Mit dem Windows-Update vom 11. April 2026 hat Microsoft nicht nur Benutzern ermöglicht, Smart App Control ohne Neuinstallation des Systems ein- oder auszuschalten, sondern auch stillschweigend eine wichtige Verbesserung im Zusammenhang mit der Startsicherheit hinzugefügt: Das Windows-Sicherheitscenter kann jetzt den Status des Secure Boot-Zertifikats (Secure Boot) direkt anzeigen, sodass Benutzer bestätigen können, ob ihr Computer die 2023-Version des Secure Boot-Zertifikats angewendet hat.
Mithilfe des Secure Boot-Zertifikats wird überprüft, ob die beim Systemstart ausgeführte Software vertrauenswürdig ist. Wenn das Zertifikat abläuft, kann es theoretisch durch Boot-Level-Malware (Bootkit) oder unbefugte Änderungen am Implantat-Angriffscode ausgenutzt werden, bevor das System vollständig gestartet ist. Die frühesten bekannten Secure Boot-Zertifikate aus dem Jahr 2011 laufen im Juni 2026 ab, und Microsoft hat zuvor bestätigt, dass diese alten Zertifikate über Windows Update durch neue Secure Boot 2023-Zertifikate ersetzt werden. Für normale Benutzer mangelt es jedoch an intuitiven und benutzerfreundlichen Methoden, um festzustellen, ob ihr Computer durch neue Zertifikate ersetzt wurde.
Bisher konnten Benutzer, die bestätigen wollten, ob das Secure Boot 2023-Zertifikat angewendet wurde, nur auf professionellere Methoden wie PowerShell-Befehle oder Ereignisanzeigeprotokolle zurückgreifen, die für den täglichen Betrieb der meisten technisch nicht versierten Benutzer offensichtlich nicht geeignet waren. Nach dem April-Update zeigt das Windows-Sicherheitscenter erstmals direkt den Status des Secure Boot-Zertifikats in der Benutzeroberfläche an und löst so dieses „Informations-Blackbox“-Problem. Am Beispiel des eigenen Geräts des Autors hat das Windows-Sicherheitscenter gezeigt, dass das Secure Boot 2023-Zertifikat angewendet wurde und die Meldung „Keine weiteren Maßnahmen erforderlich“ angezeigt.
Vor dem Update zeigte das Windows-Sicherheitscenter auf der Seite „Gerätesicherheit“ nur Informationen darüber an, ob die Secure Boot-Funktion aktiviert war. Nach dem Update können Nutzer nicht nur sehen, ob Secure Boot aktiviert ist, sondern auch, ob das Zertifikat auf die neueste Version aktualisiert wurde. Dieser Status befindet sich im Bereich „Secure Boot“ unter „Gerätesicherheit“. Nach Abschluss des entsprechenden Updates gibt die Schnittstelle eine detailliertere Rückmeldung zum Sicherheitsstatus.
Laut Microsoft wird diese Funktion zur Anzeige des Secure Boot-Status durch das kumulative Windows 11-Update KB5083769 gepusht und ist für Systeme mit Build 26200.8246 / 26100.8246 oder neueren Versionen geeignet. Allerdings wird diese Funktion nicht auf allen Geräten gleichzeitig angezeigt. Es wird erwartet, dass der gesamte Push schrittweise bis Ende April 2026 alle unterstützten Geräte abdeckt. Microsoft weist in einem Supportdokument darauf hin, dass Zertifikate der Version 2023 automatisch über Windows Update ausgestellt werden und die Statusanzeige im Windows-Sicherheitscenter den Benutzern mitteilt, ob das Gerät diese Updates erhalten hat, welchen aktuellen Status es hat und ob zusätzliche Maßnahmen erforderlich sind.
Unter dem neuen Design können Benutzer den Secure Boot-Status über einen einfachen Pfad überprüfen: Öffnen Sie das Windows-Sicherheitscenter, geben Sie „Gerätesicherheit“ – „Secure Boot“ ein, um das Logo und den Eingabeaufforderungstext auf der Benutzeroberfläche anzuzeigen. Dieses Modul verwendet ein dreifarbiges Markierungsschema ähnlich einer Ampel: Grün bedeutet „vollständig aktualisiert, keine Aktion erforderlich“; Gelb bedeutet „Es gibt eine Sicherheitswarnung“ und Sie müssen sich möglicherweise an den Computerhersteller wenden, um die Firmware zu aktualisieren. Rot bedeutet „sofortige Aufmerksamkeit erforderlich“, was normalerweise bedeutet, dass Microsoft aufgrund von Hardware- oder Firmware-Einschränkungen Schwierigkeiten hat, das neueste Zertifikat auf das Gerät anzuwenden.
Wenn im Abschnitt „Sicherer Start“ ein grünes Häkchen angezeigt wird, lautet die Eingabeaufforderung insbesondere: „Das Gerät ist geschützt und alle erforderlichen Zertifikataktualisierungen wurden abgeschlossen. Es sind keine weiteren Änderungen erforderlich.“ Wenn ein gelbes Warnsymbol angezeigt wird, bedeutet dies, dass das System weiterhin ausgeführt werden kann, es jedoch Sicherheitsempfehlungen gibt, z. B. die Notwendigkeit, den Inhalt der Eingabeaufforderung zu überprüfen und die Geräte-Firmware oder zugehörige Komponenten gemäß den Anweisungen zu aktualisieren. Wenn ein rotes Symbol angezeigt wird, bedeutet dies, dass das System den sicheren Start sofort durchführen muss. Diese Situation tritt häufig bei Geräten auf, deren Hardwarebedingungen die Anforderungen für die Zertifikataktualisierung nicht erfüllen oder bei denen Secure Boot selbst nicht aktiviert ist.
Es ist zu beachten, dass Secure Boot eine der obligatorischen Hardwareanforderungen für die offizielle Installation und Ausführung von Windows 11 ist. Für Benutzer, die ein Upgrade von Windows 10 auf Windows 11 durchführen, indem sie Hardwareprüfungen auf inoffizielle Weise umgehen, zeigt das Windows-Sicherheitscenter mit größerer Wahrscheinlichkeit eine rote Warnung an, die besagt, dass Secure Boot nicht aktiviert ist und das neueste Zertifikat fehlt. Microsoft erinnert Benutzer daran, in dieser Situation die BIOS-/UEFI-Einstellungen nach Aufforderung zu überprüfen oder sich schnellstmöglich an den Gerätehersteller zu wenden.
Microsoft sagte, dass sich die meisten Benutzer keine allzu großen Sorgen über Probleme mit Secure Boot-Zertifikaten machen müssen, da das System die 2023-Version des Zertifikats automatisch ausstellt und über Windows Update auf die meisten kompatiblen Geräte anwendet. Die Beobachtungen von Windows Latest zeigen jedoch, dass die Aktualisierung von Secure Boot-Zertifikaten auf einigen Geräten aufgrund von Firmware-Einschränkungen fehlschlägt, was bedeutet, dass diese Geräte möglicherweise längere Zeit keine neuen Zertifikate erhalten können und der entsprechende Status des Windows-Sicherheitscenters weiterhin gelbe oder rote Warnungen anzeigt.
Selbst wenn Sie nie ein Secure Boot 2023-Zertifikat erhalten, heißt das nicht, dass das Gerät zwangsläufig instabil wird oder sofort ernsthaften Sicherheitsrisiken ausgesetzt ist. Der Bericht wies darauf hin, dass für die meisten normalen Verbraucher die Wahrscheinlichkeit, tatsächliche Angriffe zu erleben, nur weil das Secure Boot-Zertifikat nicht aktualisiert wurde, immer noch gering ist. Aus Sicht der langfristigen Wartung und Compliance ist es jedoch immer noch ein wichtiger Schritt, die Sicherheit der gesamten Maschine zu verbessern, sicherzustellen, dass die Firmware aktualisiert werden kann, Secure Boot normal aktiviert ist und das neueste Zertifikat so weit wie möglich erhalten wird.