24/06 Microsoft Die-Day – Secure-Boot-Zertifikatsumstellung killt Millionen PC’s ?! Was Passiert, Test und Lösungen im Beitrag !
Einleitung: Die große Panik – sterben Millionen Computer?
Seit Monaten geistern Schlagzeilen durch das Internet:
„Ab Juni/Juli 2026 starten Millionen Windows-PCs nicht mehr!“
„Microsoft lässt alte Computer sterben!“
„Dual-Boot-Systeme mit Linux werden unbrauchbar!“
Doch wie so oft liegt die Wahrheit irgendwo zwischen Panik und Entwarnung.
Nein, am Stichtag werden nicht plötzlich weltweit Millionen PCs dunkel bleiben. Der Rechner wird nicht beim Einschalten einen schwarzen Bildschirm zeigen und damit zum Elektronikschrott werden.
Der Hintergrund ist deutlich technischer: Microsoft ersetzt die alten UEFI Secure-Boot-Zertifikate aus dem Jahr 2011durch eine neue Zertifikatsgeneration aus 2023.
Die alten Zertifikate waren seit der Einführung von Windows 8 Bestandteil der Secure-Boot-Infrastruktur und sorgen dafür, dass nur vertrauenswürdige Bootloader gestartet werden können.
Video: 24/06 Microsoft Die-Day – Secure-Boot-Zertifikatsumstellung killt Millionen PC’s ?!
Sprache: 🇩🇪|🇬🇧
☝️ Benutze YouTube Untertitel für alle Sprachen.
1. Was ist Secure Boot überhaupt?
Wenn ein moderner Computer eingeschaltet wird, startet zuerst die Firmware – das UEFI (Unified Extensible Firmware Interface).
UEFI übernimmt die Kontrolle über die Hardware und lädt anschließend den Bootloader des Betriebssystems.
Secure Boot prüft dabei:
„Ist der Bootloader wirklich vertrauenswürdig und digital signiert?“
Diese Kontrolle verhindert insbesondere sogenannte Bootkits und Rootkits, die sich vor dem eigentlichen Betriebssystem einnisten und dadurch von Windows oder Linux kaum erkannt werden können.
Alte BIOS- und Legacy-Systeme – betroffen oder nicht?
Hier gibt es eine interessante Besonderheit.
Ältere Computer, die noch im klassischen Legacy-BIOS-Modus arbeiten, besitzen überhaupt kein Secure Boot.
Das bedeutet:
Vorteil:
- Die Zertifikatsumstellung betrifft diese Systeme nicht.
- Ein alter Windows-7-PC im reinen BIOS-Modus wird deshalb nicht plötzlich den Start verweigern.
Nachteil:
- Diese Systeme haben grundsätzlich keinen Secure-Boot-Schutz.
- Moderne Sicherheitsmechanismen stehen nicht zur Verfügung.
- Alte Betriebssysteme erhalten oft keine Sicherheitsupdates mehr.
Ein Legacy-PC ist also nicht vom Zertifikatsproblem betroffen – er ist allerdings aus heutiger Sicht deutlich schlechter geschützt.
Warum sind besonders ältere Computer gefährdet?
Die eigentliche Herausforderung liegt nicht bei Windows selbst, sondern bei der Firmware und der Pflege durch den Hersteller.
Kritische Kandidaten sind beispielsweise:
- Notebooks und Desktop-PCs aus den Jahren 2012 bis 2016.
- Systeme, deren UEFI/BIOS nie aktualisiert wurde.
- Rechner ohne aktuelle Herstellerunterstützung.
- Bastelsysteme mit mehreren Betriebssystemen.
Ein moderner Windows-11-PC, der regelmäßig Updates erhält, wird in den meisten Fällen automatisch auf die neuen Zertifikate vorbereitet.
Linux und Dual-Boot – warum kann es hier kompliziert werden?
Linux-Distributionen verwenden bei aktiviertem Secure Boot häufig einen sogenannten Shim-Bootloader.
Dieser Shim ist durch Microsoft signiert und bildet die Brücke zwischen der UEFI-Firmware und dem Linux-Bootloader wie GRUB.
Probleme können entstehen, wenn:
- ein alter Shim verwendet wird,
- die UEFI-Datenbank veraltete Schlüssel enthält,
- Firmware-Updates fehlen,
- die Secure-Boot-Datenbanken nicht aktualisiert werden.
Ein bereits funktionierendes Linux-System wird nicht automatisch ausfallen. Schwierigkeiten entstehen meistens erst bei Updates, Neuinstallationen oder Änderungen an der Boot-Konfiguration.
2. Die einfache Praxis-Checkliste: Bin ich betroffen?
Schritt 1: Betriebssystem prüfen
Windows 11
✔ Risiko gering
Aktion:
- Windows Update vollständig durchführen.
Windows 10
✔ Geringes bis mittleres Risiko
Aktion:
- Alle Sicherheitsupdates installieren.
- Firmware-Updates des Herstellers prüfen.
Linux
⚠ Mittleres Risiko
Aktion:
- Secure-Boot-Status und Bootloader prüfen.
Windows + Linux Dual-Boot
⚠ Erhöhtes Risiko
Aktion:
- Beide Betriebssysteme testen.
- Bootloader aktuell halten.
- Ein aktuelles Linux-Live-System bereithalten.
Schritt 2: Secure Boot prüfen
Windows
- Windows-Taste drücken.
msinfo32eingeben.- „Sicherer Startzustand“ suchen.
Ergebnis:
- Ein → Secure Boot aktiv.
- Aus → Keine Zertifikatsproblematik.
Linux
Terminal:
mokutil --sb-state
Ausgabe:
SecureBoot enabled
→ Secure Boot aktiv.
Schritt 3: Firmware und Updates prüfen
Besonders wichtig bei älteren Geräten:
- BIOS-/UEFI-Version prüfen.
- Hersteller-Webseite nach Updates durchsuchen.
- Firmware-Updates installieren.
Hersteller-Tools:
- Lenovo Vantage
- Dell SupportAssist
- HP Support Assistant
Was tun, wenn Linux nicht mehr startet?
Typische Meldungen:
- Security Violation
- Invalid Signature
- Verification failed
Lösungen:
- Linux mit aktuellem Live-USB starten.
- Shim und GRUB aktualisieren.
- Boot-Einträge kontrollieren.
Notfall:
Secure Boot im UEFI vorübergehend deaktivieren.
Damit starten die meisten Linux-Systeme wieder.
3. Experten-Checkliste
Für Administratoren und Bastler lohnt sich eine genauere Analyse.
UEFI oder Legacy prüfen
Linux:
[ -d /sys/firmware/efi ] && echo UEFI || echo Legacy
Secure Boot Status:
mokutil --sb-state
UEFI-Schlüssel kontrollieren
sudo efi-readvar
Interessante Bereiche:
- PK (Platform Key)
- KEK (Key Exchange Key)
- DB (erlaubte Signaturen)
- DBX (gesperrte Signaturen)
Die neuen Zertifikate aus der 2023er Generation sollten vorhanden sein.
Bootloader prüfen
Debian / Ubuntu:
dpkg -l | grep shim
Fedora:
rpm -qa | grep shim
GRUB-Version:
grub-install --version
EFI-Startkonfiguration prüfen
sudo efibootmgr -v
Kontrollieren:
- Windows Boot Manager vorhanden?
- Linux-Eintrag korrekt?
- Keine veralteten Einträge?
Das große Thema: Ist ein Leben ohne Secure Boot gefährlich?
Viele Anwender werden im Problemfall einfach sagen:
„Dann schalte ich Secure Boot eben aus.“
Technisch funktioniert das häufig problemlos.
Aber man sollte verstehen, was man verliert.
Ohne Secure Boot kann die Firmware nicht mehr überprüfen, ob der gestartete Bootloader verändert wurde.
Mögliche Risiken:
- Bootkits können sich vor dem Betriebssystem einnisten.
- Rootkits können Sicherheitssoftware umgehen.
- Manipulierte Bootloader werden nicht erkannt.
- Angreifer mit physischem Zugriff haben mehr Möglichkeiten.
Für einen privaten Offline-Rechner aus dem Keller ist dieses Risiko geringer.
Für einen produktiven Rechner mit Online-Banking, geschäftlichen Daten oder sensiblen Informationen sollte Secure Boot nach Möglichkeit weiterhin aktiviert bleiben.
Fazit: Kein Microsoft „Die-Day“, aber ein Weckruf
Die Secure-Boot-Zertifikatsumstellung 2026 wird keine weltweite Computer-Apokalypse auslösen.
Die Mehrheit aller aktuellen Windows-11-Computer wird von den Änderungen wahrscheinlich nichts bemerken.
Die Problemfälle werden vor allem dort auftreten, wo sich über viele Jahre niemand um die Technik gekümmert hat:
- alte Notebooks,
- ungepflegte UEFI-Firmware,
- Windows-10-Systeme am Lebensende,
- Linux-Dual-Boot-Konfigurationen,
- ältere Selbstbau-PCs.
Die gute Nachricht:
Die meisten Probleme lassen sich durch Vorbereitung vermeiden:
✔ Betriebssystem aktualisieren
✔ Firmware prüfen
✔ Bootloader aktuell halten
✔ Backup erstellen
✔ Ein Live-System als Rettung bereithalten
Der eigentliche „Microsoft Die-Day“ ist also weniger ein Todesurteil für alte Computer – sondern eher ein großer Gesundheitscheck für die letzten zehn Jahre PC-Geschichte.
Link zur Unterstützung / Spende für den Kanal
Wenn meine Beiträge hilfreich sind oder dir geholfen haben, würde ich mich über eine Unterstützung sehr freuen 🙏
#SecureBoot #Microsoft #Windows #Linux #CyberSecurity
