Secure Boot gehört mittlerweile zu den zentralen Bausteinen moderner IT-Sicherheit. Die Technologie sitzt tief in der UEFI-Firmware und stellt sicher, dass nur signierte und vertrauenswürdige Bootloader und Betriebssystemkomponenten beim Start ausgeführt werden dürfen. Damit schützt sie effektiv vor Bootkits, Rootkits und anderen Angriffen, die schon vor dem eigentlichen Betriebssystem zuschlagen.

Betroffen sind praktisch alle neueren Systeme – egal ob privat oder im Unternehmen. Gerade jetzt im Jahr 2026 gewinnt das Thema jedoch deutlich an Fahrt: Die alten Microsoft Secure Boot-Zertifikate aus dem Jahr 2011 laufen ab Ende Juni 2026 schrittweise aus. Das bedeutet, dass bei Millionen von Geräten ein Wechsel auf die neue Zertifikatsgeneration (2023) ansteht.

Das betrifft Windows-10- und Windows-11-Nutzer genauso wie viele moderne Linux-Distributionen (über den Shim) und natürlich Apple-Systeme, die allerdings ihr eigenes Secure-Boot-Konzept haben. In Unternehmen mit hunderten oder tausenden Rechnern wird das Ganze besonders relevant, weil man den Übergang nicht dem Zufall überlassen sollte.

 

Was steckt eigentlich dahinter?

Es handelt sich übrigens nicht um klassische Software-Zertifikate, wie man sie von Websites kennt. Stattdessen gibt es in der Firmware vier wichtige Vertrauensspeicher:

• PK (Platform Key) als oberster Anker
• KEK (Key Exchange Key)
• db mit den erlaubten Signaturen
• dbx als Sperrliste für unsichere oder widerrufene Bootloader

Diese Einträge müssen im Laufe der Zeit immer mal wieder aktualisiert werden – sei es wegen neuer Sicherheitslücken oder, wie gerade jetzt, wegen ablaufender Zertifikate.

 

Die größte Herausforderung sind die Updates

Manuell über das BIOS oder UEFI-Tools zu aktualisieren ist zwar möglich, aber in der Praxis fehleranfällig und vor allem in größeren Umgebungen kaum noch machbar. Deshalb setzen immer mehr Organisationen auf automatisierte Lösungen.

Unter Windows passiert das größtenteils über Windows Update, ergänzt durch spezielle Hintergrundaufgaben. In Unternehmen steuert man das zusätzlich gerne über Intune oder andere Management-Tools, damit man den Rollout kontrolliert und gestaffelt durchführen kann. Bei Linux übernimmt meist fwupd zusammen mit dem Linux Vendor Firmware Service (LVFS) diese Aufgabe – das funktioniert inzwischen bei den großen Distributionen recht zuverlässig.

 

Praktische Bedeutung und Tipps

Secure Boot ist längst kein reines „Fire-and-forget“-Feature mehr, sondern ein Thema, das man aktiv über den gesamten Lebenszyklus eines Geräts mitdenken muss. Der aktuelle Zertifikatswechsel 2026 zeigt das besonders deutlich.Wer sich jetzt genauer mit der Windows-Seite beschäftigen möchte, sollte vor allem auf mögliche Fallstricke wie BitLocker-Recovery, ältere Hardware und Dual-Boot-Systeme achten. Dazu gibt es von Microsoft mittlerweile ganz gute Leitfäden¹ und technische Dokumentationen².

 

Unser Angebot für Sie:

• Gap-Analyse und Bewertung Ihrer bestehenden TISAX-Maßnahmen
• Erstellung oder Anpassung Ihres Risikomanagement- und Sicherheitskonzepts
• Unterstützung bei Incident-Reporting, Lieferanten-/Prototypenschutz und Datenschutz
• Vorbereitung auf TISAX-Audits und Nachweise (inkl. ISO 27001)
• Schulungen für Geschäftsführung und technische Teams

 

Kontaktieren Sie uns noch heute!
Für ein unverbindliches Erstgespräch – wir beraten Sie
zu TISAX, IT-Sicherheit und Datenschutz.

¹ Microsoft Secure Boot – End-to-End Automatisierungsleitfaden
https://support.microsoft.com/en-us/topic/sample-secure-boot-e2e-automation-guide-f850b329-9a6e-40d1-823a-0925c965b8a0

² Secure Boot Zertifikats-Updates und Servicing-Mechanismus
https://support.microsoft.com/en-us/help/5085046

ISO/IEC 27001:2022 – Grundlagen und Normenübersicht
https://www.iso.org/standard/27001

Risikomanagement und Business Continuity nach ISO 22301
https://www.iso.org/standard/50038.html

Externe Datenschutzbeauftragte (DSB) & Informationssicherheitsbeauftragte (ISB)
https://compliance-expert.org/