Windows 11 benachrichtigt Sie, wenn Secure-Boot-Zertifikate überprüft werden müssen.

Windows 11 benachrichtigt Sie, wenn Secure-Boot-Zertifikate überprüft werden müssen.

Microsoft erweitert die Windows-Sicherheits-App um Einblicke in sichere Startzertifikate

In einem wichtigen Update erweitert Microsoft die Windows-Sicherheitsanwendung, um Nutzern umfassende Informationen zu Secure-Boot-Zertifikataktualisierungen bereitzustellen. Diese Verbesserung soll Nutzern helfen, den Sicherheitsstatus ihres Geräts beim Systemstart besser zu verstehen, insbesondere im Hinblick auf das bevorstehende Ablaufdatum des Zertifikats im Jahr 2026.

Leitfäden für verschiedene Benutzergruppen

Zusammen mit diesem Update hat Microsoft zwei detaillierte Leitfäden für unterschiedliche Zielgruppen veröffentlicht: einen für Windows Home- und Pro-Nutzer und einen weiteren für IT-Administratoren von Unternehmensgeräten. Nutzer können ihren Secure-Boot-Status nun direkt in der App unter Windows-Sicherheit > Gerätesicherheit > Secure Boot einsehen und so überprüfen, ob sie die neuesten Zertifikate von 2023 erhalten haben, noch ältere Versionen verwenden oder aufgrund potenzieller Kompatibilitätsprobleme Maßnahmen ergreifen müssen.

Das Windows-Sicherheits-Dashboard bietet eine schnelle und benutzerfreundliche Möglichkeit zu überprüfen, ob Ihre Hardware-Sicherheitsfunktionen auf Betriebssystemebene aktiv sind.
Anzeige des aktiven Secure-Boot-Status im Windows-Sicherheits-Dashboard.

Wichtige Aktualisierungsinformationen

Die betreffenden Zertifikate wurden ursprünglich 2011 ausgestellt und laufen 2026 ab. Microsoft hat über Windows Update einen automatischen Aktualisierungsmechanismus eingeführt, um diesen Prozess zu vereinfachen. Die neuen Statusanzeigen werden ab April 2026 bereitgestellt, weitere Benachrichtigungen und Benutzersteuerungen folgen im Mai 2026, um Nutzern bei Bedarf zusätzliche Unterstützung zu bieten.

Bei einigen Systemen traten bereits Schwierigkeiten bei der Implementierung der neueren Secure-Boot-Zertifikate aufgrund von Firmware-Beschränkungen auf. Bisher mussten Benutzer manuelle Prüfungen durchführen oder Befehlszeilentools zur Verifizierung verwenden; das neueste Update vereinfacht dies jedoch erheblich.

Benutzererfahrung für Windows Home und Pro

Die Windows-Sicherheits- App zeigt nun den Status des Secure-Boot-Zertifikats unter „ Gerätesicherheit > Secure Boot“ übersichtlich an. Dort wird ein Statussymbol zusammen mit einer kurzen Erläuterung des aktuellen Gerätestatus angezeigt.

Erläuterung der Statusindikatoren:

  • Grün: Alle Komponenten sind vollständig aktualisiert und funktionsfähig.
  • Gelb: Es besteht eine mögliche Einschränkung, in der Regel aufgrund älterer Zertifikate.
  • Rot: Sofortiges Handeln ist erforderlich, da das Gerät keine notwendigen Secure Boot-Updates empfangen kann.

Der Status wird auch im Windows-Sicherheitssymbol in der Taskleiste angezeigt und spiegelt den allgemeinen Sicherheitszustand des Geräts wider.

Den Rollout-Zeitplan verstehen

Dieser wichtige Aktualisierungsprozess gilt standardmäßig für Windows Home- und Pro-Geräte und beginnt ab April 2026 mit der Anzeige des Secure-Boot-Status in der App.Im Mai 2026 werden dann verbesserte Benachrichtigungen und Anleitungen für Geräte bereitgestellt, die Maßnahmen erfordern oder keine Updates empfangen können.

Entschlüsselung der Secure-Boot-Statussymbole

Ein grünes Häkchen-Symbol zeigt an, dass das Gerät alle erforderlichen Secure-Boot-Zertifikatsaktualisierungen sowie den aktualisierten Boot Manager erfolgreich erhalten hat. Es sind keine weiteren Maßnahmen erforderlich.

Im Abschnitt „Secure Boot“ wird der Status „vollständig aktualisiert“ mit einem grünen Häkchensymbol angezeigt.
Visuelle Darstellung eines vollständig aktualisierten Secure-Boot-Status.

Ein gelbes Warnsymbol signalisiert in der Regel eine Einschränkung und weist häufig darauf hin, dass das Gerät noch mit älteren Zertifikaten arbeitet. Diese Warnung bleibt so lange bestehen, bis das Gerät ein automatisches Update erhält, welches jedoch durch Hardware- oder Firmware-Beschränkungen beeinträchtigt werden kann.

Im Abschnitt „Secure Boot“ wird der Status „Noch nicht aktualisiert“ mit einem gelben Warnsymbol angezeigt.
Darstellung des Status „Noch nicht aktualisiert“ mit einem gelben Warnsymbol.

Ein schwerwiegenderes Problem wird durch ein rotes Stoppsymbol angezeigt. Dieses bedeutet, dass das Gerät keine wichtigen Secure-Boot-Updates empfangen kann, die den Windows-Startvorgang beeinträchtigen. Dies gewinnt zunehmend an Bedeutung, je näher das Ablaufdatum der Zertifikate rückt, da Geräte ohne Updates sowohl Sicherheitslücken als auch Kompatibilitätsprobleme aufweisen können.

Der Abschnitt „Secure Boot“ zeigt den Status „Aktion erforderlich“ mit einem roten Stoppsymbol an.
Abbildung des Status „Handlungsbedarf“, dargestellt durch ein rotes Stoppsymbol.

Nächste Schritte basierend auf dem Secure-Boot-Status

  • Um Probleme mit älteren Konfigurationen zu beheben, stellen Sie sicher, dass die neuesten Windows-Updates installiert sind und starten Sie Ihr Gerät neu.
  • Falls Updates aufgrund von Kompatibilitätsproblemen pausiert werden, können Sie sicher sein, dass Microsoft sie automatisch wieder aufnimmt, sobald das Problem behoben ist.
  • Falls die Anzeige auf Hardware- oder Firmware-Beschränkungen hinweist, erkundigen Sie sich beim Gerätehersteller nach der Möglichkeit manueller Aktualisierungen.
  • Bei Geräten, die nicht mehr den erforderlichen Aktualisierungen entsprechen, sollten Sie sich beraten lassen, wie Sie ältere Zertifikate aktualisieren können.

Systembenachrichtigungen und Benutzerinteraktionen

Der neu implementierte Secure-Boot-Status beeinflusst die systemweite Kommunikation von Sicherheitsproblemen unter Windows.Änderungen auf einen gelben oder roten Status können erhöhte Sicherheitswarnungen in der Taskleiste auslösen.

Das Windows-Sicherheitssymbol in der Taskleiste zeigt ein grünes Häkchen an.
Windows-Sicherheitssymbol in der Taskleiste mit einem grünen Häkchen.

Ab Mai 2026 werden die Benachrichtigungen über die App hinausgehen und eine proaktive Einbindung der Nutzer hinsichtlich des Aufmerksamkeitsbedarfs gewährleisten.

Benachrichtigungen verwerfen: Was Sie wissen müssen

Nutzer haben die Möglichkeit, Warnungen zu ignorieren, sollten sich aber darüber im Klaren sein, dass dadurch lediglich die Warnung ausgeblendet wird:

  • Bei gelben Statusmeldungen werden durch das Schließen der Meldungen vorübergehend die Benachrichtigungen entfernt, das Problem bleibt jedoch in der App sichtbar.
  • Bei roten Statusmeldungen ist für die Löschung die Genehmigung eines Administrators über die Option „Risiko akzeptieren“ erforderlich. Es ist wichtig zu verstehen, dass die zugrunde liegenden Probleme weiterhin ungelöst bleiben.

Ein längerer Verbleib in diesen Warnzuständen kann letztendlich zum Verlust des Zugangs zu zukünftigen, wichtigen Sicherheitsupdates im Zusammenhang mit dem Systemstart führen.

Erwartete Benutzererfahrung

Die meisten Nutzer können davon ausgehen, dass ihre Geräte automatisch relevante Updates über Windows Update erhalten. Der grüne Status bestätigt den normalen Betrieb. Gelbe Warnungen deuten in der Regel auf Kompatibilitätsprobleme hin, während rote Warnungen auf potenziell ungelöste Sicherheitslücken hinweisen.

Geräte, die keine aktualisierten Zertifikate erhalten, funktionieren zwar möglicherweise eine Zeit lang, bergen aber das Risiko von Komplikationen bei zukünftigen Updates, Firmware-Aktualisierungen oder Secure-Boot-abhängigen Funktionen. Im Gegensatz dazu kann bei Unternehmensgeräten ein unterschiedlicher Verwaltungsansatz angewendet werden, da die IT-Richtlinien die Sichtbarkeit dieser Indikatoren regeln und nicht die direkte Interaktion der Benutzer.

Die Sicht von IT-Administratoren auf den Secure-Boot-Status

In Unternehmensumgebungen mit Windows-Geräten und Windows Server sind die Statusanzeigen für Secure-Boot-Zertifikate standardmäßig deaktiviert. Administratoren sind für die zentrale Verwaltung von Updates verantwortlich, um Verwirrung bei den Benutzern durch Warnmeldungen zu vermeiden.

Unterschiede im Server- und Enterprise-Gerätemanagement

Windows Server verhält sich beim Secure-Boot-Management anders. Die Windows-Sicherheits-App ist zwar zugänglich, der Benachrichtigungsdienst wird jedoch nicht automatisch aktiviert. Das bedeutet, dass Statusprüfungen nur dann durchgeführt werden, wenn sie manuell angestoßen werden.

Auf von Unternehmen verwalteten Windows 10- und Windows 11-Geräten werden zwar App-Funktionalität und Statusdaten erfasst, Indikatoren und Benachrichtigungen bleiben jedoch ausgeblendet, sofern sie nicht explizit aktiviert werden.

So aktivieren IT-Administratoren die Sichtbarkeit des Secure-Boot-Status

IT-Administratoren können diese Funktionalität über eine Registry-Richtlinie aktivieren, indem sie zu folgender Adresse navigieren:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Device security

Innerhalb dieses Pfades:

  • Schlüssel: HideSecureBootStates
  • Wert 0: Zeigt den Secure-Boot-Status an
  • Wert 1: Verbirgt den Secure-Boot-Status

Fehlt dieser Schlüssel, ist Secure Boot standardmäßig für Home/Pro-Benutzer aktiviert, für Enterprise/Server-Benutzer jedoch deaktiviert.

Die Rollout-Strategie und die unterstützten Versionen verstehen

Der Rollout-Prozess erfolgt in zwei Phasen, abhängig von den Betriebssystemversionen:

  • Phase 1 (April 2026): Einführung der Sichtbarkeit des Secure-Boot-Status in Windows Security mit klaren Hinweisen und Support-Links.
  • Phase 2 (Mai 2026): Implementierung von Benachrichtigungen, Abmeldeoptionen und Warnmeldungen sowie strengere Maßnahmen für nicht unterstützte Konfigurationen.

Diese Einführung umfasst Windows 11, Windows 10 und kompatible Windows Server-Versionen und erfolgt im Einklang mit Anwendungs- und kumulativen Updates.

Erwartungen von Unternehmen an den Umgang mit Microsoft

Microsoft geht davon aus, dass Unternehmen die Verteilung von Secure-Boot-Zertifikaten zentral steuern werden, indem sie strukturierte Tracking-Methoden und auf Compliance ausgerichtete Secure-Boot-Playbooks nutzen.

Der Schwerpunkt liegt auf der Umsetzung der Richtlinien und nicht allein auf dem Bewusstsein der Nutzer oder manuellen Eingriffen.

Auswirkungen auf Organisationen

Ohne angemessene Überwachung können Geräte weiterhin mit veralteten Zertifikaten arbeiten, ohne dass dies zu Benachrichtigungen an die Endbenutzer führt. Dadurch entsteht eine gefährliche Lücke, in der die Geräte zwar normal zu funktionieren scheinen, aber den sich ständig weiterentwickelnden Sicherheitsstandards nicht entsprechen.

Administratoren sollten aktiv die Firmware-Kompatibilität der Geräte überprüfen, die Zertifikatsbereitstellung überwachen und zeitnahe Aktualisierungen auf allen Systemen sicherstellen, um zukünftige Komplikationen zu vermeiden.

Das Auftreten von Secure-Boot-Warnungen, insbesondere solcher, die rot oder gelb angezeigt werden, ist nicht willkürlich; sie dienen Microsofts proaktiven Bemühungen, Geräte auf das bevorstehende Ablaufen älterer Zertifikate vorzubereiten.

Jede eingehende Benachrichtigung sollte als Aufforderung zum Handeln und nicht als Anlass für Frustration gesehen werden, sondern Klarheit über die aktuelle Sicherheitslage und die notwendigen Maßnahmen zur Minderung künftiger Risiken schaffen.

Quellen & Bilder

Ähnliche Artikel:

April 2026: Projekt Universe – Codes und Updates
NBA-Meisterschaft April 2026: Basketball-Codes und Tipps

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert