Kennen Sie das? Sie richten einen PC neu ein, alles läuft – aber beim nächsten Windows-Update erscheint plötzlich eine Warnung über Secure Boot. Oder Sie hören in den Nachrichten, dass UEFI-Zertifikate 2026 ablaufen und fragen sich, was das für Ihren Rechner bedeutet.
Ich habe in über 25 Jahren IT-Praxis unzählige Systeme gesehen, bei denen Secure Boot still und leise deaktiviert war – und die Nutzer es nie gemerkt haben. Das ist ein echtes Sicherheitsproblem. In dieser Anleitung zeige ich Ihnen Schritt für Schritt, wie Sie Windows 11 Secure Boot aktivieren und prüfen – und was Sie jetzt wegen der ablaufenden Microsoft-Zertifikate im Juni 2026 tun sollten.
Was ist Secure Boot – und warum ist es so wichtig für Windows 11?
Secure Boot ist eine Sicherheitsfunktion der UEFI-Firmware, die sicherstellt, dass beim Start Ihres PCs ausschließlich vertrauenswürdige, digital signierte Software geladen wird. Konkret prüft die Firmware dabei die kryptografischen Signaturen aller Bootloader und Treiber, bevor diese ausgeführt werden. Stimmt eine Signatur nicht, verweigert das System den Start.
Warum das so wichtig ist? Weil die gefährlichsten Angriffe noch vor dem Windows-Start passieren. Sogenannte Bootkits und Rootkits setzen sich in den Bootprozess, bevor Windows überhaupt geladen wird – herkömmliche Antivirensoftware sieht sie dann gar nicht. Secure Boot blockiert genau diese Angriffsvektoren durch die Überprüfung jeder Bootkomponente gegen hinterlegte Zertifikate in der UEFI-Firmware.
Laut Microsoft ist Secure Boot eine Pflichtanforderung für Windows 11 – ohne aktive Funktion erhalten Sie Einschränkungen oder können das System gar nicht installieren. Und seit der BlackLotus-Schwachstelle (CVE-2023-24932), die selbst aktives Secure Boot aushebeln konnte, hat Microsoft die Zertifikatsinfrastruktur grundlegend überarbeitet.
Ein Detail, das viele nicht wissen: Secure Boot wurde ursprünglich mit Windows 8 eingeführt – und die damals ausgestellten UEFI-Zertifikate laufen im Juni 2026 ab. Dazu gleich mehr in einem eigenen Abschnitt.
Wie prüfen Sie den Secure Boot Status unter Windows 11?
Secure Boot Status prüfen ist in weniger als 60 Sekunden erledigt – ganz ohne BIOS-Neustart. Windows 11 zeigt den aktuellen Status direkt in den Systeminformationen an. Es gibt zwei Methoden:
Methode 1: Secure Boot prüfen via msinfo32 (empfohlen)
- Drücken Sie Windows-Taste + R, geben Sie
msinfo32ein und bestätigen Sie mit Enter. - Das Fenster „Systeminformationen“ öffnet sich. Wählen Sie links Systemübersicht.
- Suchen Sie rechts in der Liste den Eintrag BIOS-Modus – dieser sollte UEFI anzeigen.
- Direkt darunter finden Sie Sicherer Startzustand. Mögliche Werte:
| Anzeige | Bedeutung | Handlungsbedarf |
|---|---|---|
| Ein | Secure Boot ist aktiv – alles gut | Keiner (Zertifikate prüfen, s.u.) |
| Aus | Secure Boot unterstützt, aber deaktiviert | Im UEFI aktivieren (Anleitung unten) |
| Nicht unterstützt | System läuft im Legacy-BIOS-Modus | Legacy → UEFI wechseln + MBR→GPT konvertieren |
| Nicht verfügbar | BIOS-Modus ist Legacy | Gleicher Aufwand wie „Nicht unterstützt“ |
Methode 2: Secure Boot per PowerShell prüfen
Für Fortgeschrittene – und für alle die mehrere Rechner gleichzeitig verwalten – geht es auch per PowerShell. Öffnen Sie PowerShell als Administrator und geben Sie ein:
Confirm-SecureBootUEFIGibt der Befehl True zurück, ist Secure Boot aktiv. Erscheint False oder eine Fehlermeldung, ist es deaktiviert oder der Rechner läuft im Legacy-Modus. Ehrlich gesagt nutze ich msinfo32 im Alltag lieber – es ist schneller und für Einsteiger deutlich übersichtlicher. Den PowerShell-Weg empfehle ich, wenn Sie viele Rechner remote verwalten wollen.
⚠️ Hinweis: Ab April 2026 zeigt die Windows-Sicherheits-App unter „Gerätesicherheit → Sicherer Start“ zusätzliche Informationen zum Zertifikatsstatus an. Das ist ein praktischer dritter Weg, um den Status schnell im Überblick zu haben.
Wie aktivieren Sie Secure Boot in Windows 11 – Schritt für Schritt?
Secure Boot aktivieren läuft immer über das UEFI-BIOS – direkt in Windows gibt es keinen Schalter dafür. Bevor Sie ins BIOS gehen, prüfen Sie zwei Voraussetzungen:
- UEFI-Modus aktiv: Steht in msinfo32 beim „BIOS-Modus“ der Wert „UEFI“, sind Sie auf der sicheren Seite. Steht dort „Legacy“, lesen Sie den Abschnitt weiter unten.
- GPT-Partitionierung: UEFI benötigt das neuere GPT-Format. Das ältere MBR-Format ist mit Secure Boot nicht kompatibel. Prüfen Sie das in der Datenträgerverwaltung (Windows-Taste + R →
diskmgmt.msc): Rechtsklick auf Datenträger 0 → wenn die Option „Zu MBR-Datenträger konvertieren“ erscheint, ist Ihr System bereits GPT.
Schritt 1: Ins UEFI-BIOS gelangen
Es gibt zwei Wege ins UEFI – der Windows-Weg ist bequemer, weil Sie keine Reflexe für die BIOS-Taste beim Einschalten brauchen:
Weg A (empfohlen): Über Windows-Einstellungen
- Öffnen Sie die Windows-Einstellungen (Windows-Taste + I).
- Gehen Sie zu System → Wiederherstellung.
- Klicken Sie bei „Erweiterter Start“ auf Jetzt neu starten.
- Nach dem Neustart: Problembehandlung → Erweiterte Optionen → UEFI-Firmwareeinstellungen → Neu starten.
Weg B: Direkt beim Einschalten
Drücken Sie direkt nach dem Einschalten wiederholt die BIOS-Taste Ihres Herstellers:
| Hersteller | BIOS-Taste |
|---|---|
| Dell | F2 |
| ASUS | F2 oder Entf |
| HP | F10 oder Esc |
| Lenovo | F1 oder F2 |
| MSI / Gigabyte | Entf |
| Acer | F2 |
Schritt 2: Secure Boot im UEFI aktivieren
Die genauen Bezeichnungen variieren je nach Hersteller – das Prinzip ist aber überall gleich:
- Navigieren Sie im UEFI zu einem der Reiter: Security, Boot oder Sicherheit.
- Suchen Sie den Eintrag Secure Boot oder Sicherer Start.
- Ändern Sie den Wert von Disabled auf Enabled.
- Falls vorhanden: Stellen Sie den „Secure Boot Mode“ auf Standard (nicht auf „Custom/Benutzerdefiniert“).
- Speichern Sie mit F10 oder über den Reiter Exit → Save Changes and Reset.
- Bestätigen Sie mit OK. Der PC startet neu – diesmal mit aktivem Secure Boot.
⚠️ Achtung: Falls die Secure-Boot-Option ausgegraut oder nicht anklickbar ist, fehlen meist die Standard-Zertifikatsschlüssel. Suchen Sie im UEFI nach einer Option wie „Install Default Secure Boot Keys“, „Restore Factory Keys“ oder „Reset to Setup Mode“ und aktivieren Sie diese zuerst.
Schritt 3: Aktivierung in Windows prüfen
Nach dem Neustart unbedingt nochmal kontrollieren: Öffnen Sie erneut msinfo32 und prüfen Sie, ob der Sicherer Startzustand jetzt auf Ein steht. Das dauert 30 Sekunden und gibt Ihnen Sicherheit, dass alles korrekt funktioniert hat. Bis hierhin haben Sie das Wichtigste geschafft – im nächsten Abschnitt erkläre ich Ihnen, was Sie wegen der ablaufenden Zertifikate 2026 jetzt noch tun sollten.
Was bedeuten die ablaufenden Secure-Boot-Zertifikate im Juni 2026?
Das ist ein Thema, das ich gerade bei vielen Lesern als Fragezeichen im Kopf sehe – völlig zu Recht. Die ursprünglichen Microsoft Secure-Boot-Zertifikate aus dem Jahr 2011 laufen im Juni 2026 ab. Konkret betrifft das drei Zertifikate:
- Microsoft Corporation KEK CA 2011 – läuft 24. Juni 2026 ab
- Microsoft Corporation UEFI CA 2011 – läuft 27. Juni 2026 ab
- Microsoft Windows Production PCA 2011 – läuft Oktober 2026 ab
Jetzt die wichtigste Frage: Startet Ihr PC danach nicht mehr? Nein – Windows prüft beim Boot-Vorgang aktuell nicht das Ablaufdatum der Secure-Boot-Zertifikate. Systeme funktionieren auch nach dem Stichtag erst einmal normal weiter. Was aber passiert: Ohne aktualisierte Zertifikate können ab Juni 2026 keine neuen Secure-Boot-Sicherheitsupdates mehr installiert werden. Neue Bootloader-Signaturen werden nicht erkannt, und Hardware von Drittanbietern, die nach 2023 mit neuen Zertifikaten signiert wurde, gilt als nicht vertrauenswürdig.
Werden die Zertifikate automatisch aktualisiert?
Auf Windows-Client-Rechnern (also Ihrem Heim-PC oder Laptop mit Windows 11) – ja, in den meisten Fällen. Microsoft verteilt die neuen 2023-Zertifikate über Windows Update als sogenannten Controlled Feature Rollout. Seit Januar und Februar 2026 läuft die zweite Update-Welle.
Mein Tipp: Prüfen Sie aktiv, ob das Update auf Ihrem Rechner angekommen ist. Öffnen Sie die Windows-Sicherheits-App (Suche: „Windows-Sicherheit“) → Gerätesicherheit → Sicherer Start. Ab April 2026 sehen Sie dort den aktuellen Zertifikatsstatus. Steht nichts Auffälliges, ist Ihr System auf dem neuesten Stand.
Alternativ: Öffnen Sie Einstellungen → Windows Update → Updateverlauf → Weitere Updates. Suchen Sie nach einem Eintrag wie „Update der zulässigen Signaturdatenbank (DB) für sicheren Start“ – wenn dieses Update erfolgreich installiert ist, sind Ihre Zertifikate aktuell.
Was tun, wenn Secure Boot „Nicht unterstützt“ anzeigt – Legacy-Modus umstellen?
Das ist der schwierigste Fall – und leider der häufigste Stolperstein bei älteren PCs. Wenn msinfo32 beim BIOS-Modus Legacy anzeigt, ist Secure Boot grundsätzlich nicht verfügbar. Sie müssen zwei Dinge tun: Die Systemfestplatte von MBR auf GPT konvertieren und im UEFI von Legacy auf UEFI-Modus wechseln.
⚠️ Achtung: Das Wechseln von Legacy-BIOS auf UEFI-Modus kann – je nach Hersteller und Konfiguration – dazu führen, dass die bestehende Windows-Installation nicht mehr startet. Erstellen Sie vorher unbedingt ein vollständiges Backup. Einen ausführlichen Guide zu Backup-Methoden finden Sie auf windowsbackup.de.
MBR auf GPT konvertieren mit MBR2GPT (ohne Datenverlust)
Windows bietet das eingebaute Tool MBR2GPT.exe an, das die Konvertierung ohne Datenverlust ermöglicht – aber nur unter bestimmten Bedingungen: Das System muss Windows 10 Version 1703 oder neuer (64-Bit) laufen, die Festplatte darf höchstens drei primäre Partitionen haben, und es muss ausreichend freier Speicherplatz vorhanden sein.
- Öffnen Sie die Eingabeaufforderung als Administrator.
- Führen Sie zuerst eine Validierung durch:
MBR2GPT /validate /disk:0 /allowFullOS- Zeigt der Befehl keine Fehler, führen Sie die eigentliche Konvertierung durch:
MBR2GPT /convert /disk:0 /allowFullOS- Nach der Konvertierung: Ins UEFI-BIOS wechseln und dort den Boot-Modus von Legacy auf UEFI umstellen. Danach Secure Boot wie oben beschrieben aktivieren.
Na ja – das klingt nach mehr Aufwand als es ist. In der Praxis dauert die MBR2GPT-Konvertierung bei einem normalen System unter fünf Minuten. Ich selbst habe das Verfahren an mehreren älteren Bürorechnern durchgeführt – ohne Datenverlust, ohne Neu-Installation.
Hersteller-spezifische Unterschiede: Wo finden Sie Secure Boot bei ASUS, Dell, HP und Lenovo?
Die UEFI-Oberflächen der Hersteller sehen sehr unterschiedlich aus – das ist der Punkt, an dem viele Nutzer stecken bleiben. Hier ein schneller Überblick wo Sie suchen müssen:
| Hersteller | Wo Secure Boot zu finden ist | Bezeichnung |
|---|---|---|
| ASUS | Advanced Mode → Security oder Boot → Secure Boot | Secure Boot Control |
| Dell | BIOS Setup → Security → Secure Boot | Secure Boot Enable |
| HP | BIOS Setup → Security | Secure Boot |
| Lenovo | Security → Secure Boot | Secure Boot |
| MSI | Settings → Security → Secure Boot | Secure Boot |
| Gigabyte | BIOS Features → Secure Boot | Secure Boot |
| Acer | Authentication → Secure Boot | Secure Boot |
Bei ASUS finden Sie Secure Boot oft im „Advanced Mode“ (Taste F7 im BIOS). Bei Dell läuft es meistens reibungslos – F2 beim Start, dann direkt unter Security. Lenovo-ThinkPads haben manchmal eine separate „Security Chip“-Sektion, dort ist TPM konfiguriert – Secure Boot finden Sie separat unter dem Security-Reiter.
Was tun, wenn Secure Boot nach der Aktivierung Probleme verursacht?
Ehrlich gesagt passiert das seltener als befürchtet – aber es gibt Szenarien, wo Secure Boot nach der Aktivierung zu Problemen führt:
Problem 1: Dualer Boot mit Linux funktioniert nicht mehr
Linux-Distributionen wie Ubuntu oder Linux Mint verwenden signierte Bootloader (SHIM), die Secure Boot kompatibel sind. Ältere Linux-Versionen oder weniger verbreitete Distributionen können jedoch Probleme machen. Lösung: Entweder die Linux-Version aktualisieren oder für Dual-Boot-Systeme den „Custom Mode“ im UEFI verwenden und den Linux-Bootloader manuell als vertrauenswürdig eintragen.
Problem 2: Ältere Grafikkarten oder Hardware startet nicht
Sehr alte Grafikkarten – besonders ältere NVIDIA-Karten – haben Option-ROMs, die nicht mit dem Secure-Boot-Zertifikat signiert sind. Ab 2026 kann das zu Startproblemen führen, wenn BIOS-Updates fehlen. Prüfen Sie auf der Hersteller-Website, ob ein aktuelles BIOS/VBIOS-Update für Ihre Grafikkarte verfügbar ist.
Problem 3: Secure Boot ist ausgegraut oder nicht aktivierbar
Das liegt fast immer an fehlenden Standard-Keys im UEFI. Suchen Sie nach Optionen wie:
- „Install Default Secure Boot Keys“
- „Restore Factory Keys“
- „Reset Secure Boot to Factory Defaults“
Ist der OS Type im UEFI auf „Other OS“ gestellt statt auf „Windows UEFI“ – das ist ebenfalls ein häufiger Grund. Ändern Sie das zuerst, dann sollte Secure Boot aktivierbar sein.
Für weiterführende Informationen zu verwandten Themen wie Datenträgerverwaltung und Partitionierung empfehle ich einen Blick auf diskpart.de – dort finden Sie ausführliche Anleitungen rund um GPT, MBR und DiskPart-Befehle.
Was hat sich 2026 bei Secure Boot geändert?
Das Jahr 2026 ist für Secure Boot ein echtes Schlüsseljahr – aus zwei Gründen:
1. Ablauf der 2011er Zertifikate: Wie oben erläutert, laufen die ursprünglichen Microsoft UEFI CA 2011-Zertifikate im Juni 2026 ab. Microsoft verteilt die Nachfolger (CA 2023) automatisch über Windows Update auf Client-Systemen. Wer sein System lange nicht aktualisiert hat, sollte jetzt prüfen, ob das Update erfolgreich war.
2. Neue Zertifikatsstruktur: Microsoft hat die Trennung der Zuständigkeiten verschärft. Die bisherige einzelne UEFI CA wird durch zwei spezialisierte Zertifikate ersetzt: Eines für Bootloader von Systemherstellern, eines für Option-ROMs von Peripherie-Anbietern. Das ermöglicht eine präzisere Kontrolle – bedeutet aber auch, dass sehr alte Hardware-Komponenten ohne Firmware-Update nicht mehr als vertrauenswürdig gelten könnten.
Kurz gesagt: Wenn Ihre Windows-Updates aktuell sind und kein roter Status in der Windows-Sicherheits-App erscheint, sind Sie auf der sicheren Seite. Wenn Sie Updates lange gemieden haben – jetzt nachholen.
Häufig gestellte Fragen
Kann ich Secure Boot aktivieren ohne Datenverlust?
Ja – wenn Ihr System bereits im UEFI-Modus läuft und eine GPT-Festplatte hat, können Sie Secure Boot direkt im UEFI aktivieren, ohne dass Daten verloren gehen. Nur wenn Sie von Legacy-BIOS auf UEFI und von MBR auf GPT wechseln müssen, sollten Sie vorher ein Backup erstellen.
Muss Secure Boot für Windows 11 aktiviert sein?
Ja, Microsoft nennt Secure Boot als Pflichtanforderung für Windows 11. Ohne aktive Secure-Boot-Funktion können Sie Windows 11 offiziell nicht installieren, und es kann zu Einschränkungen bei Updates kommen. Systeme die Windows 11 per Workaround installiert haben, laufen oft ohne Secure Boot.
Was passiert, wenn die Secure-Boot-Zertifikate im Juni 2026 ablaufen?
Ihr PC startet weiterhin normal – Windows prüft beim Boot-Vorgang nicht das Ablaufdatum der Zertifikate. Ohne aktualisierte 2023-Zertifikate können jedoch ab Juni 2026 keine neuen Secure-Boot-Sicherheitsupdates mehr installiert werden. Auf Windows-Clients verteilt Microsoft die neuen Zertifikate automatisch über Windows Update.
Wie prüfe ich Secure Boot per PowerShell?
Öffnen Sie PowerShell als Administrator und geben Sie „Confirm-SecureBootUEFI“ ein. Der Befehl gibt „True“ zurück wenn Secure Boot aktiv ist, und „False“ oder eine Fehlermeldung wenn es deaktiviert ist oder der PC im Legacy-Modus läuft.
Was tun wenn Secure Boot ausgegraut ist und sich nicht aktivieren lässt?
Ausgegraukte Secure-Boot-Optionen bedeuten meist, dass die Standard-UEFI-Schlüssel fehlen. Suchen Sie im UEFI nach Optionen wie „Install Default Secure Boot Keys“ oder „Restore Factory Keys“ und aktivieren Sie diese. Danach sollte Secure Boot aktivierbar sein. Prüfen Sie außerdem, ob der OS Type auf „Windows UEFI“ gestellt ist.
Fazit
Windows 11 Secure Boot aktivieren und prüfen ist kein Hexenwerk – aber es ist einer der wichtigsten Sicherheitsschritte, den Sie für Ihren PC erledigen können. In weniger als zwei Minuten haben Sie mit msinfo32 den Status gecheckt.
Die Aktivierung im UEFI dauert fünf Minuten mehr. Und jetzt – im Mai 2026, kurz vor dem Ablauf der alten Zertifikate – ist der richtige Zeitpunkt, um auch den Zertifikatsstatus zu prüfen. Ich sage das aus 25+ Jahren IT-Erfahrung: Die meisten Sicherheitsprobleme entstehen nicht durch Unwissenheit, sondern durch Aufschieben. Tun Sie es jetzt.
Zuletzt aktualisiert: Mai 2026 | Getestet auf: Windows 11 25H2, Mai 2026 | Autor: Vangelis | 25+ Jahre IT-Erfahrung | Gründer von winpower.de seit 2013
