Microsoft hat damit begonnen, eine grundlegende Sicherheitskomponente auf Millionen von Windows-Computern zu aktualisieren. Durch automatische Updates werden neue Secure-Boot-Zertifikate verteilt, um eine Sicherheitslücke zu schließen, die durch das baldige Ablaufen der ursprünglichen Zertifikate aus dem Jahr 2011 entsteht. Für die meisten Nutzer erfolgt dieser Prozess unbemerkt im Hintergrund.
Diese Maßnahme ist entscheidend, um die Integrität des Systemstarts auch in Zukunft zu gewährleisten. Ohne die neuen Zertifikate könnten Geräte in einen Zustand verminderter Sicherheit geraten und für zukünftige Bedrohungen anfällig werden.
Das Wichtigste in Kürze
- Microsoft tauscht automatisch alte Secure-Boot-Sicherheitszertifikate von 2011 aus.
- Die alten Zertifikate laufen zwischen Juni und Oktober 2026 ab.
- Das Update wird über die reguläre Windows-Update-Funktion verteilt, beginnend mit dem Windows-11-Update KB5074109.
- Ohne das Update droht ein "verminderter Sicherheitszustand", der zukünftige Sicherheitsupdates und die Kompatibilität beeinträchtigen kann.
- Für die meisten Nutzer ist kein manuelles Eingreifen erforderlich.
Ein stilles, aber wichtiges Sicherheitsupdate
Im Hintergrund unserer täglichen Computernutzung laufen ständig Prozesse ab, die für unsere Sicherheit sorgen. Einer dieser grundlegenden Mechanismen ist Secure Boot, eine Technologie, die sicherstellt, dass beim Starten des Computers nur vertrauenswürdige Software geladen wird. Jetzt steht diese Schutzfunktion vor einem wichtigen Generationswechsel.
Microsoft hat angekündigt, die digitalen Zertifikate, auf denen Secure Boot basiert, proaktiv zu erneuern. Der Grund dafür ist einfach: Die ursprünglichen Zertifikate, die 2011 eingeführt wurden, nähern sich ihrem Ablaufdatum. Zwischen Juni und Oktober 2026 werden sie ungültig.
Was ist Secure Boot?
Secure Boot wurde 2011 eingeführt, um den Boot-Prozess von PCs vor Manipulationen zu schützen. Es verhindert, dass nicht autorisierte oder bösartige Software – wie zum Beispiel Rootkits – noch vor dem eigentlichen Betriebssystem gestartet werden kann. Diese Funktion ist mittlerweile eine der zentralen Hardware-Anforderungen für die Installation von Windows 11.
Durch die Überprüfung digitaler Signaturen stellt Secure Boot sicher, dass jede Komponente, vom UEFI-BIOS bis zum Betriebssystem-Lader, authentisch und unverändert ist. Dies schafft eine sichere Grundlage für den gesamten Betrieb des Systems.
Der Generationswechsel der Zertifikate
Digitale Zertifikate haben, ähnlich wie ein Ausweis, eine begrenzte Gültigkeitsdauer. Nach 15 Jahren laufen die ersten Secure-Boot-Zertifikate ab. Um die Sicherheit aufrechtzuerhalten, hat Microsoft bereits 2023 neue Zertifikate ausgestellt. Viele neuere Geräte, die seit 2024 verkauft werden, sind bereits damit ausgestattet. Ältere Hardware muss jedoch aktualisiert werden.
Nuno Costa von Microsoft erklärte die Notwendigkeit dieses Schrittes in einer Mitteilung:
„Da sich die kryptografische Sicherheit weiterentwickelt, müssen Zertifikate und Schlüssel regelmäßig erneuert werden, um einen starken Schutz aufrechtzuerhalten. Das Ausmustern alter und die Einführung neuer Zertifikate ist eine branchenübliche Praxis, die verhindert, dass alternde Anmeldeinformationen zu einer Schwachstelle werden.“
Dieser Prozess sorgt dafür, dass die Sicherheitsstandards mit den modernen Erwartungen und Bedrohungen Schritt halten.
Wichtige Zeitpunkte
- 2011: Einführung von Secure Boot mit den ursprünglichen Zertifikaten.
- 2023: Ausstellung der neuen Generation von Sicherheitszertifikaten.
- 2026 (Juni-Oktober): Die ursprünglichen Zertifikate von 2011 laufen ab.
Wie das Update auf Ihren PC kommt
Für die überwiegende Mehrheit der Windows-Nutzer wird die Umstellung reibungslos und automatisch verlaufen. Microsoft verteilt die neuen Zertifikate über die regulären Windows-Updates. Der Prozess begann bereits mit dem Windows-11-Update KB5074109, das im Vormonat veröffentlicht wurde.
Es ist kein manuelles Eingreifen erforderlich. Das System installiert die neuen Zertifikate im Hintergrund, ohne die normale Nutzung des Computers zu stören. Dies stellt sicher, dass Millionen von Geräten geschützt bleiben, ohne dass die Nutzer technisch versiert sein müssen.
Mögliche Folgen bei fehlendem Update
Was passiert, wenn ein Computer die neuen Zertifikate nicht erhält? Laut Microsoft wird der PC „normal weiterfunktionieren“, aber in einen „verminderten Sicherheitszustand“ übergehen. Das bedeutet konkret:
- Eingeschränkte Sicherheitsupdates: Zukünftige Updates, die speziell den Boot-Prozess betreffen, könnten fehlschlagen oder nicht installiert werden.
- Kompatibilitätsprobleme: Neue Hardware oder Software könnte auf Systemen mit abgelaufenen Zertifikaten möglicherweise nicht korrekt funktionieren.
- Erhöhtes Risiko: Obwohl das System noch startet, ist die erste Verteidigungslinie gegen bestimmte Arten von Malware geschwächt.
Hintergrund: Warum Sicherheit am Anfang beginnt
Der Schutz des Boot-Vorgangs ist entscheidend, da Malware, die sich hier einnistet, oft vom Betriebssystem und von Antivirenprogrammen unentdeckt bleibt. Sie erlangt die höchsten Systemrechte und kann die Kontrolle über den gesamten Computer übernehmen. Secure Boot ist die erste Hürde, um solche Angriffe zu verhindern.
Die automatische Aktualisierung durch Microsoft ist daher ein wichtiger präventiver Schritt, um die grundlegende Sicherheit der Windows-Plattform für die kommenden Jahre zu gewährleisten. Nutzern wird empfohlen, ihre Systeme regelmäßig zu aktualisieren, um nicht nur diese, sondern auch alle anderen wichtigen Sicherheitsverbesserungen zu erhalten.
