Überprüfung der Implementierung von Secure Boot 2023-Zertifikaten in Windows 11 (ersetzt Secure Boot 2011)

Wenn Sie kürzlich die Ereignisanzeige durchgesehen haben, sind Ihnen möglicherweise neue TPM-WMI-Fehler im Zusammenhang mit Secure-Boot-Zertifikaten aufgefallen. Sie sind damit nicht allein. Viele Windows-11-Nutzer haben ähnliche Probleme gemeldet, insbesondere nach der Installation des Patch-Tuesday-Updates vom Februar 2026.

Windows-Ereignisanzeige zeigt Fehler mit der Ereignis-ID 1801 an
Windows-Ereignisanzeige zeigt Fehler mit der Ereignis-ID 1801 an. Quelle: Reddit

Glücklicherweise deuten diese Vorkommnisse nicht auf einen Fehler hin.Microsoft aktualisiert derzeit die Secure-Boot-Zertifikate, die seit 2011 verwendet werden. Da diese älteren Schlüssel das Ende ihrer Lebensdauer erreichen, wechselt Windows zu einer aktuelleren Zertifizierungsstelle, der Windows UEFI CA 2023.

Secure Boot spielt eine entscheidende Rolle beim Schutz Ihres PCs während des Systemstarts, indem es nur vertrauenswürdigen Firmware-Dateien, Bootloadern und Systemkomponenten erlaubt, vor dem Laden des Betriebssystems ausgeführt zu werden. Würden diese Zertifikate ablaufen oder ihren Vertrauensstatus verlieren, wäre die Wirksamkeit von Secure Boot beeinträchtigt.

Die Zertifikatsaktualisierung war Teil des Windows 11-Updates vom Februar 2026 (KB5077181) und wird, wie üblich, schrittweise und geräteabhängig ausgerollt. Dieses gestaffelte Vorgehen nutzt Telemetrie- und Vertrauensprüfungen, bevor die neuen Schlüssel auf die Firmware Ihres PCs angewendet werden.

Viele Benutzer erhalten daher im Ereignisprotokoll Meldungen wie „Aktualisierte Zertifikate verfügbar“ oder „Wird überwacht“, obwohl an ihren Systemen keine unmittelbaren Änderungen vorgenommen wurden. Wichtig ist, dass diese Meldungen keinen Fehler anzeigen. In den meisten Fällen bereitet Windows Ihr Gerät vor und stellt die Kompatibilität sicher, bevor die neuen Secure-Boot-Schlüssel angewendet werden.

TPM-WMI-Fehler in der Ereignisanzeige verstehen

Eine beträchtliche Anzahl von Windows 11-Nutzern hat berichtet, dass die Ereignis-ID 1801 zusammen mit Meldungen wie den folgenden angezeigt wird:

„BucketConfidenceLevel: Unter Beobachtung – Weitere Daten erforderlich“

Windows-Ereignisanzeige zeigt Fehler mit der Ereignis-ID 1801 an, bei denen BucketConfidenceLevel als „Unter Beobachtung – Weitere Daten erforderlich“ aufgeführt ist.
Die Windows-Ereignisanzeige zeigt die Ereignis-ID 1801 mit dem Status „Wird beobachtet – Weitere Daten erforderlich“ an. Quelle: Reddit

Sie können beruhigt sein, Ihr PC funktioniert einwandfrei und es liegt keine Fehlfunktion vor. Die Protokollierung dient lediglich der Statusanzeige und ist kein Hinweis auf einen Fehler oder Ausfall.

Die Secure-Boot-Schlüssel befinden sich auf Firmware-Ebene und werden im gesamten PC-Ökosystem verwendet, einschließlich der Firmware von OEM-Herstellern und Mainboard-Anbietern. Daher müssen Änderungen sorgfältig koordiniert werden, um zu verhindern, dass Geräte aufgrund unvorhergesehener Probleme nicht mehr starten.

Der Zertifizierungsübergangsprozess umfasst zwei wesentliche Schritte:

  1. Das neue Secure-Boot-Zertifikat ist nun für Windows zugänglich.
  2. Dieses Zertifikat wird anschließend auf die Systemfirmware angewendet.

Bei vielen Systemen kann dieser Prozess einige Zeit in Anspruch nehmen, da sie sich zwischen diesen beiden Phasen befinden. Wenn die Ereignisanzeige anzeigt, dass aktualisierte Secure-Boot-Zertifikate verfügbar, aber noch nicht implementiert sind, bedeutet dies, dass Ihr Gerät identifiziert, geprüft und für den nächsten Schritt eingeplant wurde. Der Status „Unter Beobachtung“ bedeutet, dass Microsoft weiterhin relevante Signale von Ihrem Gerät erfasst, um einen zuverlässigen Betrieb zu gewährleisten, bevor die Firmware-Änderungen durchgeführt werden.

Windows kann neue Zertifikate im Betriebssystem herunterladen und vorbereiten, lange bevor sie auf Firmware-Ebene übernommen werden. Daher werden im Ereignisprotokoll möglicherweise weiterhin Statusmeldungen angezeigt, die darauf hinweisen, dass die Umstellung noch aussteht, bis die Firmware die neuen Schlüssel erkennt und speichert.

Dies erklärt, warum diese Protokolle fälschlicherweise als Fehler interpretiert werden können, obwohl es sich lediglich um informative Zwischenspeicherungsprotokolle handelt. Sie deuten nicht auf Probleme mit dem TPM, fehlgeschlagene Secure-Boot-Prozesse oder ein beschädigtes BIOS hin. Viele Systeme verbleiben möglicherweise längere Zeit in dieser Übergangsphase, insbesondere während einer schrittweisen Einführung dieser Art.

So bestätigen Sie die Anwendung des neuen Secure-Boot-Zertifikats

Windows bietet eine einfache Methode, um zu überprüfen, ob das Windows UEFI CA 2023-Zertifikat bereits in Ihr System integriert ist. Dieses Verfahren ist völlig sicher und ändert keine Einstellungen.

Schritt 1: PowerShell als Administrator starten

Klicken Sie mit der rechten Maustaste auf die Schaltfläche „Start“ und wählen Sie „Windows PowerShell (Administrator)“ oder „Terminal (Administrator)“.

Schritt 2: Führen Sie den folgenden Befehl genau wie gezeigt aus.

([System. Text. Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match ‚Windows UEFI CA 2023′)

PowerShell-Ausgabe, die das Windows UEFI CA 2023-Update bestätigt
PowerShell-Ausgabe, die den Aktualisierungsstatus des Windows UEFI CA 2023-Zertifikats bestätigt.

Schritt 3: Ergebnis interpretieren

  • True : Dies bedeutet, dass das Windows UEFI CA 2023-Zertifikat bereits in Ihrer Secure Boot-Datenbank vorhanden ist und bestätigt, dass Ihr System bereit ist, auch wenn die Ereignisanzeige noch Staging- oder Beobachtungsmeldungen anzeigt.
  • Falsch : Dies bedeutet, dass Ihr Gerät das Zertifikat noch nicht erhalten hat. Dies ist kein Fehler und erfordert keine Maßnahmen; Ihr PC wartet lediglich darauf, im Rahmen des Bereitstellungsprozesses an die Reihe zu kommen.

So überprüfen Sie das Update in der Ereignisanzeige

Wenn der PowerShell-Befehl „True“ zurückgibt und Sie zur Sicherheit die offiziellen Protokolle einsehen möchten, finden Sie diese auf einfache Weise im Systemprotokoll, ohne unzählige Ereignisse durchsuchen zu müssen:

  1. Öffnen Sie die Ereignisanzeige (Sie finden sie im Startmenü).
  2. Navigieren Sie zu Windows-Protokolle > System.
  3. Klicken Sie auf der rechten Seite auf „Aktuelles Protokoll filtern…“.
  4. Scrollen Sie im Dropdown-Menü „Ereignisquellen“ nach unten und aktivieren Sie das Kontrollkästchen für TPM-WMI (dies wird möglicherweise als Microsoft-Windows-TPM-WMI angezeigt).
  5. Klicken Sie auf OK.
So überprüfen Sie das Update in der Ereignisanzeige
Schritte zur Überprüfung von Secure-Boot-Updates in der Ereignisanzeige.

Suchen Sie nach dem Filtern nach der Ereignis-ID 1808. Wenn diese angezeigt wird, bestätigt dies die erfolgreiche Anwendung des neuen Secure-Boot-Zertifikats. Möglicherweise wird auch die Ereignis-ID 1034 angezeigt, die darauf hinweist, dass die Aktualisierung der DBX-Sperrliste ebenfalls erfolgreich abgeschlossen wurde.

Im Fenster der Windows-Ereignisanzeige ist das Ereignis mit der ID 1808 ausgewählt.
Bestätigung der neuen Secure-Boot-Schlüssel über die Ereignis-ID 1808 in der Ereignisanzeige.
Windows-Ereignisanzeige zeigt Ereignis-ID 1034 mit folgender Meldung an:
Ereignis-ID 1034 zeigt ein erfolgreiches Secure Boot DBX-Update an.

Es ist wichtig zu beachten, dass diese beiden Prüfungen mitunter widersprüchliche Ergebnisse liefern können. Manche Benutzer erhalten in PowerShell das Ergebnis „Wahr“, während die Ereignisanzeige weiterhin Warnungen bezüglich nicht angewendeter Zertifikate auf der Firmware protokolliert. Diese Diskrepanz ist normal; möglicherweise wird das Betriebssystem zuerst aktualisiert, die Firmware-Anwendung erfolgt anschließend, eventuell nach Neustarts oder anderen Updates.

Solange PowerShell „True“ zurückgibt, ist Ihr System in Ordnung. Die Ereignisprotokolle können ab diesem Zeitpunkt getrost ignoriert werden.

Sollten Sie Ihr BIOS umgehend aktualisieren?

Bezüglich eines BIOS-Updates ist kein sofortiges Handeln erforderlich.

Ein weit verbreitetes Missverständnis im Zusammenhang mit dieser Einführung ist die Annahme, Microsoft würde Firmware-Änderungen direkt vornehmen. Tatsächlich werden BIOS- und UEFI-Firmware vom Gerätehersteller unabhängig von Windows Update verwaltet. Daher kann Microsoft die Secure-Boot-Schlüssel nicht willkürlich auf Firmware-Ebene für alle Geräte aktualisieren, ohne sich mit OEMs wie Dell, Lenovo, HP, ASUS, Acer und anderen abzustimmen.

Ein Mann sitzt an einem Schreibtisch und arbeitet an zwei Surface-Laptops mit externem Monitor, um Geräte zu reparieren.
Quelle: Microsoft

Firmware-Updates sind deutlich heikler als Betriebssystem-Updates. Während ein fehlgeschlagenes Windows-Update oft rückgängig gemacht werden kann, kann ein fehlgeschlagenes Firmware-Update dazu führen, dass der PC nicht mehr startet. Daher müssen Gerätehersteller die Übertragung der Secure-Boot-Schlüssel sorgfältig prüfen und Updates erst dann veröffentlichen, wenn sie sicher sind, dass diese keine plattformspezifischen Konfigurationen beeinträchtigen.

Ein BIOS-Update sollten Sie nur dann in Erwägung ziehen, wenn:

  • Ihr Gerätehersteller empfiehlt dies ausdrücklich.
  • Die aktualisierte Dokumentation bezieht sich auf Änderungen an Secure-Boot-Zertifikaten.
  • Sie verfügen über das nötige Wissen und die Erfahrung, um Firmware-Updates durchzuführen und die damit verbundenen Risiken zu verstehen.

Solche Updates sind häufig für Unternehmensumgebungen konzipiert und können die Sicherheit beeinträchtigen, wenn sie nicht ordnungsgemäß durchgeführt werden.

Falls Sie den Eindruck haben, dass Microsoft in letzter Zeit im Hintergrund aktiver geworden ist, liegt das daran, dass dies tatsächlich der Fall ist. Das Update des Secure-Boot-Zertifikats war zwar angesichts des Alters des vorherigen Zertifikats (15 Jahre) zu erwarten, doch Microsoft setzt sich standardmäßig für die Stärkung der Windows-Sicherheit ein.

Quellen & Bilder