08.07.2026
Neue Secure-Boot-Zertifikate werden eingeführt – was das für Sie bedeutet

_________________________________________
Worum geht es?
_________________________________________
Microsoft hat im Jahr 2023 neue Secure-Boot-Zertifikate eingeführt. Die bisherigen Zertifikate stammen aus dem Jahr 2011 und sind im Juni 2026 abgelaufen.
Neue Betriebssystemversionen können daher nicht mehr mit den Zertifikaten von 2011 signiert werden. Bereits vor Ablauf der Zertifikate signierte Betriebssysteme bleiben lauffähig – vorausgesetzt, die Firmware vertraut den Zertifikaten von 2011 weiterhin.
Microsoft verteilt die Secure-Boot-Zertifikate von 2023 über Windows Update und hat mit der Auslieferung bereits begonnen. Ein genauer Zeitplan für die Verteilung der neuen Zertifikate auf alle Systeme wurde von Microsoft nicht veröffentlicht. Auch für die Entfernung der Zertifikate von 2011 gibt es bislang keine offiziellen Termine. Die Entfernung kann künftig über ein Windows Update oder ein Firmware-Update erfolgen. Wann dies geschieht, wird von Microsoft und/oder dem jeweiligen PC-Hersteller bestimmt.
_________________________________________
Was bedeutet das für Sie als Nutzer?
_________________________________________
Sobald Windows-Update die Secure-Boot-Zertifikate von 2023 in die Firmware und in die Windows-Installation eines Systems integriert hat, lässt sich die betreffende Windows-Installation nur noch auf Systemen starten, deren Firmware ebenfalls diese Zertifikate enthält. Wird dieselbe Windows-Installation auf einem System mit aktiviertem Secure-Boot gestartet, dessen Firmware noch nicht aktualisiert wurde, schlägt der Startvorgang fehl.
Für Backups und Wiederherstellungen bedeutet dies: Ein Image einer Windows-Installation, die bereits das Zertifikatsupdate von 2023 erhalten hat, lässt sich lässt sich bei aktiviertem Secure Boot, dessen Firmware noch nicht mit den Zertifikaten von 2023 aktualisiert wurde, nicht reibungslos starten. Deaktivieren Sie in diesem Fall Secure Boot und updaten Sie das System ebenfalls.
Wir setzen alles daran, dass HDClone und andere Miray®-Produkte auch weiterhin so zuverlässig funktionieren wie gewohnt. Dafür ergreifen wir alle verfügbaren Maßnahmen, um mögliche Nebenwirkungen und Kompatibilitätsprobleme auf ein Minimum zu reduzieren oder – wo immer möglich – ganz zu vermeiden. Dennoch lassen sich nicht alle Auswirkungen vollständig ausschließen, da manche Faktoren außerhalb unseres Einflusses liegen.
Sollten Sie dennoch auf unerwartetes Verhalten stoßen oder Fragen haben, helfen wir Ihnen gerne dabei, schnell und unkompliziert eine passende Lösung zu finden
_________________________________________
Wichtiger Hinweis zu den UEFI-Einstellungen
_________________________________________
Ein wiederkehrendes Problem, das hauptsächlich durch Microsoft Windows und OEM-Hardwarehersteller verursacht wird, ist die Unsicherheit im Zusammenhang mit den Secure-Boot-Zertifikaten.
Seit inzwischen mehreren Jahren verwendet Microsoft zwei Signaturschlüssel – einen für die Windows-Bootdateien und einen weiteren für die Bootdateien aller anderen Hersteller. Ursprünglich ließ sich jedes korrekt signierte Betriebssystem starten, wenn Secure-Boot im BIOS bzw. in der UEFI-Firmware aktiviert war. Inzwischen unterscheiden jedoch einige Systeme zwischen Microsoft- und Drittanbieter-Zertifikaten.
Einige Hardwarehersteller konfigurieren ihre Systeme standardmäßig so, dass nur das Microsoft-Zertifikat aktiviert ist. Dadurch kann der irreführende Eindruck entstehen, dass nur dieses Zertifikat eine sichere Startumgebung bietet. Tatsächlich bieten die Drittanbieter-Zertifikate das gleiche Sicherheitsniveau: Auch alle Drittanbieter müssen dieselben Zertifizierungsanforderungen erfüllen, bevor sie ihre Bootdateien signieren dürfen.

Secure-Boot-Einstellungen im UEFI (BIOS)
Wir empfehlen daher, die Konfiguration der Secure-Boot-Zertifikate von Microsoft Only auf Microsoft & 3rd party CA umzustellen – entweder vorübergehend oder dauerhaft.
Die Option schließt Microsoft ein – Windows bootet daher weiterhin problemlos. Gleichzeitig können auch andere signierte Betriebssysteme und Bootmedien gestartet werden – mit absolut gleichwertiger Sicherheit.
*) Informationen zum Aufrufen des UEFI-Setups finden Sie in der Dokumentation Ihres PC-Herstellers.
Haben Sie Fragen, Anregungen oder Feedback? Kontaktieren Sie uns!
Ihr Team von Miray Software