modx
Komplett-PC-Käufer(in)
Ich spreche hier ein Problem an, was sehr viele von uns in 2026 betreffen wird. Wenn ihr mit Sicherheit nächstes Jahr noch alles zocken können wollt und euer Rechner noch weiter starten soll, lohnt es sich zu lesen. Das ist auch keine Panikmache. Es geht um Secure Boot und die dafür benötigten Zertifikate, die sich in eurem UEFI befinden. Ich will hier nicht zu sehr ins Detail gehen aber ungefähr erklären, um was es geht und was ihr dagegen tun könnt.
Was ist Secure Boot und wofür brauche ich das?
Secure Boot ist ein Sicherheitsmechanismus, der dafür sorgt, dass nur vertrauenswürdige Software beim Starten eines Computers geladen wird. Kurz gesagt:
Es geht also darum, dass dein Rechner nur sicheren, signierten Code beim Start ausführt.
Um jetzt festzustellen, ob ein Bootloader vertrauenswürdig ist, wird dieser mit einem Zertifikat abgeglichen, der im UEFI hinterlegt ist (Das ist auch der Grund, warum ich irgendwelche seltsamen Ali Express Mainboard niemals für sicherheitsrelevantes verwenden würde)
Welches Problem kommt jetzt in 2026 auf uns zu?
Als man Secure Boot im Jahre 2011 designt hat, wurde von Microsoft (auch anderen wie Fedora Linux usw.) ein Zertifikatskette erstellt. Das entscheidende Zertifikat in dieser Kette ist für uns Windows User ist die UEFI CA 2011. Diese ist nämlich nur 15 Jahre gültig und läuft nächstes Jahr ab. Auf dieses Problem wird seitens Microsoft seit Ende 2023 hingewiesen und es wurden auch Mainboard und Notebookhersteller informiert.
Nur so richtig darum gekümmert, haben sich viele nicht. So gibt es selbst aktuelle Plattformen, die auch nach dem Update auf das aktuellste BIOS immer noch die UEFI CA 2011 enthalten und nicht die neue UEFI CA 2023.
Was bedeutet das jetzt konkret?
Microsoft wird seine Bootloader ab Mai nächstes Jahr an der UEFI CA 2023 signieren. Denken wir uns also ein fiktives Windows 11 26H2 mit einem solchem Bootloader. Dies wird auf einem solchen System mit eingeschaltetem Secure Boot nicht mehr starten.
Kann ich Secure Boot einfach ausschalten?
Jein. Neben den Sicherheitsrisiken, die es sowieso mit sich bringt, benötigen viele aktuelle Spiele Secure Boot für ihre Anti-Cheat Mechanismen und funktionieren sonst nicht mehr. Des Weiteren funktioniert ohne Secure Boot auch kein TPM mehr. Wenn der Wiederherstellungsschlüssel nicht vorliegt, sind die Daten weg
Wird das ganze automatisch behoben?
Eher nicht. Nur unter ganz bestimmten Voraussetzungen, wird das Problem automatisch behoben. Nach meinem aktuellen Kenntnisstand muss folgendes erfüllt sein.
Um das zu prüfen, habe ich ein Powershell Skript geschrieben, was euch folgende Ausgabe in einer Ergebnisse.txt in C:\Temp abliegt. Diese Datei ist dann, wie folgt aufgebaut:
Bios Update erforderlich: Secure Boot Platform Key ist aktuell. Es ist kein Biosupdate erforderlich -> Das gebe ich hier so an, da die ideale Lösung ein Update seitens des Herstellers wäre, was viele Hersteller aber noch nicht haben oder niemals haben werden)
Secure Boot aktiv: True
Windows UEFI CA 2023 installiert: True
Microsoft Corporation KEK 2K CA 2023 installiert: True
Das Skript darf frei benutzt werden (wenn es bei jemandem gar nicht läuft, dann ist Secure Boot nicht aktiv. Auch manchen Mainboard läuft das Skript dann gar nicht, bei anderen läuft es und Secure Boot wird in der Ergebnisse.txt als inaktiv hinterlegt):
Was kann ich tun, wenn mein Mainboard / Notebookhersteller kein passendes Update bringt und ich das Update nicht per Windows Update bekomme?
Auch dafür gibt es Möglichkeiten. Wenn die Resonanz auf meinen Beitrag entsprechend ist, werde ich darauf weiter eingehen.
Was ist Secure Boot und wofür brauche ich das?
Secure Boot ist ein Sicherheitsmechanismus, der dafür sorgt, dass nur vertrauenswürdige Software beim Starten eines Computers geladen wird. Kurz gesagt:
- Schutz vor Schadsoftware beim Booten (z. B. Rootkits).
- Verhindert unautorisierte Betriebssysteme oder manipulierte Bootloader.
- Integrität der Firmware und des Betriebssystems wird geprüft.
Es geht also darum, dass dein Rechner nur sicheren, signierten Code beim Start ausführt.
Um jetzt festzustellen, ob ein Bootloader vertrauenswürdig ist, wird dieser mit einem Zertifikat abgeglichen, der im UEFI hinterlegt ist (Das ist auch der Grund, warum ich irgendwelche seltsamen Ali Express Mainboard niemals für sicherheitsrelevantes verwenden würde)
Welches Problem kommt jetzt in 2026 auf uns zu?
Als man Secure Boot im Jahre 2011 designt hat, wurde von Microsoft (auch anderen wie Fedora Linux usw.) ein Zertifikatskette erstellt. Das entscheidende Zertifikat in dieser Kette ist für uns Windows User ist die UEFI CA 2011. Diese ist nämlich nur 15 Jahre gültig und läuft nächstes Jahr ab. Auf dieses Problem wird seitens Microsoft seit Ende 2023 hingewiesen und es wurden auch Mainboard und Notebookhersteller informiert.
Nur so richtig darum gekümmert, haben sich viele nicht. So gibt es selbst aktuelle Plattformen, die auch nach dem Update auf das aktuellste BIOS immer noch die UEFI CA 2011 enthalten und nicht die neue UEFI CA 2023.
Was bedeutet das jetzt konkret?
Microsoft wird seine Bootloader ab Mai nächstes Jahr an der UEFI CA 2023 signieren. Denken wir uns also ein fiktives Windows 11 26H2 mit einem solchem Bootloader. Dies wird auf einem solchen System mit eingeschaltetem Secure Boot nicht mehr starten.
Kann ich Secure Boot einfach ausschalten?
Jein. Neben den Sicherheitsrisiken, die es sowieso mit sich bringt, benötigen viele aktuelle Spiele Secure Boot für ihre Anti-Cheat Mechanismen und funktionieren sonst nicht mehr. Des Weiteren funktioniert ohne Secure Boot auch kein TPM mehr. Wenn der Wiederherstellungsschlüssel nicht vorliegt, sind die Daten weg
Wird das ganze automatisch behoben?
Eher nicht. Nur unter ganz bestimmten Voraussetzungen, wird das Problem automatisch behoben. Nach meinem aktuellen Kenntnisstand muss folgendes erfüllt sein.
- UEFI & Secure Boot
- Das Gerät muss UEFI-fähig sein.
- Secure Boot muss aktiviert sein.
- Gültiger KEK (Key Exchange Key)
- Der KEK im UEFI muss noch gültig sein, sonst kann Windows keine neuen Signatur-Zertifikate installieren.
- Windows-Version
- Windows 10 Version 1809 oder neuer bzw. Windows 11.
- System muss auf dem aktuellen Update-Stand sein, damit der Update-Mechanismus funktioniert.
- Telemetrie / Diagnosedaten
- Telemetrie muss auf vollständig stehen oder zumindest Microsoft Recommended Settings aktiv sein.
- Ohne ausreichende Telemetrie meldet das System keine Schlüsselaktualisierung.
- Internetverbindung & Windows Update aktiv
- Windows Update muss aktiviert sein und das Gerät online sein, um die neuen Schlüssel herunterzuladen.
- Administrationsrechte
- Für die Installation neuer Secure Boot-Schlüssel braucht Windows Administratorrechte
Um das zu prüfen, habe ich ein Powershell Skript geschrieben, was euch folgende Ausgabe in einer Ergebnisse.txt in C:\Temp abliegt. Diese Datei ist dann, wie folgt aufgebaut:
Bios Update erforderlich: Secure Boot Platform Key ist aktuell. Es ist kein Biosupdate erforderlich -> Das gebe ich hier so an, da die ideale Lösung ein Update seitens des Herstellers wäre, was viele Hersteller aber noch nicht haben oder niemals haben werden)
Secure Boot aktiv: True
Windows UEFI CA 2023 installiert: True
Microsoft Corporation KEK 2K CA 2023 installiert: True
Das Skript darf frei benutzt werden (wenn es bei jemandem gar nicht läuft, dann ist Secure Boot nicht aktiv. Auch manchen Mainboard läuft das Skript dann gar nicht, bei anderen läuft es und Secure Boot wird in der Ergebnisse.txt als inaktiv hinterlegt):
Code:
# --- Variablen ---
$OutputDir = "C:\Temp"
$PkFile = "$OutputDir\pk.auth"
$Ergebnisse = "$OutputDir\Ergebnisse.txt"
$MinValidDate = Get-Date "2026-06-30"
# --- Schritt 1: Verzeichnis erstellen ---
if (-not (Test-Path -Path $OutputDir)) {
New-Item -ItemType Directory -Path $OutputDir -Force | Out-Null
Write-Host "Verzeichnis $OutputDir wurde erstellt."
}
# --- Schritt 2: PK exportieren ---
try {
Get-SecureBootUEFI -Name PK -OutputFilePath $PkFile -ErrorAction Stop
Write-Host "PK erfolgreich exportiert nach: $PkFile"
} catch {
Write-Error "Fehler beim Export des PK: $_"
exit
}
# --- Schritt 3: Ablaufdatum direkt aus pk.auth prüfen (Skript1 Logik) ---
$PkAktuell = $false
try {
$content = Get-Content $PkFile -Raw
$matches = [regex]::Matches($content, '\d{12}Z')
if ($matches.Count -ge 2) {
$notAfterStr = $matches[1].Value
$NotAfter = [datetime]::ParseExact($notAfterStr, "yyMMddHHmmssZ", $null, [System.Globalization.DateTimeStyles]::AssumeUniversal)
if ($NotAfter -ge $MinValidDate) {
$PkAktuell = $true
}
}
} catch {
Write-Warning "Fehler beim Auslesen der Zeitstempel aus pk.auth: $_"
}
# --- Schritt 4: Secure Boot aktiv? (Skript2) ---
$SecureBootAktiv = Confirm-SecureBootUEFI
# --- Schritt 5: Windows UEFI CA 2023 in DB? (Skript3) ---
$WinUefiCa2023 = (((Get-SecureBootUEFI db).bytes | ForEach-Object { [char]$_ }) -join '') -match "Windows UEFI CA 2023"
# --- Schritt 6: Microsoft KEK 2K CA 2023? (Skript4) ---
$MsKek2k2023 = (((Get-SecureBootUEFI kek).bytes | ForEach-Object { [char]$_ }) -join '') -match "Microsoft Corporation KEK 2K CA 2023"
# --- Ergebnisse schreiben ---
$lines = @()
if ($PkAktuell -and $SecureBootAktiv) {
$lines += "Bios Update erforderlich: Secure Boot Platform Key ist aktuell. Es ist kein Biosupdate erforderlich"
} else {
$lines += "Bios Update erforderlich: Secure Boot Platform Key ist nicht aktuell. Es ist ein Biosupdate erforderlich"
}
$lines += "Secure Boot aktiv: $SecureBootAktiv"
$lines += "Windows UEFI CA 2023 installiert: $WinUefiCa2023"
$lines += "Microsoft Corporation KEK 2K CA 2023 installiert: $MsKek2k2023"
Set-Content -Path $Ergebnisse -Value $lines
Write-Host "Ergebnisse in $Ergebnisse geschrieben."Was kann ich tun, wenn mein Mainboard / Notebookhersteller kein passendes Update bringt und ich das Update nicht per Windows Update bekomme?
Auch dafür gibt es Möglichkeiten. Wenn die Resonanz auf meinen Beitrag entsprechend ist, werde ich darauf weiter eingehen.
Zuletzt bearbeitet:
