So überprüfen Sie, ob Ihr PC unter Windows 11 und 10 über die aktualisierten Secure-Boot-Zertifikate verfügt.

  • Die Secure-Boot-Zertifikate von Microsoft aus dem Jahr 2011 laufen im Juni 2026 ab.
  • Die neuen Windows UEFI CA 2023-Zertifikate verlängern den Schutz bis zum Jahr 2053.
  • Geräte, die ab 2024 gekauft wurden, enthalten in der Regel bereits die aktualisierten Zertifikate.
  • Ältere PCs erhalten das Update schrittweise über Windows Update.
  • Sie können den Zertifikatsstatus mithilfe eines PowerShell-Befehls überprüfen.

Auf einigen Windows 11- und Windows 10-Geräten laufen die erstmals 2011 ausgestellten Secure-Boot-Zertifikate im Juni 2026 ab. Obwohl Microsoft diese aktiv durch Zertifikate aus dem Jahr 2023 ersetzt, sollten Sie überprüfen, ob Ihr System bereits auf die neueren Zertifikate umgestellt wurde, um Start- oder Sicherheitsprobleme zu vermeiden.

Secure Boot ist eine Firmware-basierte Schutzfunktion der Unified Extensible Firmware Interface (UEFI), die sicherstellt, dass ein Gerät nur digital signierte und vom Hersteller als vertrauenswürdig eingestufte Software lädt. Sie schützt den Startvorgang, indem sie unautorisierte Änderungen an kritischen Startkomponenten vor dem Laden des Betriebssystems verhindert.

Um dies zu erreichen, verwendet Secure Boot kryptografische Schlüssel, sogenannte Zertifizierungsstellen (CAs), um Firmware-Module und Bootloader zu validieren. Diese Zertifikate bilden eine Vertrauenskette, die die Ausführung von Schadcode während des frühen Systemstarts verhindert.

Wie alle digitalen Zertifikate haben auch Secure-Boot-Zertifizierungsstellen ein festgelegtes Ablaufdatum. Da die Zertifikate von 2011 im Juni 2026 ihre Gültigkeit verlieren, müssen Systeme die neueren Zertifikate von 2023 installiert haben, um weiterhin Updates zu erhalten und normal ohne Vertrauensvalidierungsfehler zu starten.

Da digitale Zertifikate ein Ablaufdatum haben, müssen Systeme die Zertifikate von 2023 installieren, bevor die Zertifizierungsstellen von 2011 im Juni 2026 ablaufen, damit sie weiterhin ordnungsgemäß starten und Updates empfangen können.

Geräte, die ab 2024 gekauft wurden, enthalten in der Regel bereits die neuen Zertifikate. Für ältere Hardware stellt Microsoft diese über Windows Update bereit.

Microsoft erkennt und aktualisiert Secure-Boot-Zertifizierungen bereits automatisch über regelmäßige Systemupdates. Daher ist außer der Aktivierung von Windows Update und der Installation monatlicher Sicherheitsupdates bis zum Stichtag im Juni 2026 keine manuelle Aktion erforderlich. Es empfiehlt sich jedoch, stets zu überprüfen, ob Ihr Gerät über die entsprechenden Zertifikate verfügt.

In diesem Leitfaden beschreibe ich die Schritte, mit denen Sie überprüfen können, ob die Secure Boot-Zertifikate von 2023 bereits auf Ihrem Computer installiert sind.

Prüfen Sie mithilfe von PowerShell, ob Ihr PC über die Secure Boot 2023-Zertifikate verfügt.

Um zu überprüfen, ob Sie die „aktualisierten“ Secure-Boot-Zertifikate von 2023 besitzen (die die im Jahr 2026 ablaufenden Zertifikate ersetzen), gehen Sie wie folgt vor:

  1. Öffnen Sie das Startmenü unter Windows 11.

     

     

  2. Suchen Sie nach PowerShell (oder Terminal ), klicken Sie mit der rechten Maustaste auf das oberste Ergebnis und wählen Sie die Option „Als Administrator ausführen“.

  3. Geben Sie diesen Befehl ein, um das Ablaufdatum der Secure-Boot-Zertifikate zu überprüfen, und drücken Sie die Eingabetaste: 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    So überprüfen Sie, ob Ihr PC unter Windows 11 und 10 über die aktualisierten Secure-Boot-Zertifikate verfügt.

Nach Abschluss der Schritte erhalten Sie bei der Ausgabe „True“ das neue Zertifikat (gültig bis 2053). Lautet die Ausgabe „False“, verwenden Sie wahrscheinlich noch das Zertifikat von 2011 (gültig bis 2026).

Secure Boot 2011-Zertifikate laufen 2026 ab – was jedes Zertifikat bewirkt

Nahezu alle modernen Secure-Boot-Ketten basieren auf Microsoft-Zertifikaten aus dem Jahr 2011, die folgende Ablaufdaten haben :

  • Microsoft Corporation KEK CA 2011 (24. Juni 2026). 
  • Microsoft Corporation UEFI CA 2011 (27. Juni 2026).
  • Microsoft Option ROM UEFI CA 2011 (27. Juni 2026).
  • Microsoft Windows Production PCA 2011 (19. Oktober 2026).

Zur Verdeutlichung: Folgendes bewirkt jedes Zertifikat:

  • KEK-Zertifikat: Vertrauensanker, der die Aktualisierung von Secure-Boot-Signaturdatenbanken (DB/DBX) ermöglicht.
  • UEFI-CA-Zertifikate: Vertrauen Sie den Signaturen von Bootloadern und Firmware-Komponenten (einschließlich EFI-Anwendungen von Drittanbietern).
  • Option ROM CA: Vertraut Firmware-Option-ROM-Modulen.
  • Microsoft Windows Production PCA 2011: Gewährleistet, dass der Windows-Bootloader und zugehörige Binärdateien von der Firmware unter Secure Boot als vertrauenswürdig eingestuft werden.

Wenn Ihre Zertifikate bald ablaufen, stellen Microsoft und Ihr Computerhersteller (OEM) automatisch Firmware-Updates oder „DBX“-Updates über Windows Update oder Systemaktualisierungen bereit, um die neuen CA-Zertifikate für 2023 zu registrieren. Sie können die neuen Secure-Boot-Zertifikate auch jederzeit manuell installieren .

Warum die Ereignis-ID 1801 in der Ereignisanzeige erscheint (und warum es sich nicht um einen Fehler handelt)

Schließlich werden Sie wahrscheinlich feststellen, dass die Ereignis-ID 1801 für die Quelle „TPM-WMI (Microsoft-Windows-TPM-WMI)“ mit der Meldung „BucketConfidenceLevel: Under Observation – More Data Needed“ angezeigt wird .

Obwohl es wie ein Fehler aussieht, handelt es sich nicht um einen Systemausfall. Dieser Eintrag bedeutet, dass das Betriebssystem aktualisierte Secure-Boot-Zertifikate erkannt, diese aber noch nicht auf die Firmware angewendet hat.

Das Gerät befindet sich in der Test- und Validierungsphase, während Microsoft das Update schrittweise ausrollt. Da die Secure-Boot-Schlüssel in der UEFI-Firmware gespeichert sind und den Bootvorgang beeinflussen, wird der Übergang sorgfältig koordiniert, um Bootprobleme zu vermeiden.

Vereinfacht ausgedrückt handelt es sich bei Ereignis-ID 1801 lediglich um eine Statusprüfung, die anzeigt, dass Windows Ihr Gerät im Rahmen der Bereitstellung des Secure-Boot-Zertifikats überprüft. Die Meldung „Wird beobachtet“ spiegelt diesen Überprüfungsprozess wider. Sie weist nicht auf ein TPM-Problem, eine Beschädigung von Secure Boot oder einen BIOS-Fehler hin. Obwohl sie als Fehler protokolliert wird, dient sie lediglich der Information.

Die Umstellung des Secure-Boot-Zertifikats erfolgt in zwei Phasen. Zunächst lädt Windows 11 (oder 10) das neue Zertifikat herunter und speichert es im Betriebssystem. Nach Kompatibilitätsprüfungen und Validierung wird das Zertifikat anschließend in die Systemfirmware geschrieben und aktiviert.

Geräte können für eine gewisse Zeit zwischen diesen beiden Zuständen verbleiben. Deshalb werden möglicherweise weiterhin TPM-WMI-Einträge in der Ereignisanzeige angezeigt, obwohl kein Fehler vorliegt.

Überprüfen Sie mithilfe der Windows-Sicherheit, ob Ihr PC über die Secure Boot 2023-Zertifikate verfügt.

Zusätzlich zur Verwendung von PowerShell wurde die Windows-Sicherheits-App aktualisiert , um den genauen Status der Secure-Boot-Zertifikate anzuzeigen, die im Jahr 2026 ablaufen. 

Um zu überprüfen, ob Ihr Computer über die neuesten Secure-Boot-Zertifikate verfügt, gehen Sie wie folgt vor:

  1. Öffnen Start .

  2. Suchen Sie nach „Windows Security“ und klicken Sie auf das oberste Ergebnis, um die App zu öffnen.

  3. Klicken Sie im linken Bereich auf Gerätesicherheit .

  4. Bestätigen Sie die Farbe und die Meldung des Secure-Boot-Abzeichens.

  5. (Option 1) Grün bedeutet, dass das System vollständig mit den neuesten Zertifikaten und Bootkomponenten aktualisiert ist.

    So überprüfen Sie, ob Ihr PC unter Windows 11 und 10 über die aktualisierten Secure-Boot-Zertifikate verfügt.

  6. (Option 2) Gelb bedeutet, dass ein Update aussteht oder durch Kompatibilitätsbeschränkungen eingeschränkt ist.

    So überprüfen Sie, ob Ihr PC unter Windows 11 und 10 über die aktualisierten Secure-Boot-Zertifikate verfügt.

  7. (Option 3) Rot bedeutet, dass das System die erforderlichen Aktualisierungen nicht anwenden kann und ein Eingriff erforderlich ist.

    So überprüfen Sie, ob Ihr PC unter Windows 11 und 10 über die aktualisierten Secure-Boot-Zertifikate verfügt.

Nach Abschluss der Schritte werden Sie besser verstehen, ob keine Maßnahmen erforderlich sind oder ob Sie den manuellen Prozess zur Aktualisierung der System-Firmware mit der neueren Version der Secure-Boot-Zertifikate durchführen müssen.

Die in der Windows-Sicherheits-App angezeigte Meldung bezieht sich auf Zertifikatsaktualisierungen, die über Windows Update bereitgestellt werden. Das System prüft die Firmware-Kompatibilität, verifiziert die Zertifikatsbereitstellung und meldet das Ergebnis in Echtzeit.

Microsoft stellt dieses Update für die Windows Update-App schrittweise bereit. Falls Sie den Status der Zertifikate nicht ermitteln können, verwenden Sie die PowerShell-Option.

Ab Mai 2026 werden auch Systembenachrichtigungen diese Zustände widerspiegeln, wodurch die Transparenz erhöht wird, wann Handlungsbedarf besteht.

Einen Kommentar hinterlassen

So laden Sie die Windows 11 24H2 ISO-Datei herunter

So laden Sie die Windows 11 24H2 ISO-Datei herunter

Um die Windows 11 24H2 ISO-Datei herunterzuladen, öffnen Sie die Microsoft-Seite, wählen Sie die Option „Image“, wählen Sie die Sprache und klicken Sie auf „64-Bit-Download“.

Wie Sie nach dem Supportende von Windows 10 im Jahr 2025 keine Updates mehr bezahlen müssen

Wie Sie nach dem Supportende von Windows 10 im Jahr 2025 keine Updates mehr bezahlen müssen

Um die zusätzlichen Kosten von 30 US-Dollar für Sicherheitsupdates zur weiteren Nutzung von Windows 10 zu vermeiden, empfiehlt sich ein Upgrade auf Windows 11 sowohl auf unterstützten als auch auf nicht unterstützten PCs.

Microsoft kündigt an, dass Windows 11 „etwas Großes“ bevorsteht.

Microsoft kündigt an, dass Windows 11 „etwas Großes“ bevorsteht.

Microsoft kündigt am Donnerstag eine große Neuerung für Windows 11 an und deutet an, dass eine sprachgesteuerte Bedienung mit KI in das Betriebssystem Einzug halten wird.

So erstellen Sie einen bootfähigen Windows 11-USB-Stick für nicht unterstützte Hardware

So erstellen Sie einen bootfähigen Windows 11-USB-Stick für nicht unterstützte Hardware

Windows 11 auf nicht unterstützter Hardware installieren? Erfahren Sie, wie Sie mit Rufus oder Ventoy einen bootfähigen USB-Stick erstellen, um TPM- und Secure-Boot-Beschränkungen zu umgehen.

Wie man ein Upgrade von Windows 11 Version 24H2 auf Version 25H2 erzwingt

Wie man ein Upgrade von Windows 11 Version 24H2 auf Version 25H2 erzwingt

Um von Windows 10 24H2 auf 25H2 zu aktualisieren, verwenden Sie die Option „Herunterladen und installieren“ in Windows Update oder installieren Sie das Update KB5054156 manuell.

Build 26300.7674 (KB5074170) für Windows 11 konzentriert sich auf Fehlerbehebungen, nicht auf neue Funktionen (Entwickler).

Build 26300.7674 (KB5074170) für Windows 11 konzentriert sich auf Fehlerbehebungen, nicht auf neue Funktionen (Entwickler).

(KB5074170) Windows 11 Build 26300.7674 wird für Insider ausgerollt und behebt Probleme mit dem Datei-Explorer, dem Startmenü, der Suche, Grafikfehler und bekannte Bugs.

So aktivieren Sie BitLocker unter Windows 11

So aktivieren Sie BitLocker unter Windows 11

Um BitLocker unter Windows 11 zu aktivieren, öffnen Sie die Speichereinstellungen, dann die BitLocker-Einstellungen und aktivieren Sie die Funktion. Wechseldatenträger verwenden BitLocker To Go.

So finden Sie den BitLocker-Wiederherstellungsschlüssel unter Windows 11

So finden Sie den BitLocker-Wiederherstellungsschlüssel unter Windows 11

Um den BitLocker-Wiederherstellungsschlüssel Ihres PCs unter Windows 11 (oder 10) zu finden, öffnen Sie Ihr Microsoft-Konto online und bestätigen Sie die Wiederherstellung auf der Seite „Geräte“.

Wie man einen bootfähigen Windows 11 (oder 10) USB-Stick von macOS erstellt

Wie man einen bootfähigen Windows 11 (oder 10) USB-Stick von macOS erstellt

Es ist überraschend kompliziert, einen USB-Installer für Windows 11 (oder 10) von macOS aus zu erstellen, aber nicht unmöglich. So geht's.

Der Support für Microsoft Edge unter Windows 10 endet im Oktober 2028.

Der Support für Microsoft Edge unter Windows 10 endet im Oktober 2028.

Microsoft Edge unter Windows 10 wird mindestens bis Oktober 2028 weiterhin Updates erhalten, lange nachdem der Support für das Betriebssystem im Jahr 2025 offiziell eingestellt wurde.