Auf einigen Windows 11- und Windows 10-Geräten laufen die erstmals 2011 ausgestellten Secure-Boot-Zertifikate im Juni 2026 ab. Obwohl Microsoft diese aktiv durch Zertifikate aus dem Jahr 2023 ersetzt, sollten Sie überprüfen, ob Ihr System bereits auf die neueren Zertifikate umgestellt wurde, um Start- oder Sicherheitsprobleme zu vermeiden.
Secure Boot ist eine Firmware-basierte Schutzfunktion der Unified Extensible Firmware Interface (UEFI), die sicherstellt, dass ein Gerät nur digital signierte und vom Hersteller als vertrauenswürdig eingestufte Software lädt. Sie schützt den Startvorgang, indem sie unautorisierte Änderungen an kritischen Startkomponenten vor dem Laden des Betriebssystems verhindert.
Um dies zu erreichen, verwendet Secure Boot kryptografische Schlüssel, sogenannte Zertifizierungsstellen (CAs), um Firmware-Module und Bootloader zu validieren. Diese Zertifikate bilden eine Vertrauenskette, die die Ausführung von Schadcode während des frühen Systemstarts verhindert.
Wie alle digitalen Zertifikate haben auch Secure-Boot-Zertifizierungsstellen ein festgelegtes Ablaufdatum. Da die Zertifikate von 2011 im Juni 2026 ihre Gültigkeit verlieren, müssen Systeme die neueren Zertifikate von 2023 installiert haben, um weiterhin Updates zu erhalten und normal ohne Vertrauensvalidierungsfehler zu starten.
Da digitale Zertifikate ein Ablaufdatum haben, müssen Systeme die Zertifikate von 2023 installieren, bevor die Zertifizierungsstellen von 2011 im Juni 2026 ablaufen, damit sie weiterhin ordnungsgemäß starten und Updates empfangen können.
Geräte, die ab 2024 gekauft wurden, enthalten in der Regel bereits die neuen Zertifikate. Für ältere Hardware stellt Microsoft diese über Windows Update bereit.
Microsoft erkennt und aktualisiert Secure-Boot-Zertifizierungen bereits automatisch über regelmäßige Systemupdates. Daher ist außer der Aktivierung von Windows Update und der Installation monatlicher Sicherheitsupdates bis zum Stichtag im Juni 2026 keine manuelle Aktion erforderlich. Es empfiehlt sich jedoch, stets zu überprüfen, ob Ihr Gerät über die entsprechenden Zertifikate verfügt.
In diesem Leitfaden beschreibe ich die Schritte, mit denen Sie überprüfen können, ob die Secure Boot-Zertifikate von 2023 bereits auf Ihrem Computer installiert sind.
Um zu überprüfen, ob Sie die „aktualisierten“ Secure-Boot-Zertifikate von 2023 besitzen (die die im Jahr 2026 ablaufenden Zertifikate ersetzen), gehen Sie wie folgt vor:
Öffnen Sie das Startmenü unter Windows 11.
Suchen Sie nach PowerShell (oder Terminal ), klicken Sie mit der rechten Maustaste auf das oberste Ergebnis und wählen Sie die Option „Als Administrator ausführen“.
Geben Sie diesen Befehl ein, um das Ablaufdatum der Secure-Boot-Zertifikate zu überprüfen, und drücken Sie die Eingabetaste:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Nach Abschluss der Schritte erhalten Sie bei der Ausgabe „True“ das neue Zertifikat (gültig bis 2053). Lautet die Ausgabe „False“, verwenden Sie wahrscheinlich noch das Zertifikat von 2011 (gültig bis 2026).
Secure Boot 2011-Zertifikate laufen 2026 ab – was jedes Zertifikat bewirkt
Nahezu alle modernen Secure-Boot-Ketten basieren auf Microsoft-Zertifikaten aus dem Jahr 2011, die folgende Ablaufdaten haben :
Zur Verdeutlichung: Folgendes bewirkt jedes Zertifikat:
Wenn Ihre Zertifikate bald ablaufen, stellen Microsoft und Ihr Computerhersteller (OEM) automatisch Firmware-Updates oder „DBX“-Updates über Windows Update oder Systemaktualisierungen bereit, um die neuen CA-Zertifikate für 2023 zu registrieren. Sie können die neuen Secure-Boot-Zertifikate auch jederzeit manuell installieren .
Warum die Ereignis-ID 1801 in der Ereignisanzeige erscheint (und warum es sich nicht um einen Fehler handelt)
Schließlich werden Sie wahrscheinlich feststellen, dass die Ereignis-ID 1801 für die Quelle „TPM-WMI (Microsoft-Windows-TPM-WMI)“ mit der Meldung „BucketConfidenceLevel: Under Observation – More Data Needed“ angezeigt wird .
Obwohl es wie ein Fehler aussieht, handelt es sich nicht um einen Systemausfall. Dieser Eintrag bedeutet, dass das Betriebssystem aktualisierte Secure-Boot-Zertifikate erkannt, diese aber noch nicht auf die Firmware angewendet hat.
Das Gerät befindet sich in der Test- und Validierungsphase, während Microsoft das Update schrittweise ausrollt. Da die Secure-Boot-Schlüssel in der UEFI-Firmware gespeichert sind und den Bootvorgang beeinflussen, wird der Übergang sorgfältig koordiniert, um Bootprobleme zu vermeiden.
Vereinfacht ausgedrückt handelt es sich bei Ereignis-ID 1801 lediglich um eine Statusprüfung, die anzeigt, dass Windows Ihr Gerät im Rahmen der Bereitstellung des Secure-Boot-Zertifikats überprüft. Die Meldung „Wird beobachtet“ spiegelt diesen Überprüfungsprozess wider. Sie weist nicht auf ein TPM-Problem, eine Beschädigung von Secure Boot oder einen BIOS-Fehler hin. Obwohl sie als Fehler protokolliert wird, dient sie lediglich der Information.
Die Umstellung des Secure-Boot-Zertifikats erfolgt in zwei Phasen. Zunächst lädt Windows 11 (oder 10) das neue Zertifikat herunter und speichert es im Betriebssystem. Nach Kompatibilitätsprüfungen und Validierung wird das Zertifikat anschließend in die Systemfirmware geschrieben und aktiviert.
Geräte können für eine gewisse Zeit zwischen diesen beiden Zuständen verbleiben. Deshalb werden möglicherweise weiterhin TPM-WMI-Einträge in der Ereignisanzeige angezeigt, obwohl kein Fehler vorliegt.
Zusätzlich zur Verwendung von PowerShell wurde die Windows-Sicherheits-App aktualisiert , um den genauen Status der Secure-Boot-Zertifikate anzuzeigen, die im Jahr 2026 ablaufen.
Um zu überprüfen, ob Ihr Computer über die neuesten Secure-Boot-Zertifikate verfügt, gehen Sie wie folgt vor:
Öffnen Start .
Suchen Sie nach „Windows Security“ und klicken Sie auf das oberste Ergebnis, um die App zu öffnen.
Klicken Sie im linken Bereich auf Gerätesicherheit .
Bestätigen Sie die Farbe und die Meldung des Secure-Boot-Abzeichens.
(Option 1) Grün bedeutet, dass das System vollständig mit den neuesten Zertifikaten und Bootkomponenten aktualisiert ist.
(Option 2) Gelb bedeutet, dass ein Update aussteht oder durch Kompatibilitätsbeschränkungen eingeschränkt ist.
(Option 3) Rot bedeutet, dass das System die erforderlichen Aktualisierungen nicht anwenden kann und ein Eingriff erforderlich ist.
Nach Abschluss der Schritte werden Sie besser verstehen, ob keine Maßnahmen erforderlich sind oder ob Sie den manuellen Prozess zur Aktualisierung der System-Firmware mit der neueren Version der Secure-Boot-Zertifikate durchführen müssen.
Die in der Windows-Sicherheits-App angezeigte Meldung bezieht sich auf Zertifikatsaktualisierungen, die über Windows Update bereitgestellt werden. Das System prüft die Firmware-Kompatibilität, verifiziert die Zertifikatsbereitstellung und meldet das Ergebnis in Echtzeit.
Microsoft stellt dieses Update für die Windows Update-App schrittweise bereit. Falls Sie den Status der Zertifikate nicht ermitteln können, verwenden Sie die PowerShell-Option.
Ab Mai 2026 werden auch Systembenachrichtigungen diese Zustände widerspiegeln, wodurch die Transparenz erhöht wird, wann Handlungsbedarf besteht.
Um mit Rufus einen Windows 11 24H2 USB-Stick zu erstellen, öffnen Sie das Tool, wählen Sie „Vorhandene ISO-Datei öffnen“ oder laden Sie die ISO-Datei herunter und wählen Sie die Option „Benutzerdefiniert“. Anleitung hier.
Zum Herunterladen der Windows 11 ISO-Datei können Sie die Microsoft-Website, das Media Creation Tool, Rufus oder UUP Dump verwenden. So geht's.
Microsoft veröffentlicht das Patch-Tuesday-Update vom August 2025 mit Änderungen und Fehlerbehebungen für Windows 10.
WhyNotWin11 ist besser als die Microsoft PC Health Check-App, um Ihnen zu sagen, warum Ihr PC Windows 11 nicht ausführen kann, einschließlich TPM 2.0 und CPU-Unterstützung.
Vor der Installation von Windows 11 sollten Sie die Kompatibilität prüfen, TPM 2.0 und Secure Boot aktivieren, eine Datensicherung erstellen, Apps entfernen, Dateien reparieren und...
Recall für Windows 11 ist eine KI-Funktion, die alle Ihre Aktivitäten am Computer protokolliert und durchsuchbar macht. Hier finden Sie alle wichtigen Informationen.
Um Windows 11 neu zu installieren, öffnen Sie Einstellungen > System > Wiederherstellung, klicken Sie auf Jetzt neu installieren und OK, oder verwenden Sie die Option Diesen PC zurücksetzen, wobei die Dateien beibehalten werden.
Um Copilot Vision unter Windows 11 zu verwenden, öffnen Sie die Copilot-App, klicken Sie auf das Symbol für die Vision-Brille, wählen Sie die App aus und klicken Sie auf Teilen.
Die PC Manager-App für Windows 11 ist auf der Microsoft-Website erschienen. Es handelt sich um eine App, die dabei hilft, die Systemleistung zu steigern und das Gerät zu schützen.
Steigern Sie die Leistung von Windows 11 kostenlos mit bewährten Tipps – ganz ohne zusätzliche Hardware oder Software. Lernen Sie, Ihren PC mithilfe integrierter Tools zu beschleunigen.
