Microsoft hat sich jetzt etwas konkreter dazu geäußert, was Windows-Rechner erwartet, die die anstehende Secure-Boot-Erneuerung im Juni 2026 verpassen. Spoiler vorweg: Niemand wird einen toten Klotz auf dem Schreibtisch haben. Aber die Folgen sind handfest genug, dass man als Admin oder versierter Privatnutzer den nächsten Monat nicht einfach durchwinken sollte. Bei meinen Kunden gehe ich gerade Gerät für Gerät durch und prüfe, wo der Stand ist — und sehe genug Maschinen, bei denen die Sache noch nicht erledigt ist.
Worum es bei der Juni-Frist eigentlich geht
Die Secure-Boot-Zertifikate stammen aus dem Jahr 2011 und sind in der UEFI-Firmware so vieler Windows-Rechner hinterlegt, dass deren regelmäßiges Erneuern für Microsoft eine logistische Aufgabe ist. Im Juni 2026 läuft der ursprüngliche Schlüsselsatz ab. An seine Stelle treten die 2023er-Zertifikate, die bis 2038 gültig sind.
Knifflig wird es, weil die neuen Schlüssel direkt in der UEFI-Firmware des Mainboards landen — nicht in einer Konfigurationsdatei, nicht im Registry-Pfad, sondern in der Hardware-Schicht zwischen Boot-Knopf und Betriebssystem. Microsoft hat dafür unter Windows einen eigenen „Secure Boot“-Ordner eingerichtet, in dem die kryptografischen Dateien zwischengespeichert werden, bevor sie übertragen werden. Dass dabei mehrere Neustarts nötig sind, ist normal — und genau der Grund, warum der Rollout in Etappen läuft.
Was passiert, wenn man nichts tut
Microsoft hat in einer Fragestunde mit drei beteiligten Ingenieuren genauer beschrieben, welche Folgen ein verpasster Rollout hat — und das Bild ist weniger dramatisch, als manche Schlagzeilen es ausgemalt haben. Die Maschine startet weiterhin und läuft im Alltag normal. Kein Bricked-PC, kein Boot-Loop, kein Reparatur-Stick-Marathon.
Was wegfällt, sind die bootkritischen Sicherheitsupdates. Konkret heißt das: Der neueste Windows Boot Manager läuft auf dem Gerät nicht mehr, und die DBX-Sperrlisten — die schwarze Liste bekannter Boot-Malware — werden nicht mehr aktualisiert. Wer schon mal mit Bootkits zu tun hatte oder nur weiß, was die Angriffsklasse anrichten kann, sieht hier sofort das Problem. Dazu kommt: Künftige Windows-Updates mit neuen Funktionen sollen sich auf nicht-aktualisierten Maschinen nicht mehr installieren lassen.
In der Praxis ist das für eine Privatmaschine, die ohnehin von einem normalen Anwender genutzt wird, eher ein abstraktes Risiko. Für Firmenrechner — und erst recht in Bereichen, in denen Compliance-Vorgaben mitgelesen werden — wird es relevanter. Ich habe in den letzten Jahren genug UEFI-Updates begleitet, um zu wissen, dass auch saubere Microsoft-Prozesse bei manchen Geräten haken; entsprechend lohnt es sich, jetzt zu prüfen statt im Juli zu reparieren.
So prüft man den Status auf dem eigenen Rechner
Der Check ist halbwegs unspektakulär. Unter Windows 11 öffnet man die Einstellungen, geht zu „Datenschutz und Sicherheit“, weiter zu „Windows-Sicherheit“ und dort zu „Gerätesicherheit“. Erscheint bei „Sicherer Start“ ein grüner Haken im Kreis, ist der Rechner versorgt. Steht dort gelb oder rot, lohnt sich der Blick auf die weiterführenden Hinweise, die Microsoft direkt darunter anbietet.
Zwei Punkte, die in der Praxis Sorge machen, kann man entspannt abhaken: Die BitLocker-Verschlüsselung muss für das Update nicht aufgehoben werden. Und sehr alte Maschinen, die noch ohne UEFI mit klassischem BIOS arbeiten, sind von der Sache überhaupt nicht betroffen — sie bekommen das Update gar nicht. In gemischten Geräteparks heißt das vor allem: gezielt prüfen, statt pauschal Sorge zu haben.
Einordnung für die nächsten Wochen
Wer das alles zusammennimmt, landet bei einer Einschätzung zwischen Schreckens-Schlagzeile und „kann man ignorieren“. Der Aufwand für ein Privatgerät ist überschaubar — einmal in die Sicherheits-App schauen, gegebenenfalls dem System ein paar Updates und Neustarts zugestehen. In Firmenumgebungen lohnt sich der systematische Durchgang, gerade wenn der Park aus mehreren Generationen besteht. Und für die selten ausgeschalteten Maschinen, die irgendwo im Schrank stehen und nur alle drei Monate hochgefahren werden, gilt der bekannte Hinweis: rechtzeitig Strom geben, sonst wird das nichts mit dem Rollout.
