Liebe Leser:innen,

Seit Wochen begleitet mich die Sorge, wie Menschen mit psychischen Erkrankungen stigmatisiert werden. Messerangriffe und Amoktaten, die mutmaßlich von Personen mit einer psychiatrischen Vorgeschichte begangen wurden, haben viele schockiert. Dass sich Politiker:innen fragen, wie sie so etwas künftig verhindern können, ist nachvollziehbar. Nicht nachvollziehbar sind aber einige Forderungen, die derzeit im Raum stehen.

Nach Ideen für Register mit psychisch erkrankten Straftäter:innen soll es nach dem Willen der Innenministerien nun mehr Datenaustausch etwa zwischen Polizei und Gesundheitsbehörden geben. Und es soll ein „Risikomanagement“ eingeführt werden. Das sind die falschen Antworten. Es waren schon die falschen Fragen.

Stattdessen sollten wir uns fragen, wie wir Menschen mit psychischen Erkrankungen helfen können. Wie können wir die psychotherapeutische und psychiatrische Versorgung verbessern? Wie können wir Hürden abbauen – damit Menschen, die Unterstützung benötigen, sie auch aufsuchen können? Wie können wir Personen in Krisensituationen begleiten, bis es ihnen besser geht und sie wieder Stabilität finden?

Eine Psychotherapeutin, die ich in meinem Text zitiere, schreibt das so: „Prävention gelingt durch Hilfe, nicht durch Verdacht.“

Wer Menschen aber zum Risiko erklärt, befeuert die Stigmatisierung psychischer Erkrankungen. Und macht all jenen Angst, die gerade Hilfe brauchen. Ich habe nach meinem Text einige Zuschriften bekommen. Betroffene sorgen sich, ob es Nachteile haben könnte, wenn sie sich in Behandlung begeben oder es bereits sind. Das schmerzt mich. Denn es zeigt, dass Vertrauen zerstört wurde. Lange bevor sich überhaupt ein Gesetz geändert hat.

Wir bleiben dran.

Habt trotz alledem ein gutes Wochenende!

anna

Microsofts erste Secure-Boot-Zertifikate laufen ab Juni 2026 ab. Damit Systeme mit Secure Boot startbar bleiben, müssen sie bis dahin aktualisierte Zertifikate erhalten. „Bereite dich auf das erste globale, großflächige Secure-Boot-Zertifikat-Update vor“, warnt Microsoft daher nun. Das betrifft nicht nur Windows-Systeme, sondern auch solche mit anderen Betriebssystemen wie Linux oder macOS.

In einem Blog-Beitrag erörtert Microsoft die Folgen des Zertifikatsablaufs und gibt Hinweise, wie Admins sich unter Windows behelfen können. Zusammenfassend eröffnet Microsoft: „Die Microsoft-Zertifikate, die in Secure Boot verwendet werden, sind die Vertrauensbasis für die Sicherheit des Betriebssystems, und alle laufen ab Juni 2026 aus. Um automatisch und rechtzeitig Updates für neue Zertifikate für unterstützte Windows-Systeme zu erhalten, müssen Sie Microsoft die Verwaltung Ihrer Windows-Updates überlassen, zu denen auch Secure Boot gehört.“ Für Microsoft ist daher auch eine enge Zusammenarbeit mit Original Equipment Manufacturers (OEMs) wichtig, die Secure-Boot-Firmware-Updates verteilen sollen.

Insbesondere Firmenkunden sollen sich vorbereiten

Wer noch keine Option zur Verteilung der aktualisierten Zertifikate gewählt hat, sollte damit nun damit anfangen, rät Microsoft. Secure Boot soll verhindern, dass Schadsoftware bereits früh im Bootvorgang von Rechnern startet. Es ist mit dem UEFI-Firmware-Signierprozess verknüpft. Secure Boot setzt dabei auf kryptografische Schlüssel, die als Certificate Authorities (CA) bekannt sind, um zu verifizieren, dass Firmware-Module aus vertrauenswürdigen Quellen stammen. Im Juni 2026 fangen die Secure-Boot-Zertifikate – die Bestandteil des Windows-Systems sind – nach 15 Jahren an, auszulaufen. Windows-Geräte benötigen daher neue Zertifikate, um weiter zu funktionieren und geschützt zu sein, erklärt Microsoft.

Betroffen sind physische und virtuelle Maschinen mit unterstützten Versionen von Windows 10, Windows 11 und Windows Server 2025, 2022, 2019, 2016, 2012 sowie 2012 R2, mithin alle Systeme, die seit 2012 veröffentlicht wurden, einschließlich der Long-Term-Servicing-Channels (LTSC). Neuere Copilot+-PCs, die seit 2025 herausgekommen sind, haben bereits neuere Zertifikate.

Zu den betroffenen Systemen gehört auch macOS – das liege jedoch außerhalb des Microsoft-Support-Bereichs. Für Dual-Boot-Systeme mit Linux und Windows soll das Windows-Betriebssystem die Zertifikate aktualisieren, auf die Linux angewiesen ist.

Microsoft listet auf, dass das Zertifikat „Microsoft Corporation KEK CA 2011“ im Juni 2026 ausläuft und durch „Microsoft Corporation KEK 2K CA 2023“ ersetzt wird; es dient zum Signieren von DB (Datenbank erlaubter Signaturen) und DBX (Datenbank verbotener Signaturen).

Zudem ist kommenden Juni „Microsoft Corporation UEFI CA 2011 (oder Dritthersteller-UEFI-CA)“ am Lebensende angelangt, wofür Microsoft dann „Microsoft Corporation UEFI CA 2023“ respektive „Microsoft Option ROM UEFI CA 2023“ zum Austausch bereithält. Das erste Zertifikat signiert Drittanbieter-Betriebssysteme und Hardware-Treiber-Bestandteile, das letzte Zertifikat hingegen Dritthersteller-Option-ROMs. Schließlich läuft im Oktober 2026 das Zertifikat „Microsoft Windows Production PCA 2011“ aus, was durch „Windows UEFI CA 2023“ ersetzt wird; es signiert den Windows-Bootloader sowie Boot-Komponenten.

Folgen der ablaufenden Zertifikate

Die CAs stellen die Integrität der Bootsequenz sicher, erklärt Microsoft weiter. Wenn diese CAs ablaufen, erhalten die Systeme keine Sicherheitskorrekturen mehr für den Windows-Boot-Manager und die Secure-Boot-Komponenten. „Kompromittierte Sicherheit beim Startvorgang bedroht die gesamte Sicherheit von betroffenen Windows-Geräten, insbesondere durch Bootkit-Malware. Solche Malware ist von Antivirensoftware schwer oder gar nicht zu erkennen. Als Beispiel kann selbst heute noch der ungesicherte Bootprozess als Angriffsvektor für das Blacklotus-Bootkit (CVE-2023-24352) dienen“, führen die Entwickler aus.

„Jedes Windows-System mit aktiviertem Secure Boot nutzen dieselben drei Zertifikate zur Unterstützung von Drittanbieter-Hardware und dem Windows-Ökosystem“, schreibt Microsoft weiter. Sofern physische Geräte und VMs nicht vorbereitet werden, verlieren diese die Fähigkeit, Secure-Boot-Sicherheitsupdates zu installieren und Drittanbieter-Software zu vertrauen, die mit neuen Zertifikaten nach dem Juni 2026 signiert wurden sowie Sicherheitsupdates für den Windows-Boot-Manager ab dem Oktober 2026 zu erhalten. Um das zu verhindern, müssen IT-Verantwortliche das gesamte Windows-Ökosystem mit Zertifikaten aktualisieren, die auf das Jahr 2023 oder neuer datieren.

Update vor dem Update

Microsoft ist wichtig zu betonen, dass Betroffene zunächst nach der jüngsten Firmware ihres OEM-Anbieters – also vom Rechner- oder Mainboard-Hersteller – suchen und diese anwenden sollen, bevor sie neue Zertifikate auf ihren Windows-Systemen anwenden. Im sicheren Bootvorgang seien die Firmware-Updates der OEMs Voraussetzung für korrekt angewendete Windows-Secure-Boot-Updates. Microsoft unterstützt dafür lediglich Systeme, die noch im Support-Zyklus sind – nach Oktober 2025 sollen Windows-10-Nutzer daher über die Beschaffung von Extended Security Updates (ESU) nachdenken.

Einen genauen Zeitplan nennt Microsoft nicht, sondern erklärt, dass „wir die Aktualisierung der Secure-Boot-Zertifikate als Teil unserer jüngsten kumulativen Updates“ erwarten. Den geringsten Aufwand mache daher, Microsoft die Verwaltung der Windows-Updates einschließlich der Secure-Boot-Aktualisierungen zu überlassen. Im Blog-Beitrag erörtert Microsoft schließlich, wie Firmenkunden mit unterschiedlichen Lösungen für die Verwaltung von Windows-Updates vorgehen können.

Im vergangenen Jahr hatte Microsoft mit dem August-Update zahlreiche Bootloader mit einem DBX-Update gesperrt. Betroffen waren viele Linux-Distributionen, die daraufhin nicht mehr starteten. Es bleibt zu hoffen, dass mit einem Jahr Vorlauf nun ein ähnliches Szenario nicht erneut eintritt.

(dmk)

Im vergangenen Jahr hatte CrowdStrike Millionen Windows-Systeme mit einem Update lahmgelegt. Langsam mahlen die Mühlen der Bürokratie – doch nun dringen die geplanten Änderungen zur künftigen Vermeidung solcher Vorfälle immer weiter auf die Geräte im Einsatz vor. Nun kündigt Microsoft einen weiteren Schritt an: Antivirensoftware darf nicht mehr in den Windows-Kernel langen.

Das kündigt Microsoft in einem Blog-Post zum aktuellen Stand der auf Microsoft-Hausmesse Ignite 2024 gegründeten „Windows Resiliency Initiative“ (WRI) an. Einer der neuen Mechanismen soll den Windows-Start auch dann ermöglichen, wenn Boot-Probleme auftreten. In den Windows-Vorschau-Versionen für Insider ist die Quick Machine Recovery (QMR), die in solchen Fällen die Windows Recovery Environment (Windows RE) startet, bereits seit April des Jahres im Test.

Windows soll widerstandsfähiger werden

Die QMR soll „später im Sommer allgemein verfügbar“ werden, kündigt Microsoft dort an. Sie kommt für alle Windows-11-Geräte auf Stand 24H2 und soll auf Home-Geräten standardmäßig aktiv sein. IT-Admins behalten hingegen die volle Kontrolle darüber.

Das bedeutet jedoch auch weitreichende Änderungen für IT-Sicherheitssoftware in Windows. Eine weitere gegründete Initiative nennt Microsoft die „Microsoft Virus Initiative (MVI)“, in der die Redmonder zusammen mit Partnerunternehmen Möglichkeiten ausloten, die Windows-Plattform zu verbessern, um das Ziel der verbesserten Resilienz ohne Verluste bei der Sicherheit zu erreichen. Inzwischen sind die Teilnehmer nun beim „MVI 3.0-Programm“ angelangt, die bestimmte Aktionen seitens der Partnerunternehmen vorsehen.

Dazu gehört das Aufsetzen und Testen eines Vorfall-Reaktions-Prozesses und das Befolgen von sicheren Verteilpraktiken (Safe Deployment Practices, SDP) für Updates für Windows-Endgeräte. „Sicherheitsproduktupdates müssen schrittweise in Verteil-Ringen erfolgen und Überwachung einsetzen, um negative Einflüsse zu minimieren“, erklärt Microsoft. Das passe sich in die Microsoft-Plattformen ein – so geht etwa auch Microsoft Autopatch für Windows Updates vor. Das führe zu größerer Stabilität, schnellerer Wiederherstellung und reduzierten Risiken im Einsatz bei Enterprise-Kunden, die sich auf eine sichere und verlässliche Windows-Umgebung stützen.

Raus aus dem Kernel!

Im kommenden Monat will Microsoft eine Vorschau der Windows-Endpoint-Security-Plattform an einige MVI-Partner verteilen. Die ermöglicht es ihnen, ihre IT-Sicherheitslösungen so zu bauen, dass sie außerhalb des Windows-Kernels laufen. Software wie Antivirus und Endgeräteschutz befinden sich dann im User Mode, wie normale Apps auch. „Diese Änderung hilft IT-Security-Entwicklern, einen hohen Level an Verlässlichkeit sowie eine einfachere Wiederherstellung im Falle von unerwarteten Problemen auf Windows-Geräten zu liefern“, ist sich Microsoft sicher. Microsoft zitiert einige der Partnerunternehmen, die sich zufrieden mit der künftigen Lösung zeigen. Dazu gehören Bitdefender, CrowdStrike, ESET, SentinelOne, Trellix, Trend Micro und WithSecure.

Vor rund 20 Jahren hatte Microsoft in Windows Vista APIs eingebaut, die IT-Sicherheitssoftware den sichereren Zugriff auf den sonst streng geschützten 64-Bit-Kernel gegeben hat. Die ist damit nun wohl in Kürze Geschichte.

Einen weiteren Schritt im Rahmen der WRI macht Microsoft beim Bluescreen of Death. Das wurde dem Unternehmen wohl zu bunt. Künftig wird der Absturzfehlerbericht daher schwarz.

(dmk)