Die digitale Sicherheitslandschaft ist ständig in Bewegung, und eine der grundlegendsten Schutzmaßnahmen deines PCs erhält jetzt eine notwendige Generalüberholung. Microsoft und die Hardware-Hersteller aktualisieren die Sicherheitszertifikate für UEFI Secure Boot. Dieser Prozess, der ab Mitte 2024 an Fahrt aufnimmt, ist entscheidend, um die Vertrauenskette beim Systemstart gegen moderne Bedrohungen abzusichern. Was genau dahintersteckt und ob du handeln musst, erfährst du hier.
Was ist Secure Boot eigentlich?
Secure Boot ist eine Funktion der UEFI-Firmware (dem modernen Nachfolger des klassischen BIOS), die sicherstellt, dass dein PC nur Software startet, der der Hardware-Hersteller (OEM) oder Microsoft vertraut. Dies verhindert, dass Schadsoftware wie Rootkits oder Bootkits geladen wird, noch bevor das eigentliche Betriebssystem (z. B. Windows oder Linux) startet. Diese Schadprogramme sind besonders gefährlich, da sie sich tief im System einnisten und von herkömmlichen Virenscannern oft nicht entdeckt werden.
Warum ist ein Update notwendig?
Die Vertrauenskette von Secure Boot basiert auf digitalen Zertifikaten, die in der Firmware deines Mainboards gespeichert sind. Diese Zertifikate haben, wie ein digitaler Ausweis, ein Ablaufdatum. Die aktuell am weitesten verbreiteten Zertifikate stammen aus dem Jahr 2011 und laufen im Juni 2026 ab.
Um einen reibungslosen Übergang zu gewährleisten und die Sicherheit auch in Zukunft zu garantieren, müssen diese alten Zertifikate durch neue, modernere Kryptographie ersetzt werden. Microsoft hat dafür die neue Zertifikatskette "CA 2023" ins Leben gerufen.
Was passiert ab Mitte 2024?
Ab diesem Zeitpunkt werden Hardware-Hersteller beginnen, Mainboards und Komplett-PCs auszuliefern, die bereits standardmäßig mit den neuen 2023er-Zertifikaten ausgestattet sind. Parallel dazu rollt Microsoft die notwendigen Updates für bereits existierende Systeme aus.
Bin ich betroffen und was muss ich tun?
Die gute Nachricht vorweg: Die meisten Nutzer müssen nicht aktiv werden.
-
Windows Update: Microsoft verteilt die neuen Zertifikate und aktualisierten DBX-Sperrlisten (die bestimmen, welche Software nicht mehr starten darf) automatisch über die monatlichen Sicherheitsupdates. Stelle sicher, dass dein System auf dem neuesten Stand ist.
-
BIOS/UEFI-Updates: In manchen Fällen, insbesondere bei älterer Hardware oder um die Zertifikate permanent im System zu verankern, ist ein BIOS/UEFI-Update des Hardware-Herstellers notwendig. Es ist ratsam, gelegentlich auf der Support-Seite deines Mainboard- oder PC-Herstellers nach Updates zu schauen.
-
Linux-Nutzer: Auch Linux-Distributionen, die Secure Boot unterstützen (wie Ubuntu, Fedora, openSUSE), nutzen diese Zertifikate. Die Updates werden hier ebenfalls über die Paketverwaltung oder Firmware-Update-Dienste (wie LVFS) verteilt.
Wichtig: Selbst wenn die alten Zertifikate 2026 ablaufen, wird dein PC weiterhin starten. Allerdings wird der Sicherheitsstatus beeinträchtigt, da er keine neuen Sicherheitsupdates für die Startkomponenten mehr erhalten kann, ohne die Vertrauenskette zu aktualisieren.
Fazit
Das Secure Boot-Zertifikats-Update ist eine notwendige Wartungsmaßnahme, um die Startphase deines PCs langfristig gegen moderne Angriffe zu wappnen. Auch wenn Microsoft und die Hersteller den Großteil der Arbeit im Hintergrund erledigen, ist es gut, informiert zu sein und das eigene System durch regelmäßige Updates aktuell zu halten.