Warum ist das jetzt wichtig?

Wenn Windows startet, prüft eine Sicherheitsfunktion namens Secure Boot, ob das Betriebssystem unverändert und vertrauenswürdig ist. Dafür verwendet Windows digitale Zertifikate – vergleichbar mit einem amtlichen Stempel, der bestätigt: „Diese Software ist echt und wurde nicht manipuliert."

Die Zertifikate, auf die Windows bisher vertraut, stammen aus dem Jahr 2011 und laufen ab Juni 2026 aus. Microsoft führt daher neue 2023er-Zertifikate ein. Viele Windows-PCs erhalten diese Erneuerung automatisch über Windows Update – aber nicht alle. Dieses Tutorial zeigt, wie man prüft, ob der eigene PC bereits aktualisiert wurde, und was man tun kann, falls nicht.

Keine Panik: Ein PC, der die neuen Zertifikate noch nicht hat, startet im Juni 2026 nicht automatisch nicht mehr. Was fehlt, sind neue Schutzmechanismen für den Startvorgang. Der Rechner läuft weiter – fällt aber langfristig aus dem modernen Sicherheitspfad heraus. Handlungsbedarf besteht, aber keine Dringlichkeit auf die nächste Stunde.

Schritt 1: Ist Secure Boot aktiv?

Das ist die Grundvoraussetzung. Die Zertifikatserneuerung startet nur, wenn Secure Boot auf dem PC aktiviert ist. Es gibt zwei Wege, das herauszufinden:

Variante A – ohne Befehl (einfacher)

  1. Drücken Sie gleichzeitig die Windows-Taste + R
  2. Tippen Sie msinfo32 ein und drücken Sie Enter
  3. Es öffnet sich das Fenster „Systeminformationen"
  4. Suchen Sie rechts den Eintrag „Sicherer Startzustand"
  5. Steht dort „Ein": Secure Boot ist aktiv – weiter zu Schritt 2
  6. Steht dort „Aus" oder fehlt der Eintrag: Secure Boot ist nicht aktiv (siehe Hinweis unten)

Variante B – per PowerShell

Öffnen Sie PowerShell als Administrator (Rechtsklick auf das Startmenü → „Windows PowerShell (Administrator)" oder „Terminal (Administrator)") und tippen Sie:

Confirm-SecureBootUEFI

Das Ergebnis ist entweder True (Secure Boot aktiv) oder False (nicht aktiv).

Secure Boot ist nicht aktiv? Starten Sie den Computer neu und rufen Sie die BIOS/UEFI-Einstellungen auf – meistens durch Drücken von F2, F10, DEL oder Entf direkt beim Einschalten, bevor Windows startet. Aktivieren Sie dort Secure Boot. Das genaue Vorgehen unterscheidet sich je nach Hersteller – suchen Sie im Internet nach „[Hersteller und Modell] Secure Boot aktivieren".

Schritt 2: Ist das neue Zertifikat bereits vorhanden?

Öffnen Sie PowerShell als Administrator und führen Sie folgenden Befehl aus – ihn komplett markieren, kopieren und einfügen, dann Enter drücken:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Das Ergebnis:

  • True → Das neue 2023er-Zertifikat ist bereits vorhanden. Sehr gut – weiter zu Schritt 3, um den Prozessstatus zu bestätigen.
  • False → Das Zertifikat fehlt noch. Kein sofortiger Handlungsbedarf: Microsoft rollt die Erneuerung schrittweise aus, viele PCs erhalten sie automatisch in den nächsten Wochen.

Schritt 3: Status des Erneuerungsprozesses prüfen

Dieser Befehl zeigt, in welchem Stadium sich die automatische Zertifikatserneuerung befindet:

(Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing').UEFICA2023Status
ErgebnisBedeutung
NotStarted Die Erneuerung hat noch nicht begonnen. Abwarten oder Schritt 4 ausführen.
InProgress Der Prozess läuft gerade. Computer neu starten und danach erneut prüfen.
Updated ✅ Die Zertifikatserneuerung ist vollständig abgeschlossen.
Der zuverlässigste Indikator für einen erfolgreich abgeschlossenen Prozess ist UEFICA2023Status = Updated in Kombination mit True aus Schritt 2. Wenn beides zutrifft, ist die Erneuerung abgeschlossen – auch wenn das BIOS-Menü mancher Hersteller an einigen Stellen noch „2011" anzeigt.

Schritt 4: Erneuerung manuell anstoßen (falls nötig)

Falls nach mehreren Wochen und Neustarts in Schritt 3 noch immer NotStarted erscheint und Secure Boot aktiv ist, kann die Erneuerung manuell angestoßen werden. Das ist der offizielle, von Microsoft dokumentierte Weg.

Öffnen Sie PowerShell als Administrator und führen Sie diese zwei Befehle nacheinander aus:

Befehl 1 – Zertifikatsaktualisierung vorbereiten:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Befehl 2 – Aktualisierungsaufgabe sofort ausführen:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Was passiert dabei? Der erste Befehl teilt Windows mit, welche Zertifikate und Boot-Komponenten aktualisiert werden sollen. Der zweite Befehl startet die zuständige Windows-Aufgabe sofort – normalerweise läuft sie automatisch alle 12 Stunden im Hintergrund. Das Ergebnis ist dasselbe wie bei der automatischen Ausführung über Windows Update.

Starten Sie danach den Computer neu. Prüfen Sie anschließend mit den Befehlen aus Schritt 2 und 3, ob die Erneuerung abgeschlossen ist. Unter Umständen sind zwei Neustarts nötig, bis alles vollständig abgeschlossen ist.

Schritt 5: Abschluss bestätigen

Nach dem Neustart prüfen Sie mit diesen beiden Befehlen, ob alles abgeschlossen ist:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
(Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing').UEFICA2023Status

Wenn das erste Ergebnis True und das zweite Updated lautet, ist die Zertifikatserneuerung vollständig abgeschlossen. Fertig.

Was danach zu vermeiden ist

Microsoft warnt ausdrücklich: Wer nach abgeschlossener Erneuerung im BIOS/UEFI die Optionen „Restore Factory Keys" oder „Secure Boot Reset" ausführt, riskiert, die neu installierten Zertifikate zu verlieren und den Prozess von vorn beginnen zu müssen – oder sich im schlimmsten Fall ein Bootproblem zu verursachen. Diese Optionen also nach der erfolgreichen Erneuerung in Ruhe lassen.

Was tun, wenn der Prozess steckenbleibt?

Einige PCs können einen bestimmten Teilschritt (den sogenannten KEK-Schritt – Key Exchange Key) nicht automatisch abschließen, weil der Hersteller kein entsprechendes BIOS-Update bereitgestellt hat. Der Computerhersteller ist dafür zuständig, einen Teil des Prozesses zu signieren – ohne sein BIOS-Update kann Windows das nicht selbst erledigen.

In diesem Fall:

  • Prüfen Sie, ob ein BIOS/UEFI-Update des Herstellers verfügbar ist, und installieren Sie es
  • Wiederholen Sie danach die Schritte ab Schritt 4
  • Falls kein BIOS-Update verfügbar ist und sich nach mehreren Versuchen nichts tut: Der PC ist weiterhin nutzbar und Secure Boot bleibt aktiv – er erhält aber möglicherweise nicht alle sicherheitsrelevanten Boot-Updates der nächsten Jahre

Schnellübersicht aller Schritte

SchrittWas prüfen / tunZiel-Ergebnis
1 Secure Boot aktiv? → msinfo32 oder Confirm-SecureBootUEFI Ein / True
2 Neues Zertifikat vorhanden? → …-match 'Windows UEFI CA 2023' True
3 Prozessstatus → …UEFICA2023Status Updated
4 Manuell anstoßen (falls nötig) → zwei Befehle + Neustart Danach Schritt 2 und 3 wiederholen

Quellen