Secure Boot 2026: Die stille Frist, die Ihre Server betrifft

Erstellt von Dominic Cotter am 25.06.2026 11:41:47
Dominic Cotter

Im Juni 2026 laufen die Secure-Boot-Zertifikate ab, auf denen praktisch jeder Windows-Server und -PC seit 2011 aufbaut. Ihre Systeme werden deswegen nicht stillstehen – aber sie verlieren schleichend ihren Schutz. Wir erklären, was dahintersteckt und warum gerade Serverumgebungen jetzt einen genauen Blick verdienen.

Was ist Secure Boot – und warum betrifft mich das?

Secure Boot ist der Türsteher Ihres Systems: Bevor Windows überhaupt startet, prüft die Firmware, ob die Startsoftware vertrauenswürdig ist. Diese Prüfung basiert auf digitalen Zertifikaten, die Microsoft im Jahr 2011 ausgestellt hat.
Nach 15 Jahren erreichen diese Zertifikate nun das Ende ihrer Lebensdauer:

  • Microsoft KEK CA 2011 – läuft am 24. Juni 2026 ab

  • Microsoft UEFI CA 2011 – läuft am 27. Juni 2026 ab

  • Microsoft Windows Production PCA 2011 – läuft am 19. Oktober 2026 ab

Microsoft verteilt seit einiger Zeit neue Zertifikate (Ausgabejahr 2023) über Windows Update. Klingt nach einem Selbstläufer? Leider nicht überall.
 
Was passiert, wenn ein Gerät die neuen Zertifikate nicht erhält?

Microsoft hat dies im Februar 2026 offiziell klargestellt: Das System bootet weiterhin und läuft normal weiter. Es gibt also keinen «Big Bang» am Stichtag. Aber – und das ist der entscheidende Punkt:

  • Das Gerät wechselt in einen eingeschränkten Sicherheitszustand («degraded security state»). Es kann keine neuen Schutzmassnahmen auf Boot-Ebene mehr empfangen – keine Updates für den Windows Boot Manager, keine aktualisierten Sperrlisten, keine Korrekturen für neu entdeckte Schwachstellen in der Startkette.

  • Mit jeder neu entdeckten Boot-Schwachstelle wird das System verwundbarer, ohne dass es eine Möglichkeit gibt, dies nachträglich zu beheben.

  • Über die Zeit drohen Kompatibilitätsprobleme: Neuere Betriebssysteme, Firmware, Hardware oder Software, die auf Secure Boot vertraut, können möglicherweise nicht mehr geladen werden.

Anders gesagt: Nichts geht kaputt – aber die Tür zur Zukunft schliesst sich langsam. Und Angreifer wissen das auch.

SecureBoot-GERÄTE_CTA_V2

 
«Windows Update regelt das doch automatisch?»

Bei modernen, gut gepflegten Clients: meistens ja. Bei Serverumgebungen sieht die Realität anders aus. Aus unseren Projekten bei Schweizer KMU kennen wir typische Stolpersteine:

Physische Server brauchen Firmware-Updates. Bei vielen Servern (z. B. HPE ProLiant) genügt das Windows-Update allein nicht – die Zertifikate müssen über aktuelle Firmware in die UEFI-Datenbanken gelangen. Das erfordert geplante Wartungsfenster.

Virtuelle Maschinen haben ihre eigene Firmware. Jede Hyper-V- oder VMware-VM bringt ein virtuelles UEFI mit eigenen Secure-Boot-Variablen mit. Diese werden nicht automatisch mit dem Hypervisor aktualisiert.

VMware-Umgebungen haben eine Spezialität. VMs, die auf älteren ESXi-Versionen erstellt wurden, besitzen standardmässig keinen Platform Key – der normale Update-Mechanismus der Zertifikatskette greift dort nicht ohne Weiteres.

Niemand hat den Überblick. Welche Systeme haben die 2023-Zertifikate bereits erhalten? Welche hängen fest? Ohne gezielte Inventarisierung bleibt das Ratespiel.

 
Jetzt handeln statt 2027 aufräumen

Wir unterstützen Sie. Eine saubere Vorbereitung umfasst:

  1. Inventarisierung: Welche physischen Server, Hypervisoren und VMs sind betroffen? Wie ist der aktuelle Zertifikatsstatus?

  2. Priorisierung: Welche Systeme sind kritisch, welche benötigen Firmware-Updates, wo sind Wartungsfenster nötig?

  3. Umsetzung: Kontrolliertes Ausrollen der 2023-Zertifikate – inklusive der Sonderfälle bei Hyper-V und VMware.

  4. Verifikation: Nachweisbare Kontrolle, dass alle Systeme den neuen Vertrauensanker tragen.


Unser Angebot: Das BitHawk Server-Secure-Boot-Assessment

Genau hier setzen wir an. Mit unserem Secure Boot Assessment Ihrer Serverlandschaft verschaffen wir Ihnen in kurzer Zeit Klarheit darüber, welche Systeme betroffen sind und in welchem Zustand sich deren Secure Boot befindet.

  • Vollständige Bestandsaufnahme Ihrer physischen und virtuellen Server inklusive Secure-Boot- und Zertifikatsstatus (2011 vs. 2023)

  • Identifikation aller Systeme, die ohne Eingriff in einen eingeschränkten Secure-Boot-Sicherheitszustand («degraded security state») geraten würden

  • Konkreter, priorisierter Massnahmenplan zur Sicherstellung eines korrekten Secure-Boot-Betriebs auf allen Systemen mit Aufwandschätzung – abgestimmt auf Ihre Wartungsfenster

 Umfang   Preis 
 1 physischer Server + bis zu 10 virtuelle Maschinen  CHF 1'000
 Jeder weitere physische Server  CHF 200
 Je weitere 5 virtuelle Maschinen  CHF 200

SecureBoot-GERÄTE_CTA_V2

 

So gehen Sie entspannt in den Sommer 2026 – mit dem Wissen, dass Ihre Systeme nicht nur heute laufen, sondern auch morgen geschützt bleiben.

Wir unterstützen Sie gerne, zögern Sie nicht und kontaktieren Sie uns unter marketing@bithawk.ch oder telefonisch unter 058 226 01 01.

Weitere Themen auf unserem Blog

Windows Clients: Aktualisierung der Secure Boot Zertifikate
Copilot Notebooks: Datenflut in Sekunden in Wissen verwandeln
Migration vom File Server zu SharePoint Online: Methoden und Tools

Themen: Enterprise Cloud