Gilt für
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Ursprüngliches Veröffentlichungsdatum: 29. Juni 2026

KB-ID: 5105943

Einführung 

Microsoft führt aktualisierte Zertifikate für den sicheren Start für Windows-Geräte ein, um den Schutz vor sich entwickelnden Bedrohungen auf Startebene zu gewährleisten. Die meisten Geräte erhalten diese Updates automatisch über Windows Update. In diesem Artikel wird erläutert, warum einige Geräte daran gehindert werden, Zertifikate für den sicheren Start zu aktualisieren, was dies bedeutet und welche Aktionen Sie in Betracht ziehen können. 

Hinweis: Allgemeine Anleitungen zur Problembehandlung bei sicherem Start für IT-Experten finden Sie im Leitfaden zur Problembehandlung für den sicheren Start.

Eine schnelle Zusammenfassung für den sicheren Start 

Sicherer Start ist ein Windows-Feature, das den PC bei jedem Start überprüft. Vor dem Laden von Windows überprüft der sichere Start, ob die Software, die ausgeführt werden soll, von einer vertrauenswürdigen Quelle signiert wurde. Wenn die Signatur nicht erkannt wird, startet der PC diese Software nicht. Dadurch wird eine Hauptklasse von Schadsoftware blockiert, die möglicherweise versucht, vor dem Start von Windows zu laden. 

Zum Schutz Ihres Geräts ist der sichere Start so konzipiert, dass nur der Originalgerätehersteller (OEM) Änderungen an Ihrem PC auf dieser Stammebene autorisieren kann.  

Warum Sie möglicherweise kein vollständiges Update erhalten haben 

Die Windows-Sicherheit-App ist die einfachste Möglichkeit, um zu überprüfen, ob der sichere Start ihres Geräts status auf dem neuesten Stand ist oder ob ein Firmwareupdate vom Hersteller erforderlich ist. 

Auf den meisten PCs wird der vollständige Satz von Zertifikaten für den sicheren Start automatisch über Windows Update installiert. Einige Geräte erfordern ein Firmwareupdate vom PC-Hersteller, bevor Sie die erforderlichen Updates für den sicheren Start installieren können. Viele OEMs veröffentlichen diese Firmwareupdates aktiv über ihre Standard-Updatekanäle. Wenn ein Firmwareupdate erforderlich ist, überprüfen Sie die Supportseite für den sicheren Start Ihres OEM, um die nächsten Schritte zu erfahren. 

In einigen Fällen können Windows-Sicherheit angeben, dass Zertifikatupdates für den sicheren Start vorübergehend angehalten oder blockiert werden, indem eine der folgenden Meldungen angezeigt wird: 

Screenshot der Warnung Windows-Sicherheit, dass Zertifikatupdates für den sicheren Start angehalten wurden

Nachricht

Aktion erforderlich

Geräte in dieser Gruppe sind von einem bekannten Problem betroffen. Um das Risiko zu verringern, werden Zertifikatupdates für den sicheren Start vorübergehend angehalten, während Microsoft und Partner auf eine unterstützte Lösung hinarbeiten. Wenden Sie sich an den Gerätehersteller, um Unterstützung zu erhalten. 

Ein Firmwareupdate ist erforderlich, ist aber möglicherweise noch nicht verfügbar. Wenn es verfügbar wird, wird das Firmwareupdate veröffentlicht und über den Standard-Updatekanal Ihres OEM installiert. Weitere Schritte finden Sie auf der Supportseite für den sicheren Start Ihres Geräteherstellers.

Screenshot der Windows-Sicherheit Warnung, dass Zertifikatupdates für den sicheren Start blockiert sind

Nachricht

Aktion erforderlich

Der sichere Start ist aktiviert, aber Ihr Gerät unterstützt aufgrund von Hardware- oder Firmwareeinschränkungen das automatische Update des Zertifikats für den sicheren Start nicht. Wenden Sie sich an den Gerätehersteller, um Unterstützung zu erhalten. 

Ihr PC-Modell wird möglicherweise nicht mehr vom OEM unterstützt, oder der OEM kann nicht mehr die Firmwareupdates bereitstellen, die zum Aktualisieren der Vertrauenskonfiguration für den sicheren Start Ihres Geräts erforderlich sind. Überprüfen Sie auf der Supportseite für den sicheren Start Ihres OEM, ob Ihr Gerät nicht mehr unterstützt wird oder ob ein Firmwareupdate verfügbar ist.

Was geschieht, wenn Sie die neuen Zertifikate für den sicheren Start nicht installieren können?

Wenn Ihr Gerät das Ablaufdatum ohne die neuen Zertifikate erreicht, wird es weiterhin normal gestartet und ausgeführt. Standard Windows-Updates werden weiterhin installiert. Wenn jedoch neue Sicherheitsupdates veröffentlicht werden, die Bedrohungen für den frühen Startprozess beseitigen, kann Ihr Gerät diese nicht empfangen und erhält nicht die neuesten Schutzmaßnahmen. 

Im Laufe der Zeit, wenn neue Bedrohungen auftreten, wird ein Gerät in diesem abgelaufenen Zustand immer weniger geschützt.  Features, die auf dem sicheren Start basieren , z. B. Geräteverschlüsselung oder bestimmte Startsoftware, funktionieren möglicherweise auch nicht mehr ordnungsgemäß, wenn sie einen aktualisierten Sicherheitsschutz erfordern. 

Was funktioniert weiter? 

  • Das Gerät startet weiterhin normal.

  • Windows-Updates – Feature- und Qualitätsupdates, einschließlich monatlicher Sicherheitsupdates – werden weiterhin installiert, mit Ausnahme von startbezogenen Sicherheitskomponenten, die aktualisierte Zertifikate erfordern (siehe liste unten).

  • Alltägliche Aufgaben wie die Verwendung von Apps, Netzwerk und Browsen bleiben unverändert.

  • Der sichere Start bleibt aktiviert und bietet weiterhin Schutz vor zuvor bekannten Bedrohungen.

Was nicht mehr funktioniert 

  • Neue Schutzmechanismen für den sicheren Start und den Start-Manager können nicht angewendet werden.

  • Neu entdeckte böswillige oder anfällige Bootloader werden möglicherweise nicht blockiert. Der Schutz vor zukünftigen Bedrohungen kann sich allmählich von vollständig aktualisierten Geräten unterscheiden.

  • Einige Nicht-Microsoft-Komponenten, die auf der Microsoft Secure Boot-Vertrauensstellung basieren, können möglicherweise nicht aktualisiert werden, wenn sie neuere Zertifikateinträge erfordern.

Wenn Ihr Gerät die neuen Zertifikate für den sicheren Start nicht installieren kann, führt dies zu einer allmählichen Verringerung der langfristigen Sicherheit und nicht zu einem unmittelbaren Risiko oder Systemausfall. Befolgen Sie weiterhin die Standardsicherheitsmethoden, einschließlich der Aktualisierung von Windows-Updates.

Wichtig: Das Deaktivieren des sicheren Starts wird nicht empfohlen. Dies reduziert den Schutz und führt zu einem weniger sicheren Zustand, als die aktuelle Konfiguration unverändert zu lassen.

Ressourcen

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.