Secure Boot ist eine der wichtigsten Sicherheitsarchitekturen moderner Windows-Systeme. Die Technologie überprüft bereits beim Hochfahren des Computers, bevor auch nur das Betriebssystem startet, ob nur vertrauenswürdige Software geladen wird. Sie fungiert als sogenannte “Fundamentale Vertrauensverankerung” — die Hardware-basierte Grundlage, auf der die gesamte Sicherheitsarchitektur des Systems aufbaut.
Die Bedrohung durch UEFI-Bootkits ist real und ernst zu nehmen. Diese hochprivilegierten Malware-Varianten wie BlackLotus können tiefe Systemebenen infizieren und sind extrem schwer zu entfernen. Gerade deshalb hat Microsoft Secure Boot entwickelt und kontinuierlich weiterentwickelt. Die neuen 2023er-Zertifikate, die Microsoft ab Juni 2024 verbindlich macht, bieten erweiterte kryptographische Sicherheitsverfahren und eine bessere Segmentierung der Zertifizierungsstellen.
Das Problem liegt in der fragmentierten Update-Landschaft. Während Privatnutzer mit automatischen Updates und Kleinstunternehmen meist schon die neuen 2023er-Zertifikate haben, sieht es in größeren Organisationen anders aus. In Unternehmensumgebungen werden Windows-Updates bewusst gestaffelt eingespielt, um Stabilität und Anwendungskompatibilität zu gewährleisten. Viele Systeme laufen daher noch mit den ursprünglichen 2011er-Zertifikaten.
Microsoft hat die Zertifikatsvergabe bewusst als eine der größten koordinierten Sicherheitswartungsmaßnahmen im gesamten Windows-Ökosystem konzipiert. Doch hier liegt auch die zentrale Herausforderung: Unternehmen müssen Tausende oder Zehntausende von Endpoints inventarisieren und aktualisieren. Richard Hicks, Cybersecurity-Consultant aus Kalifornien, warnt deutlich: “Wenn das Microsoft-UEFI-Secure-Boot-Zertifikat verfällt, sind Endpoints anfällig für zukünftige Bedrohungen, da Updates der UEFI-Datenbanken fehlschlagen werden.”
Microsoft beginnt jetzt, durch neue Indikatoren in der Windows-Security-App Abhilfe zu schaffen. Nutzer mit Administratorrechten können unter “Gerätesicherheit > Secure Boot” sehen, ob ihr System bereits aktualisiert ist. Ein Benachrichtigungssystem soll im Juli hinzukommen. Besondere Aufmerksamkeit verdienen auch Windows-10-Nutzer: Während Systeme im kostenpflichtigen Extended-Security-Update-Programm (ESU) die neuen Zertifikate erhalten, gilt dies nicht für alle Windows-10-PCs. Diese Systeme verlieren nach Juni 2024 graduell die Fähigkeit, Secure Boot zu nutzen.
Für deutsche IT-Administratoren und CISOs heißt dies: Handeln ist gefordert. Microsoft hat ein detailliertes Playbook veröffentlicht. Bestandsaufnahmen sind unverzichtbar, OEM-Firmware-Voraussetzungen müssen überprüft werden. Die Zeit drängt — nur noch wenige Monate bleiben bis zur Zertifikatsverfallsfrist.