Microsoft Defender bekommt ein neues Werkzeug für IT-Teams: eine zentrale Übersicht darüber, welche Geräte im Unternehmensumfeld noch auf veraltete Secure-Boot-Zertifikate setzen. Der Hintergrund ist ein konkreter Ablauftermin – im Juni 2026 verfallen die sogenannten Windows-Secure-Boot-2011-Zertifikate, die seit Jahren auf Millionen von Unternehmensrechnern im Einsatz sind. Wer bis dahin nicht auf die neueren 2023-Zertifikate umgestellt hat, riskiert Lücken im Sicherheitskonzept des Boot-Prozesses.

Zertifikate laufen ab

Secure Boot ist eine Sicherheitsfunktion, die seit 2012 in Enterprise-Geräten steckt und beim Systemstart dafür sorgt, dass ausschließlich vertrauenswürdige Software geladen wird. Läuft das 2011-Zertifikat ohne Nachfolger ab, können betroffene Geräte keine neuen Schutzmaßnahmen für den frühen Boot-Prozess mehr empfangen oder durchsetzen. Praktisch bedeutet das: Manipulierte Boot-Komponenten lassen sich unter Umständen nicht mehr zuverlässig blockieren, künftige Secure-Boot-Richtlinien greifen nicht - und Angreifer könnten Persistenztechniken unterhalb der Betriebssystemebene ausnutzen, wo klassische Sicherheitslösungen keinen Einblick haben.

Das neue Assessment in Microsoft Defender kategorisiert Geräte automatisch in drei Gruppen: "Exposed" steht für Systeme, die noch immer auf die alten Zertifikate vertrauen; "Compliant" kennzeichnet Geräte, die bereits auf die 2023-Zertifikate und einen signierten Boot-Manager umgestellt wurden; "Not applicable" gilt für Systeme, bei denen Secure Boot deaktiviert oder gar nicht unterstützt wird. IT-Teams finden das Tool im Defender-Portal unter "Exposure Management / Recommendations / Devices / Misconfigurations". Von dort lassen sich betroffene Geräte direkt identifizieren, nach Betriebssystemplattform filtern, exportieren und der Rollout-Fortschritt über die Zeit verfolgen.

Strukturiertes Vorgehen

Für die Praxis empfiehlt Microsoft einen strukturierten Ansatz: zuerst die eigene Angriffsfläche ermitteln, dann die zuständigen Infrastruktur- und Plattformteams einbinden, anschließend kritische Systeme priorisieren und den Fortschritt bis zum Juni-2026-Deadline kontinuierlich nachverfolgen. Die Verantwortung für das Ausrollen der Zertifikate liegt dabei typischerweise nicht beim Security-Team allein, sondern erfordert Abstimmung quer durch die IT-Organisation.

Ob das neue Feature tatsächlich flächendeckend hilft, hängt davon ab, wie viele Unternehmen das Assessment rechtzeitig nutzen und die Umstellung konsequent umsetzen. Der Zeitpuffer bis Juni 2026 klingt komfortabel, erfahrungsgemäß ziehen sich solche unternehmensweiten Rollouts aber erheblich länger hin als geplant. Wer jetzt mit dem Monitoring beginnt, verschafft sich zumindest die Grundlage für eine geordnete Migration.