Microsoft wird ab dem 8. April 2026 ein App-Update für Windows Sicherheit bereitstellen. Damit verbunden wird dann unter Windows Sicherheit -> Gerätesicherheit -> Sicherer Start angezeigt, wie der Status für die neuen Boot-Zertifikate ist. Wie wir wissen, werden die alten Zertifikate ersetzt.
Microsoft betont, dass diese Variante vorrangig für die Heimnutzer (Home / Pro) ist. Ist das App Update installiert wird in der Windows Sicherheits App dann angezeigt, ob der Wechsel des Zertifikats schon erledigt ist, oder nicht. Dann werden drei verschiedene Anzeigen zu sehen sein.
- Ein grüner Haken, sagt aus, dass alles in Ordnung ist und man sich nicht kümmern muss
- Ein gelbes Ausrufezeichen besagt, dass der Rechner noch mit dem alten Zertifikat läuft, aber ein Update über Windows Update angewendet werden kann. Ab Mai 2026 kann hier dann ein zusätzlicher Text erscheinen.
- Ein rotes Kreuz besagt, dass ein Sicherheitsupdate zwar bereitsteht, aber nicht angewendet werden kann. „Dieser Zustand tritt erst auf, nachdem eine Sicherheitslücke entdeckt wurde, die den Startvorgang beeinträchtigt, und kann auf Geräten, die die aktualisierten Zertifikate noch nicht erhalten haben, nicht behoben werden. Dies könnte bereits im Juni 2026 der Fall sein, wenn einige der aktuellen Secure-Boot-Zertifikate ablaufen. In diesem Fall ändert sich das Secure-Boot-Symbol zu einem roten Stopp-Symbol.“
Bei den Heim-Geräten (Home / Pro) wird dieser Zustand automatisch angezeigt. Bei verwalteten Firmengeräten muss dies von den Administratoren erst aktiviert werden.
Wie man im Bild sehen kann, ist es möglich, die Anzeige auszublenden. Das wird aber nicht empfohlen. Microsoft gibt auch noch auf ein paar Fragen Antworten. Wichtig ist wohl:
- Muss ich etwas unternehmen? „In den meisten Fällen sind keine Maßnahmen erforderlich. Das Update für das Secure-Boot-Zertifikat wird automatisch über Windows Update auf Privatanwender-PCs und einigen Unternehmensgeräten bereitgestellt. Stellen Sie sicher, dass Ihr Gerät mit dem Internet verbunden ist und die neuesten Updates installiert sind. Wenn die Windows-Sicherheits-App für „Secure Boot“ ein grünes Häkchen anzeigt, sind keine Maßnahmen erforderlich.“
- Warum wird ein gelbes Ausrufezeichen angezeigt? Ein gelbes Symbol bei „Secure Boot“ bedeutet, dass bei Ihrem Gerät ein behebbares Problem vorliegt, beispielsweise eine Hardware- oder Firmware-Einschränkung, die die automatische Zertifikatsaktualisierung verhindert. Wenden Sie sich an den Hersteller Ihres Geräts, um Unterstützung zu erhalten.
- Warum wird ein rotes Symbol angezeigt? Ein rotes Symbol bei „Secure Boot“ weist darauf hin, dass eine Sicherheitslücke vorliegt, die bei der aktuellen Startkonfiguration Ihres Geräts nicht behoben werden kann. Hier gibt es dann weitere Anleitungen
- Was passiert, wenn mein Gerät keine neuen Zertifikate erhält? Ihr Gerät wird noch eine Zeit lang normal funktionieren. Sobald jedoch die aktuellen Secure-Boot-Zertifikate ablaufen, kann es sein, dass Ihr Gerät nach und nach keine Sicherheitsupdates mehr erhält, die den Windows-Startvorgang schützen (Anmerkung: Es geht nicht um die monatlichen Windows Sicherheitsupdates). Dies kann auch zu Kompatibilitätsproblemen führen, da neuere Betriebssysteme, Firmware, Hardware oder Secure-Boot-abhängige Software möglicherweise nicht mehr geladen werden können. Die Windows-Sicherheits-App wird Sie durch die nächsten Schritte führen.
Also: Am 8. April wird dann die App aktualisiert. Im Mai werden diese Anzeigen dann noch verfeinert. Und am 14. April kommen dann mit dem Sicherheitsupdate April weitere Änderungen für die Zertifikate mit. Es ist also noch kein Grund, in Panik zu verfallen.
[Update]: In einigen Insider Versionen (hier die Canary 295xx) wird der neue Text schon vorab angezeigt.
„Sicherer Start ist aktiviert, aber Ihr Gerät verwendet eine ältere Startvertrauenskonfiguration, die aktualisiert werden soll. Es sind noch
nicht genügend Daten vorhanden, um Ihr Gerät für ein automatisches Update zu klassifizieren. Weitere Informationen finden Sie unter dem nachstehenden Link.“
Falls ihr eine Beta/Dev/Canary nutzt, schaut einfach mal unter Gerätesicherheit nach.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 25H2 26200. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 auch ohne TPM und Secure Boot installieren.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Und wie wird *das angezeigt?
*Secure Boot is on, and you’ve updated everything manually.
Bestimmt nicht nur so ✅ sondern so ✅👍
Immerhin kümmert sich Microsoft darum (ok, müssen sie ja eigentlich auch).
Dennoch wäre für den absoluten Notfall auch eine Anleitung sinnvoll, die erklärt, wie man
die neuen Zertifikate und Datenbank-Updates direkt ins BIOS schreibt.
Auch das wäre ja möglich, denn es gibt dort Optionen wie „Neuen Schlüssel laden“ o.ä.
Moin Maik
vielleicht hilf dir das weiter.
https://www.windowspro.de/wolfgang-sommergut/uefi-zertifikate-fuer-secure-boot-installieren-erfolg-ueberpruefen-fehler
Gruß Grobu847
btw:
Dort steht:
Sperre der alten Zertifikate ist irreversibel…
Um diese Bedrohung zu beseitigen, müssen nicht nur die neuen Zertifikate installiert, sondern die alten zusätzlich gesperrt werden. Da diese Aktion unwiderruflich ist…
Das ist nicht so, es kommt immer auf die Hardware an, ich kann im Bios mit zwei Mausklicks an den richtigen Stellen alles löschen und dann mit einem Mausklick alles wieder auf 2011 stellen und nach zwei Neustarts jede alte Version der 25H2 installieren, oder jedes andere OS.
#Benny
My friend, you forgot to mention that after each of these mouse clicks in the BIOS/UEFI, a random number is also generated and requested, which you have to confirm; keep in mind we have the same hardware.
Moin,
Danke für den Link.
An sich sehr interessant, aber das meinte ich nicht.
Ich meinte, dass man ins BIOS bootet, sich durch (vermutlich) viele Fenster hangelt, bis man
zur Schlüsselverwaltung kommt und dort die neuen 2023-Keys und Datenbankeinträge,
die vermutlich aus mehreren Dateien bestehen, einfügt.
Ich meine nicht irgendwelche wilden Registry- und Task-Aktionen unter Windows.
Zuerst wäre es wohl nötig, genau zu wissen, welche Dateien nötig sind und wo man diese downloaden kann.
Ich habe mal gelesen, dass diese neuen Zertifikate auch unter GitHub verfügbar sein sollen,
aber in diesen GitHub-Seiten steige ich nicht durch.
Gruß, Maik
Du meinst sicherlich den Link?
https://www.deskmodder.de/blog/2026/03/24/windows-secure-boot-zertifikate-laufen-2026-ab-alte-zertifikate-werden-ersetzt/#comment-326270
Die Check… Dateien zeigen dir dann an, wie dein Status ist.
Danke, aber wie gesagt: Ich steige bei diesen GitHub-Seiten nicht durch.
Wenn, so wie hier schon beschrieben, wird wohl erst einmal aufgezeigt werden müssen, was für Daten ins (UEFI-)Bios geschrieben werden müssen und wo man diese nun dann genau herbekommt.
Damit meine ich, dass man ins BIOS bootet und dort per Hand die nötigen Dateien einfügt.
Ich rede hier nicht um wilde Windows-Anweisungen in der Registry oder Task-Anweisungen.
Es geht mir auch nicht um diese „(Check-)cmd-Abfragen“.
Theoretisch macht das dein Mainboardanbieter durch ein BIOS Update, wenn es für das Board noch welche gibt. Ansonsten übernimmt bei manchen Modellen das auch soagr MS mit einem WindowsUpdate und spielt die Zertifikate in den Zertifikatsspeicher vom BIOS.
Normallerweise (wenn der Rechner jünger als 10 Jahre ist) sollte eins von beiden auf jedenfall durchgeführt werden. Daher braucht man sich nicht viele Gedanken machen.
Falls es doch soweit kommt, dass keines der beiden Sachen gemacht wurde und die zertifikate im BIOS fehlen, kann man SecureBoot deaktivieren, dann startet Windows ganz normal und man kann dann danach suchen, wie man die Zertifikate im BIOS manuell aktulisieren kann.
Falls dein Board Win11 tauglich ist, sollte es keine Probleme geben, dass die sachen automatisch/von alleine laufen und aktulisiert wirden.
@florian: Ich habe einen fast sechs Jahren alten Acer Gaming Laptop: Nitro AN517-52 und laut dem telefonischen Support von Acer wird es kein UEFI Update für die neuen Boot-Zertifikate geben. Auch ein Windows Update wird es laut Acer nicht geben!
Mein Board ist so um die 3 -4 Jahre alt und ASUS stellt tatsächlich noch BIOS-Updates zur Verfügung.
Das Aktuelle ist vom 3.2.2026.
In den Beschreibungen steht aber nicht, dass dort neue Secure-Boot-Zertifikate enthalten sind.
Mir geht es darum, dass man im absoluten Notfall ins BIOS bootet, sich durch (vermutlich) viele Fenster hangelt, bis man zur Schlüsselverwaltung kommt, und dort die neuen 2023-Keys (PK/KEK/DB/DBX) per Hand einfügt.
Hier mal ein Link zur BIOS-Update-Liste von ASUS:
https://rog.asus.com/de/motherboards/rog-strix/rog-strix-b550-a-gaming-model/helpdesk_bios/
Durch das Thema kämpfe ich seit Wochen mit dem Booten bei der Datensicherung mittels Clonezilla – Live auf einem bootbaren USB-Stick (Rufus). Inzwischen muss ich für jeden meiner 3 W11-PC, den 2 W10-PC und für das 15 Jahre alte COSF-Notebook (Fujitsu E782) einen separaten Bootstick verwenden, sonst scheitert der Bootvorgang mit einer Fehlermeldung. Die Auswahl des Bootmediums mittels F-Taste ist ja auch schon lange nicht mehr möglich. So muss ich jedes mal vorher mittels F2 ins BIOS und dort manuell den USB-Bootstick an die erste Stelle rücken.
Datensicherung mache ich wöchentlich, monatlich und quartalsweise. Es gibt also für jeden der 5 PC satte 5 externe Sicherungsmedien. Bei mir werden als Datensicherung Image von Datenträgern und/oder Partitionen erstellt. An diesem PC29 dauert die quartalsweise DS satte 7 Stunden.
Ein eindeutiges Layer-8-Problem. Man kennts.
Na dann erkläre doch mal, welche Einstellungen wo notwendig sind, damit ich an allen Geräten ohne Probleme den identischen USB-Stick verwenden kann. Aber bitte Einstellungen, die 1. nicht die Sicherheit beeinträchtigen und 2. die Tatsache berücksichtigen, das 4 der Geräte eine Multibootumgebung mit 4 verschiedenen Betriebssystemen haben (PC22 z.B. W10P, W7P, LM, COSF).
Wiso hat man 5 PCs????
Muss ich wegen der neuen Zertifikate ein neues Bootmedium (USB-Stick) für meine Backup-Software (Aomei Backupper) erstellen?
Das ist doch aber Murks – diese Aussage
„Sicherer Start ist aktiviert, aber Ihr Gerät verwendet eine ältere Startvertrauenskonfiguration, die aktualisiert werden soll. Es sind noch
nicht genügend Daten vorhanden, um Ihr Gerät für ein automatisches Update zu klassifizieren. …“
Es wird grün angezeigt, aber theoretisch kann es dann doch passieren, dass ein automatisches Update nicht möglich ist, oder?
Übrigens, das ist teileweise der gleiche Text, der schon jetzt in der Fehlermeldung im Event Viewer steht.
Also an sich nichts neues, wird halt nur zusätzlich woanders angezeigt.
Sicherlich holt sich Windows Sicherheit den Text auch von dort.
Geht jetzt ja auch primär darum, dass Microsoft es schon vor dem 8.04. in den Insidern testet.
Für den Normalmenschen ist die Ereignisanzeige wohl etwas das er nie im Leben zu Gesicht bekommen wird.
Ok, andererseits könnte man auch argumentieren, dass das gleiche für die Windows-Sicherheit, und die Kenntnis was überhaupt Secure Boot ist, gilt.
Daher bin ich ja auch immer dafür, heutzutage komplizierte Sachverhalte möglichst einfach und kurz zu vermitteln. Insbesondere in einer IT-Welt, die immer komplizierter und aufgeblasener wird.
Schon, bin bei dir, aber die Beschreibung zu dem Text ist
„Your device might need additional validation before the update can proceed automatically. Visit aka.ms/getsecureboot for more information.“
Ich glaube kaum, dass normalsterbliche es verstehen
Angenommen man nutz das Windows 10 weitere ohne die erweiterten Updates bis Oktober 2026. Gibt es da ab Juni ernsthafte Probleme?
Das gleiche was für Windows 11 gilt, gilt auch für Windows 10. Aber warum sollte man die Updates nicht einspielen?
gepostet mit der Deskmodder.de-App für Android
Nimmt mich nur wunder, es gibt sicher viele die Win 10 weiternutzen und nichts von EOL und den erweiterten Updates wissen und dann eines Tages die Kiste nicht mehr aufstartet
Hast auch wieder recht
gepostet mit der Deskmodder.de-App für Android