolution 2026

Wir sind dabei und freuen uns auf einen spannenden Austausch zur Transformation von IT Workplaces. Besuchen Sie unseren Vortrag von Danny Kopper, Principal Consultant & Michael Mahlbacher, Leiter Arbeitsplatz bei MLP Finanzberatung SE zum Thema: Microsoft-Lizenzen optimal nutzen
Weiterlesen
Webinar

DORA-konformer Cloud-Betrieb: So setzen Sie Anforderungen praxisnah um

WEBINAR, 18.06: DORA-konformer Cloud-Betrieb praxisnah erklärt: Erfahren Sie im Webinar, wie Finanzunternehmen regulatorische Anforderungen wirksam, prüfbar und dauerhaft im IT-Betrieb umsetzen.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter