Auf einigen Windows 11- und Windows 10-Geräten laufen die erstmals 2011 ausgestellten Secure-Boot-Zertifikate im Juni 2026 ab. Obwohl Microsoft diese aktiv durch Zertifikate aus dem Jahr 2023 ersetzt, sollten Sie überprüfen, ob Ihr System bereits auf die neueren Zertifikate umgestellt wurde, um Start- oder Sicherheitsprobleme zu vermeiden.
Secure Boot ist eine Firmware-basierte Schutzfunktion der Unified Extensible Firmware Interface (UEFI), die sicherstellt, dass ein Gerät nur digital signierte und vom Hersteller als vertrauenswürdig eingestufte Software lädt. Sie schützt den Startvorgang, indem sie unautorisierte Änderungen an kritischen Startkomponenten vor dem Laden des Betriebssystems verhindert.
Um dies zu erreichen, verwendet Secure Boot kryptografische Schlüssel, sogenannte Zertifizierungsstellen (CAs), um Firmware-Module und Bootloader zu validieren. Diese Zertifikate bilden eine Vertrauenskette, die die Ausführung von Schadcode während des frühen Systemstarts verhindert.
Wie alle digitalen Zertifikate haben auch Secure-Boot-Zertifizierungsstellen ein festgelegtes Ablaufdatum. Da die Zertifikate von 2011 im Juni 2026 ihre Gültigkeit verlieren, müssen Systeme die neueren Zertifikate von 2023 installiert haben, um weiterhin Updates zu erhalten und normal ohne Vertrauensvalidierungsfehler zu starten.
Da digitale Zertifikate ein Ablaufdatum haben, müssen Systeme die Zertifikate von 2023 installieren, bevor die Zertifizierungsstellen von 2011 im Juni 2026 ablaufen, damit sie weiterhin ordnungsgemäß starten und Updates empfangen können.
Geräte, die ab 2024 gekauft wurden, enthalten in der Regel bereits die neuen Zertifikate. Für ältere Hardware stellt Microsoft diese über Windows Update bereit.
Microsoft erkennt und aktualisiert Secure-Boot-Zertifizierungen bereits automatisch über regelmäßige Systemupdates. Daher ist außer der Aktivierung von Windows Update und der Installation monatlicher Sicherheitsupdates bis zum Stichtag im Juni 2026 keine manuelle Aktion erforderlich. Es empfiehlt sich jedoch, stets zu überprüfen, ob Ihr Gerät über die entsprechenden Zertifikate verfügt.
In diesem Leitfaden beschreibe ich die Schritte, mit denen Sie überprüfen können, ob die Secure Boot-Zertifikate von 2023 bereits auf Ihrem Computer installiert sind.
Um zu überprüfen, ob Sie die „aktualisierten“ Secure-Boot-Zertifikate von 2023 besitzen (die die im Jahr 2026 ablaufenden Zertifikate ersetzen), gehen Sie wie folgt vor:
Öffnen Sie das Startmenü unter Windows 11.
Suchen Sie nach PowerShell (oder Terminal ), klicken Sie mit der rechten Maustaste auf das oberste Ergebnis und wählen Sie die Option „Als Administrator ausführen“.
Geben Sie diesen Befehl ein, um das Ablaufdatum der Secure-Boot-Zertifikate zu überprüfen, und drücken Sie die Eingabetaste:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Nach Abschluss der Schritte erhalten Sie bei der Ausgabe „True“ das neue Zertifikat (gültig bis 2053). Lautet die Ausgabe „False“, verwenden Sie wahrscheinlich noch das Zertifikat von 2011 (gültig bis 2026).
Secure Boot 2011-Zertifikate laufen 2026 ab – was jedes Zertifikat bewirkt
Nahezu alle modernen Secure-Boot-Ketten basieren auf Microsoft-Zertifikaten aus dem Jahr 2011, die folgende Ablaufdaten haben :
Zur Verdeutlichung: Folgendes bewirkt jedes Zertifikat:
Wenn Ihre Zertifikate bald ablaufen, stellen Microsoft und Ihr Computerhersteller (OEM) automatisch Firmware-Updates oder „DBX“-Updates über Windows Update oder Systemaktualisierungen bereit, um die neuen CA-Zertifikate für 2023 zu registrieren. Sie können die neuen Secure-Boot-Zertifikate auch jederzeit manuell installieren .
Warum die Ereignis-ID 1801 in der Ereignisanzeige erscheint (und warum es sich nicht um einen Fehler handelt)
Schließlich werden Sie wahrscheinlich feststellen, dass die Ereignis-ID 1801 für die Quelle „TPM-WMI (Microsoft-Windows-TPM-WMI)“ mit der Meldung „BucketConfidenceLevel: Under Observation – More Data Needed“ angezeigt wird .
Obwohl es wie ein Fehler aussieht, handelt es sich nicht um einen Systemausfall. Dieser Eintrag bedeutet, dass das Betriebssystem aktualisierte Secure-Boot-Zertifikate erkannt, diese aber noch nicht auf die Firmware angewendet hat.
Das Gerät befindet sich in der Test- und Validierungsphase, während Microsoft das Update schrittweise ausrollt. Da die Secure-Boot-Schlüssel in der UEFI-Firmware gespeichert sind und den Bootvorgang beeinflussen, wird der Übergang sorgfältig koordiniert, um Bootprobleme zu vermeiden.
Vereinfacht ausgedrückt handelt es sich bei Ereignis-ID 1801 lediglich um eine Statusprüfung, die anzeigt, dass Windows Ihr Gerät im Rahmen der Bereitstellung des Secure-Boot-Zertifikats überprüft. Die Meldung „Wird beobachtet“ spiegelt diesen Überprüfungsprozess wider. Sie weist nicht auf ein TPM-Problem, eine Beschädigung von Secure Boot oder einen BIOS-Fehler hin. Obwohl sie als Fehler protokolliert wird, dient sie lediglich der Information.
Die Umstellung des Secure-Boot-Zertifikats erfolgt in zwei Phasen. Zunächst lädt Windows 11 (oder 10) das neue Zertifikat herunter und speichert es im Betriebssystem. Nach Kompatibilitätsprüfungen und Validierung wird das Zertifikat anschließend in die Systemfirmware geschrieben und aktiviert.
Geräte können für eine gewisse Zeit zwischen diesen beiden Zuständen verbleiben. Deshalb werden möglicherweise weiterhin TPM-WMI-Einträge in der Ereignisanzeige angezeigt, obwohl kein Fehler vorliegt.
Zusätzlich zur Verwendung von PowerShell wurde die Windows-Sicherheits-App aktualisiert , um den genauen Status der Secure-Boot-Zertifikate anzuzeigen, die im Jahr 2026 ablaufen.
Um zu überprüfen, ob Ihr Computer über die neuesten Secure-Boot-Zertifikate verfügt, gehen Sie wie folgt vor:
Öffnen Start .
Suchen Sie nach „Windows Security“ und klicken Sie auf das oberste Ergebnis, um die App zu öffnen.
Klicken Sie im linken Bereich auf Gerätesicherheit .
Bestätigen Sie die Farbe und die Meldung des Secure-Boot-Abzeichens.
(Option 1) Grün bedeutet, dass das System vollständig mit den neuesten Zertifikaten und Bootkomponenten aktualisiert ist.
(Option 2) Gelb bedeutet, dass ein Update aussteht oder durch Kompatibilitätsbeschränkungen eingeschränkt ist.
(Option 3) Rot bedeutet, dass das System die erforderlichen Aktualisierungen nicht anwenden kann und ein Eingriff erforderlich ist.
Nach Abschluss der Schritte werden Sie besser verstehen, ob keine Maßnahmen erforderlich sind oder ob Sie den manuellen Prozess zur Aktualisierung der System-Firmware mit der neueren Version der Secure-Boot-Zertifikate durchführen müssen.
Die in der Windows-Sicherheits-App angezeigte Meldung bezieht sich auf Zertifikatsaktualisierungen, die über Windows Update bereitgestellt werden. Das System prüft die Firmware-Kompatibilität, verifiziert die Zertifikatsbereitstellung und meldet das Ergebnis in Echtzeit.
Microsoft stellt dieses Update für die Windows Update-App schrittweise bereit. Falls Sie den Status der Zertifikate nicht ermitteln können, verwenden Sie die PowerShell-Option.
Ab Mai 2026 werden auch Systembenachrichtigungen diese Zustände widerspiegeln, wodurch die Transparenz erhöht wird, wann Handlungsbedarf besteht.
Build 26120.4151 (KB5058486) für Windows 11 wird im Beta-Kanal mit neuen erweiterten Einstellungen, KI für den Datei-Explorer und visuellen Änderungen veröffentlicht.
KB5058512 (Build 26200.5622) für Windows 11 erscheint im Dev Channel mit KI-Änderungen, Recall-Export, Sekundenanzeige und Optimierungen im Datei-Explorer.
Build 26200.5722 (KB5062669) für Windows 11 25H2 im Dev Channel mit neuen Funktionen, Änderungen und Fehlerbehebungen. Version 24H2 erhält Build 26120.5722.
Mit der neuen Funktion „Auf einen neuen PC übertragen“ der Windows 11 25H2 OOBEs können Sie Dateien und Einstellungen während der Einrichtung über das lokale Netzwerk ohne OneDrive migrieren.
KB5064093 (Build 26200.5761) für Windows 11 wird mit Android-App-Wiederaufnahmefunktion, neuem Akkusymbol auf dem Sperrbildschirm, KI-Agent-Updates und Fehlerbehebungen veröffentlicht.
Build 27774 für Windows 11 führt die Administratorschutzfunktion ein und ändert das Windows-Setup bei der Arbeit mit Partitionen.
Um die Windows 8.1 ISO-Datei herunterzuladen, öffnen Sie die Microsoft-Downloadseite, wählen Sie die Edition und die Sprache aus und klicken Sie auf die Schaltfläche „Herunterladen“.
Um einen bootfähigen Windows 8.1-USB-Stick zu erstellen, können Sie Drittanbieter-Tools wie Rufus und Ventoy oder die Eingabeaufforderung verwenden. So geht's.
Um die arm64 Windows 11 25H2 ISO-Datei herunterzuladen, öffnen Sie die offizielle Downloadseite, wählen Sie ISO für Arm64, Sprache und klicken Sie auf Download.
Windows 11 ermöglicht es Ihnen, ein Anmeldekennwort über das Netplwiz-Applet oder die Anmeldeoptionen zu entfernen. So geht's.
