Windows 11 verteilt Secure-Boot-Update: Neue KEK-Schlüssel erfordern Neustart

38
News Andreas Link Als bevorzugte Quelle auf Google hinzufügen
Windows 11 verteilt Secure-Boot-Update: Neue KEK-Schlüssel erfordern Neustart
Quelle: Microsoft

Microsoft verteilt für Windows 11 ein Update für Secure Boot. Dabei wird ein neuer Key-Exchange-Key (KEK) installiert, der wegen auslaufender Zertifikate notwendig ist. Die Installation erfolgt über Windows Update und erfordert einen Neustart.

Microsoft beginnt damit, auf weiteren Windows-11-Systemen ein Update für Secure Boot auszurollen. Dabei wird ein neuer "Allowed Key Exchange Key" (KEK) installiert, der in der Firmware des PCs gespeichert wird. Die Aktualisierung erfolgt über Windows Update und benötigt nach der Installation einen Neustart des Systems.

Der Hintergrund des Updates ist ein bevorstehender Wechsel zentraler Sicherheitszertifikate. Mehrere Microsoft-Zertifikate für Secure Boot stammen noch aus dem Jahr 2011 und laufen 2026 ab. Damit Windows-PCs weiterhin Sicherheitsupdates für den Boot-Prozess erhalten können, werden neue Zertifikate eingeführt, die bereits 2023 erstellt wurden.

Secure Boot benötigt neue Schlüssel

Secure Boot ist ein Sicherheitsmechanismus im UEFI-Firmware-Standard. Er stellt sicher, dass beim Start des PCs nur vertrauenswürdige Software ausgeführt wird. Dafür überprüft die Firmware digitale Signaturen von Bootloadern, Treibern und Firmware-Modulen anhand hinterlegter Zertifikate.

Im Zentrum dieser Infrastruktur steht eine hierarchische Schlüsselstruktur. Dazu gehören unter anderem der Platform Key (PK), der Key Exchange Key (KEK) sowie Datenbanken für erlaubte und gesperrte Signaturen. Der KEK spielt eine wichtige Rolle, weil er Updates für die Signaturdatenbanken autorisiert, in denen festgelegt ist, welche Bootloader oder Firmware-Komponenten als vertrauenswürdig gelten.

Der bisher genutzte Microsoft-Schlüssel "Microsoft Corporation KEK CA 2011" läuft im Juni 2026 ab. Deshalb verteilt Microsoft einen neuen Schlüssel namens "Microsoft Corporation KEK 2K CA 2023". Dieser wird in der Firmware des Systems hinterlegt und ermöglicht es künftig, weitere Secure-Boot-Updates zu akzeptieren.

Installation erfolgt über Windows Update

Das Secure-Boot-Update wird über Windows Update verteilt und installiert sich in der Regel automatisch. Nach der Installation fordert Windows einen Neustart an, damit die neuen Schlüssel in die Firmware geschrieben werden können.

Der Rollout erfolgt schrittweise. Microsoft hatte bereits 2024 damit begonnen, neue Zertifikate und Signaturdatenbanken einzuführen. Die Verteilung wird bis Mitte 2026 fortgesetzt, damit möglichst viele Geräte rechtzeitig auf die neue Zertifikatskette umgestellt werden.

Für die meisten Privatnutzer läuft der Vorgang im Hintergrund ab. Unternehmen oder verwaltete Geräte können die Installation dagegen über Richtlinien steuern oder verzögern.

Passend zum Thema:

Folgen ohne installiertes Update

Wenn die neuen Zertifikate nicht installiert werden, kann Windows zwar weiterhin starten. Allerdings lassen sich künftig keine weiteren Secure-Boot-Updates installieren, sobald die alten Zertifikate abgelaufen sind. Dadurch könnten Sicherheitsupdates für den Boot-Manager oder andere Startkomponenten ausbleiben.

Mit der aktuellen Aktualisierung bereitet Microsoft Windows-Systeme daher auf den Zertifikatswechsel im Jahr 2026 vor. Nutzer müssen dafür in der Regel nichts weiter tun, außer das Update zu installieren und den PC neu zu starten.

Quelle: Windows Latest

38

    • Kommentare (38)

      Zur Diskussion im Forum
      • Von SIR_Thomas_TMC Software-Overclocker(in)
        Und dann?
        Zitat

        Folgen ohne installiertes Update

        Wenn die neuen Zertifikate nicht installiert werden, kann Windows zwar weiterhin starten. Allerdings lassen sich künftig keine weiteren Secure-Boot-Updates installieren, sobald die alten Zertifikate abgelaufen sind. Dadurch könnten Sicherheitsupdates für den Boot-Manager oder andere Startkomponenten ausbleiben.
        Wäre schon interessant was dann die Konsequenz ist, um die Sicherheitsupdatrs für Startkomponenten wieder lauffähig zu machen. Letztes Mittel wäre natürlich Windows Neuinstallation. Aber gibt es noch andere? Manuelles Zertifikatupdate per Updatedatei/Installationsdatei?
        Zitat von Dreak77
        Wenn du im Dienstleistungssektor mit DAUs arbeitest die nie Unterlagen haben,
        Ich kann mir kaum leichter verdientes Geld vorstellen. Wenn man für leichte Standardprobleme abrechnen kann. Ist doch toll.
        Zitieren
      • Von SIR_Thomas_TMC Software-Overclocker(in)
        Und dann?
        Zitat

        Folgen ohne installiertes Update

        Wenn die neuen Zertifikate nicht installiert werden, kann Windows zwar weiterhin starten. Allerdings lassen sich künftig keine weiteren Secure-Boot-Updates installieren, sobald die alten Zertifikate abgelaufen sind. Dadurch könnten Sicherheitsupdates für den Boot-Manager oder andere Startkomponenten ausbleiben.
        Wäre schon interessant was dann die Konsequenz ist, um die Sicherheitsupdatrs für Startkomponenten wieder lauffähig zu machen. Letztes Mittel wäre natürlich Windows Neuinstallation. Aber gibt es noch andere? Manuelles Zertifikatupdate per Updatedatei/Installationsdatei?
        Zitat von Dreak77
        Wenn du im Dienstleistungssektor mit DAUs arbeitest die nie Unterlagen haben,
        Ich kann mir kaum leichter verdientes Geld vorstellen. Wenn man für leichte Standardprobleme abrechnen kann. Ist doch toll.
        Zitieren
      • Von joecnstr Freizeitschrauber(in)
        Zitat von h_tobi
        Deswegen habe ich beide Systeme auf separaten SSDs installiert, wenn ich mal Windows starte, dann über das Bootmenü vom MB (F8)

        Kenne ja M$ und wollte sicher sein, das Grub nicht zerschossen wird.
        Bei mir hat sich das leider ein bisschen historisch eingeschlichen, es ist alles auf der selben nvme aber mit zwei EFI Partitionen, immerhin. Muss das ggf mal sauber aufräumen
        Zitieren
      • Von Phreeze83 Schraubenverwechsler(in)
        Zitat von Wired
        KEK Secure-boot ehm ja..... World of Warcraft KEK, wer WoW zockte kennt es sicher LOL.
        BUR
        Zitieren
      • Von h_tobi Kokü-Junkie (m/w)
        Zitat von joecnstr
        Lustig, ich mache es genau gleich und eigentlich wollte ich mal wieder Win booten und Updates installieren, aber dann warte ich auch nochmal ab. Nüchtern betrachtet ist ja selten dass wirklich was schief geht, aber mir überschreiben mir Windows Updates auch regelmäßig den Bootloader und das nervt halt auch
        Deswegen habe ich beide Systeme auf separaten SSDs installiert, wenn ich mal Windows starte, dann über das Bootmenü vom MB (F8)

        Kenne ja M$ und wollte sicher sein, das Grub nicht zerschossen wird.
        Zitieren
      • Von Dreak77 Freizeitschrauber(in)
        Zitat von Cleriker
        Was ich aber nicht verstehe, was die Leute und Mitglieder hier im thread davon haben, solch einen Stuss in die Welt zu setzen.
        Auch die EDVler hier, die statt sich 30 Minuten damit zu beschäftigen und vorzuarbeiten, lieber Urlaub einreichen, kann ich nicht nachempfinden.
        Wenn du im Dienstleistungssektor mit DAUs arbeitest die nie Unterlagen haben, nicht wissen was ein Microsoft-Konto ist obwohl sie eins besitzen und wahrscheinlich auch selbst eingerichtet haben weil sie es einfach blind eintippen ohne zu raffen was sie machen, dann verstehst du den Witz mit dem Urlaub auch

        BTT:
        Es wird eben zum Horror bei vorinstallierten Systemen die die MS-Kontenpflicht eben ohne umgehung abverlangen, wenn es sich um Home Systeme handelt ist die Bitlocker Aktivierug da bereits von Anfang an aktiviert und ohne vorwissen als Leihe bist du an dem Punkt Lost wenn du deine Anmeldedaten von MS-Konten nicht hast, deine Daten sind dann eben Futsch, Punkt.

        Warum es hier seitens Daten und Verbraucherschutz bis Dato noch immer keine Einwürfe gegeben hat ist für mich ein Fass ohne Boden.
        Zitieren
      Direkt zum Diskussionsende
Hoch
  • Print / Abo
    Apps
    PCGH Magazin 07/2026 PC Games 06/2026 play5 07/2026 N-Zone 06/2026 Linux Magazin 06/2026 LinuxUser 06/2026 Raspberry Pi Geek 07/2026
    PC Games Hardware PC Games Linux Magazin Raspberry Pi Geek Computec Kiosk
Die Redaktion Datenschutz Artikel-Archiv Datenschutz-Optionen Mediadaten Impressum Utiq verwalten Abo kündigen AGB Inhalt melden Newsletter