Microsoft hat mit der Einführung des Secure Boot Allowed Key Exchange Key (KEK) Updates für Windows 11 begonnen.
Das Update löst dieses Problem
Das Update bietet unter anderem neue Zertifikate für Secure Boot. Da die alten Zertifikate im Juni ablaufen, ist es wichtig, dass alle Benutzer das Update vor diesem Zeitpunkt installieren. Mehr zu diesem Problem lesen Sie in Alarm: Ihr Windows-PC bekommt ab Sommer echte Probleme – der Grund und in Ihr Windows-PC bekommt ab Juni ernste Probleme – das können Sie tun sowie in Wichtige Windows-11-Zertifikate laufen ab – So prüfen Sie, ob Sie betroffen sind.
Das Problem, das durch das jetzt erschienene Update gelöst wird, lässt sich folgendermaßen zusammenfassen:
Im Juni 2026 laufen viele UEFI-Secure-Boot-Zertifikate für Windows aus und im Oktober folgen weitere ablaufende Zertifikate. Es drohen Sicherheitslücken und zunehmend Kompatibilitätsprobleme. Betroffene Windows-Geräte wechseln in einen eingeschränkten Sicherheitszustand, der ihre Fähigkeit zum Empfang künftiger Schutzmaßnahmen auf Boot-Ebene einschränkt. Wenn neue Boot-Level-Sicherheitslücken entdeckt werden, sind betroffene Systeme zunehmend gefährdet, da sie keine neuen Schutzmaßnahmen mehr installieren können. Mit der Zeit kann dies auch zu Kompatibilitätsproblemen führen, da neuere Betriebssysteme, Firmware, Hardware oder Secure-Boot-abhängige Software möglicherweise nicht mehr geladen werden können.
Übrigens: Sollten Sie Windows 11 Home im Einsatz haben, dann entgehen Ihnen die vielen Vorteile der Pro-Version, die wir Ihnen hier vorstellen. Im PC-WELT Software-Shop ist das Windows-11-Upgrade für günstige 59 Euro statt 145 Euro erhältlich.
Diese Rechner sind betroffen
Physische und virtuelle Maschinen (VMs) auf unterstützten Versionen von Windows 10, Windows 11, Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2 – die seit 2012 veröffentlichten Systeme, einschließlich des Long-Term Servicing Channel (LTSC).
Das ist Secure Boot
Secure Boot steckt in der PC-Firmware und sorgt dafür, dass nur zertifizierte UEFI‑Dateien während des Bootvorgangs geladen werden. Das soll verhindern, dass sich Schadsoftware bereits vor dem Start des Betriebssystems und vor der Prüfung durch einen Virenscanner einnistet.
So liefert Microsoft das wichtige Update aus
Gehen Sie in die Windows-Einstellungen zu “Windows Update” und starten Sie dort die Update-Suche. Zeigt Ihnen die Trefferliste dann ein ausstehendes Update mit dem Namen „Secure Boot Allowed Key Exchange Key (KEK) Update“ an, so sollten Sie dieses installieren. Nach der Installation ist ein Neustart des Systems erforderlich.
Das US-amerikanische IT-Nachrichtenportal Windows Latest weist darauf hin, dass die Einführung schrittweise erfolgt, sodass es eine Weile dauern kann, bis das Update auf Ihrem Computer angezeigt wird; auf unserem Windows-11-Rechner stand das Update zum Beispiel noch nicht bereit. Nach der Installation des Secure Boot Allowed Key Exchange Key (KEK) Updates müssen Sie Ihren Windows-Rechner neu starten.
So prüfen Sie, ob das Update bereits installiert ist
Wenn Sie überprüfen möchten, ob Sie die neuesten Zertifikate auf Ihrem Computer haben, öffnen Sie die Powershell (drücken Sie hierfür die Windows-Taste und geben Sie “Powershell” ein) und klicken Sie dann mit der rechten Maustaste “Als Administrator ausführen” auf “Powershell”. Geben Sie in dem sich dann öffnenden Fenster den folgenden Befehl ein:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’)
Wenn Sie die Antwort „True“ erhalten, verfügen Sie über die neuesten Zertifikate, wenn die Antwort jedoch „False“ lautet, ist dies nicht der Fall.
Dieser Artikel erschien zuerst bei unserer Schwesterpublikation PC för Alla und wurde aus dem Schwedischen übersetzt und lokalisiert.