Wenn Sie daran gehindert sind, Zertifikate für den sicheren Start zu aktualisieren
Gilt für
Ursprüngliches Veröffentlichungsdatum: 29. Juni 2026
KB-ID: 5105943
Einführung
Microsoft führt aktualisierte Zertifikate für den sicheren Start für Windows-Geräte ein, um den Schutz vor sich entwickelnden Bedrohungen auf Startebene zu gewährleisten. Die meisten Geräte erhalten diese Updates automatisch über Windows Update. In diesem Artikel wird erläutert, warum einige Geräte daran gehindert werden, Zertifikate für den sicheren Start zu aktualisieren, was dies bedeutet und welche Aktionen Sie in Betracht ziehen können.
Hinweis: Allgemeine Anleitungen zur Problembehandlung bei sicherem Start für IT-Experten finden Sie im Leitfaden zur Problembehandlung für den sicheren Start.
Eine schnelle Zusammenfassung für den sicheren Start
Sicherer Start ist ein Windows-Feature, das den PC bei jedem Start überprüft. Vor dem Laden von Windows überprüft der sichere Start, ob die Software, die ausgeführt werden soll, von einer vertrauenswürdigen Quelle signiert wurde. Wenn die Signatur nicht erkannt wird, startet der PC diese Software nicht. Dadurch wird eine Hauptklasse von Schadsoftware blockiert, die möglicherweise versucht, vor dem Start von Windows zu laden.
Zum Schutz Ihres Geräts ist der sichere Start so konzipiert, dass nur der Originalgerätehersteller (OEM) Änderungen an Ihrem PC auf dieser Stammebene autorisieren kann.
Warum Sie möglicherweise kein vollständiges Update erhalten haben
Die Windows-Sicherheit-App ist die einfachste Möglichkeit, um zu überprüfen, ob der sichere Start ihres Geräts status auf dem neuesten Stand ist oder ob ein Firmwareupdate vom Hersteller erforderlich ist.
Auf den meisten PCs wird der vollständige Satz von Zertifikaten für den sicheren Start automatisch über Windows Update installiert. Einige Geräte erfordern ein Firmwareupdate vom PC-Hersteller, bevor Sie die erforderlichen Updates für den sicheren Start installieren können. Viele OEMs veröffentlichen diese Firmwareupdates aktiv über ihre Standard-Updatekanäle. Wenn ein Firmwareupdate erforderlich ist, überprüfen Sie die Supportseite für den sicheren Start Ihres OEM, um die nächsten Schritte zu erfahren.
In einigen Fällen können Windows-Sicherheit angeben, dass Zertifikatupdates für den sicheren Start vorübergehend angehalten oder blockiert werden, indem eine der folgenden Meldungen angezeigt wird:
|
Nachricht |
Aktion erforderlich |
|---|---|
|
Geräte in dieser Gruppe sind von einem bekannten Problem betroffen. Um das Risiko zu verringern, werden Zertifikatupdates für den sicheren Start vorübergehend angehalten, während Microsoft und Partner auf eine unterstützte Lösung hinarbeiten. Wenden Sie sich an den Gerätehersteller, um Unterstützung zu erhalten. |
Ein Firmwareupdate ist erforderlich, ist aber möglicherweise noch nicht verfügbar. Wenn es verfügbar wird, wird das Firmwareupdate veröffentlicht und über den Standard-Updatekanal Ihres OEM installiert. Weitere Schritte finden Sie auf der Supportseite für den sicheren Start Ihres Geräteherstellers. |
|
Nachricht |
Aktion erforderlich |
|---|---|
|
Der sichere Start ist aktiviert, aber Ihr Gerät unterstützt aufgrund von Hardware- oder Firmwareeinschränkungen das automatische Update des Zertifikats für den sicheren Start nicht. Wenden Sie sich an den Gerätehersteller, um Unterstützung zu erhalten. |
Ihr PC-Modell wird möglicherweise nicht mehr vom OEM unterstützt, oder der OEM kann nicht mehr die Firmwareupdates bereitstellen, die zum Aktualisieren der Vertrauenskonfiguration für den sicheren Start Ihres Geräts erforderlich sind. Überprüfen Sie auf der Supportseite für den sicheren Start Ihres OEM, ob Ihr Gerät nicht mehr unterstützt wird oder ob ein Firmwareupdate verfügbar ist. |
Was geschieht, wenn Sie die neuen Zertifikate für den sicheren Start nicht installieren können?
Wenn Ihr Gerät das Ablaufdatum ohne die neuen Zertifikate erreicht, wird es weiterhin normal gestartet und ausgeführt. Standard Windows-Updates werden weiterhin installiert. Wenn jedoch neue Sicherheitsupdates veröffentlicht werden, die Bedrohungen für den frühen Startprozess beseitigen, kann Ihr Gerät diese nicht empfangen und erhält nicht die neuesten Schutzmaßnahmen.
Im Laufe der Zeit, wenn neue Bedrohungen auftreten, wird ein Gerät in diesem abgelaufenen Zustand immer weniger geschützt. Features, die auf dem sicheren Start basieren , z. B. Geräteverschlüsselung oder bestimmte Startsoftware, funktionieren möglicherweise auch nicht mehr ordnungsgemäß, wenn sie einen aktualisierten Sicherheitsschutz erfordern.
Was funktioniert weiter?
-
Das Gerät startet weiterhin normal.
-
Windows-Updates – Feature- und Qualitätsupdates, einschließlich monatlicher Sicherheitsupdates – werden weiterhin installiert, mit Ausnahme von startbezogenen Sicherheitskomponenten, die aktualisierte Zertifikate erfordern (siehe liste unten).
-
Alltägliche Aufgaben wie die Verwendung von Apps, Netzwerk und Browsen bleiben unverändert.
-
Der sichere Start bleibt aktiviert und bietet weiterhin Schutz vor zuvor bekannten Bedrohungen.
Was nicht mehr funktioniert
-
Neue Schutzmechanismen für den sicheren Start und den Start-Manager können nicht angewendet werden.
-
Neu entdeckte böswillige oder anfällige Bootloader werden möglicherweise nicht blockiert. Der Schutz vor zukünftigen Bedrohungen kann sich allmählich von vollständig aktualisierten Geräten unterscheiden.
-
Einige Nicht-Microsoft-Komponenten, die auf der Microsoft Secure Boot-Vertrauensstellung basieren, können möglicherweise nicht aktualisiert werden, wenn sie neuere Zertifikateinträge erfordern.
Wenn Ihr Gerät die neuen Zertifikate für den sicheren Start nicht installieren kann, führt dies zu einer allmählichen Verringerung der langfristigen Sicherheit und nicht zu einem unmittelbaren Risiko oder Systemausfall. Befolgen Sie weiterhin die Standardsicherheitsmethoden, einschließlich der Aktualisierung von Windows-Updates.
Wichtig: Das Deaktivieren des sicheren Starts wird nicht empfohlen. Dies reduziert den Schutz und führt zu einem weniger sicheren Zustand, als die aktuelle Konfiguration unverändert zu lassen.