Ablauf des Windows Secure Boot-Zertifikats und Zertifikatsaktualisierungen
Seit Windows die Unterstützung für Secure Boot eingeführt hat, verwenden die meisten Windows-Geräte eine Reihe von Microsoft-Zertifikaten in der UEFI Secure Boot-Datenbank. Diese älteren Zertifikate beginnen ab 2026 schrittweise abzulaufen. Um die Sicherheit beim Booten und die Integrität der Vertrauenskette zu gewährleisten, müssen Systeme auf die Microsoft-Zertifikate aus dem Jahr 2023 aktualisiert werden.
Wenn auf Ihrem System Secure Boot aktuell aktiviert ist, stellen Sie bitte sicher, dass diese Zertifikate vor ihrem Ablauf Mitte 2026 aktualisiert werden.
Was müssen Sie tun?
Sie müssen nur eine der folgenden Aktualisierungsmethoden durchführen und auf den neuen Windows Boot Manager warten:
(Methode I) Über Windows Automatisches Update
Wenn「Windows Update」aktiviert ist und das System Secure Boot aktiviert hat (siehe wie Sie Secure Boot aktivieren), werden unterstützte Windows-Geräte die neuen Secure Boot-Zertifikate und den neuen Boot Manager zum passenden Zeitpunkt automatisch herunterladen und anwenden.
Das neue Secure Boot-Datenbank-Update wurde seit 2024 phasenweise für Geräte mit aktiviertem Secure Boot bereitgestellt und wird das Geräte-Update automatisch abschließen, bevor das Zertifikat im Juni 2026 abläuft.
Benutzer mit Standardeinstellungen müssen in der Regel keine weiteren manuellen Schritte ausführen.
[Aktiviere Windows Update, um neue Zertifikate zu erhalten] 
(Methode II) UEFI BIOS manuell aktualisieren
Hinweis: Nach dem Aktualisieren des BIOS wirst du möglicherweise aufgefordert, den BitLocker-Wiederherstellungsschlüssel einzugeben, um das Betriebssystem zu entsperren und darauf zuzugreifen. Für detaillierte Schritte lies bitte diesen Artikel: So findest du den BitLocker-Schlüssel.
Du kannst auch die Geräteverschlüsselung und die Standard-BitLocker-Verschlüsselung vor dem BIOS-Update deaktivieren und nach dem Update wieder aktivieren, um deine Datensicherheit zu gewährleisten. Für detaillierte Schritte lies bitte diesen Artikel: Einführung in Geräteverschlüsselung und Standard-BitLocker-Verschlüsselung.
Für Mainboard
Du kannst die neueste Version des UEFI BIOS auch von der offiziellen ASUS-Website herunterladen und aktualisieren, um die aktualisierten Secure Boot-Zertifikate zu erhalten.
Diese Methode ist besser geeignet für fortgeschrittene Nutzer, die mit dem BIOS-Aktualisierungsprozess vertraut sind, oder für Systeme, die Updates nicht über Windows Update erhalten können.
1. Um die neueste Version des UEFI BIOS von der offiziellen ASUS-Webseite herunterzuladen und zu aktualisieren, können Sie sich auf Folgendes beziehen: Wie man das BIOS aktualisiert
2. Secure Boot-Schlüssel löschen
2.1 Nach dem Aktualisieren des BIOS und dem Neustart des Systems betreten Sie erneut das BIOS-Setup, gehen Sie zu Erweitert\Boot > Secure Boot.
Wenn Secure Boot-Modus auf Standard steht, ändern Sie es auf Benutzerdefiniert.
2.2 Klicken Sie auf Key Management.
2.3 Führen Sie „Secure Boot-Schlüssel löschen“ aus.
Klicken Sie auf [Ja].
2.4 Bestätigen Sie, dass alle UEFI Secure Boot-Schlüssel (PK, KEK, DB, DBX) erfolgreich gelöscht wurden.
3. Installieren Sie die Standard-Secure Boot-Schlüssel
3.1 Nachdem Sie die Secure Boot-Schlüssel gelöscht haben, führen Sie „Standard Secure Boot-Schlüssel installieren“ aus. 
Klicken Sie auf [Ja].
3.2 Überprüfen Sie, dass die Größe/Anzahl der Schlüssel für PK/KEK/DB/DBX nicht 0 ist und die Schlüsselquelle [Standard] ist. Der Update-Vorgang der UEFI Secure Boot-Schlüssel ist dann abgeschlossen.
F&A
Frage 1: Wie kann man den Status der UEFI Secure Boot-Schlüssel prüfen?
Antwort: Bitte befolgen Sie diese Schritte:
1. Gehen Sie auf der BIOS-Seite zu Erweitert\Boot > Secure Boot > Schlüsselverwaltung.
2. Wählen Sie die folgenden Punkte jeweils aus und wählen Sie dann „Schlüssel löschen“:
➢ KEK-Verwaltung
➢ DB-Verwaltung
3. Wählen Sie „Nein“ im Dialogfenster aus. (Hinweis: Dieser Vorgang dient nur zur Anzeige von Schlüssel-Informationen; bei Auswahl von „Ja“ wird der Schlüssel gelöscht.)
4. Bestätigen Sie, dass die KEK-Verwaltung „Microsoft Corporation KEK 2K CA 2023“ enthält.
5. Bestätigen Sie, dass die DB-Verwaltung sowohl „Microsoft UEFI CA 2023“ als auch „Windows UEFI CA 2023“ enthält.
Für Notebook
Sie können auch das UEFI BIOS von der offiziellen ASUS Website herunterladen und auf die neueste Version aktualisieren, um die aktualisierten Secure Boot-Zertifikate zu erhalten.
Diese Methode ist eher für fortgeschrittene Benutzer geeignet, die mit dem UEFI BIOS-Aktualisierungsprozess vertraut sind.
1. Laden Sie das UEFI BIOS von der offiziellen ASUS Website herunter und aktualisieren Sie es auf die neueste Version. Siehe hierzu: Wie man das BIOS in Windows aktualisiert.
2. Zurücksetzen auf Setup-Modus
2.1 Nach dem Aktualisieren des BIOS starten Sie das System neu und rufen Sie das BIOS Setup erneut auf. Gehen Sie zu Erweitert\Boot > Secure Boot.
2.2 Klicken Sie auf Key Management.
2.3 Führen Sie „Zurücksetzen auf Setup-Modus“ aus.
2.4 Klicken Sie auf [Ja].
2.5 Bestätigen Sie, dass alle UEFI Secure Boot Schlüssel (PK, KEK, DB, DBX) erfolgreich gelöscht wurden.
3. Werksschlüssel wiederherstellen
3.1 Führen Sie „Werksschlüssel wiederherstellen“ aus.
3.2 Klicken Sie auf [Ja].
3.3 Überprüfen Sie, dass die Größe/Anzahl der Schlüssel für PK/KEK/DB/DBX nicht null ist.
Der Aktualisierungsvorgang der UEFI Secure Boot-Schlüssel ist nun abgeschlossen.
Fragen & Antworten
Frage 1: Wie überprüfe ich den Status der UEFI Secure Boot-Schlüssel?
Antwort: Bitte befolgen Sie diese Schritte:
1. Gehen Sie auf der BIOS-Seite zu Erweitert\Boot > Secure Boot > Schlüsselverwaltung.
2. Wählen Sie jeweils die folgenden Elemente aus und klicken Sie dann auf „Details“:
➢ Key Exchange Keys (KEK)
➢ Autorisierte Signaturen (db)
3. Bestätigen Sie, dass Key Exchange Keys (KEK) „Microsoft Corporation KEK 2K CA 2023“ enthält.
4. Bestätigen Sie, dass Autorisierte Signaturen (db) sowohl „Microsoft UEFI CA 2023“ als auch „Windows UEFI CA 2023“ enthalten.
Für AIOT
Benutzer können die neueste Version der UEFI BIOS von der offiziellen ASUS-Website herunterladen und aktualisieren, um die aktualisierten Secure Boot-Zertifikate zu erhalten. Diese Methode ist eher für fortgeschrittene Benutzer geeignet, die mit dem BIOS-Update-Prozess vertraut sind oder für Systeme, die keine Updates ordnungsgemäß über Windows Update erhalten können.
Laden Sie die neueste Version des UEFI BIOS von der offiziellen ASUS AIoT-Website herunter und aktualisieren Sie diese. Eine Anleitung finden Sie unter:
1. Laden Sie die neueste Version des UEFI BIOS von der offiziellen ASUS AIoT-Website herunter und aktualisieren Sie diese. Eine Anleitung finden Sie unter: Wie man BIOS aktualisiert
2. Installieren Sie die Standard-Secure Boot-Keys:
2.1 Nach dem Aktualisieren des BIOS starten Sie das System neu. Betreten Sie erneut das BIOS-Setup-Dienstprogramm und navigieren Sie zu Sicherheit > Secure Boot.
2.2 Wenn der Secure Boot Modus auf Benutzerdefiniert eingestellt ist, ändern Sie ihn bitte auf Standard.
2.3 Klicken Sie auf OK (um „Werkseinstellungen in der Schlüsselverwaltung installieren“ anzuwenden)
2.4 Klicken Sie auf Experte Schlüsselverwaltung.
2.5 Überprüfen Sie, dass die Größe/Anzahl der Schlüssel für PK, KEK, DB und DBX nicht null ist.
Fragen & Antworten
Frage 1: Wie kann ich den Status der UEFI Secure Boot-Schlüssel überprüfen, um zu bestätigen, dass die Microsoft-Zertifikate von 2023 installiert wurden?
Antwort: Bitte folgen Sie den folgenden Schritten:
1. Wenn der Secure Boot Modus auf Standard eingestellt ist, ändern Sie ihn auf Benutzerdefiniert. 
2. Klicken Sie auf OK.
3. Klicken Sie auf Expert Key Management.
4. Wählen Sie Key Exchange Key (KEK) > Details aus.
5. Überprüfen Sie, ob die KEK-Verwaltung „Microsoft Corporation KEK 2K CA 2023“ enthält.
6. Wählen Sie Authorized Signatures (db) > Details aus.
7. Überprüfen Sie, ob das DB-Management alle folgenden Einträge enthält: „Windows UEFI CA 2023“, „Microsoft UEFI CA 2023“ und „Microsoft Option ROM UEFI CA 2023“.