Microsoft hat ein „Playbook“ für den Umgang mit den im Juni 2026 auslaufenden Secure-Boot-Zertifikaten von Windows Servern herausgegeben. Es soll IT-Verantwortlichen in Organisationen helfen, die Zertifikate unter Windows-Server-Versionen auszutauschen, bevor sie im Juni ablaufen.

Ein aktueller Blog-Beitrag in Microsofts Techcommunity erklärt verfügbare Werkzeuge und Optionen. Die Autoren schränken ein, dass die Anleitung nicht auf Azure Local-Hosts, Windows-PCs oder Hyper-V-VMs der ersten Generation anwendbar ist.

Ablaufende Zertifikate: Manuelle Eingriffe nötig

Microsoft erklärt, dass die Secure-Boot-Zertifikate mit einer vordefinierten Laufzeit versehen sind, wie andere kryptografische Objekte auch. Der periodische Austausch helfe, aktuelle Sicherheitsanforderungen zu erfüllen. Daher müssen Organisationen sicherstellen, dass die Secure-Boot-CAs aus 2023 auf den Windows-Server-Systemen vorhanden sind, bevor die alten CAs aus dem Jahr 2011 ablaufen. „Systeme mit den CAs von 2011 laufen nach Juni 2026 Gefahr, mit einem geringeren Sicherheitsstatus zu arbeiten“, führen die Autoren aus.

Windows Server 2025 auf zertifizierten Server-Plattformen bringt bereits die 2023er-Zertifikate in der Firmware mit. Auf Servern, bei denen das nicht der Fall ist, müssen IT-Verantwortliche die Zertifikate manuell aktualisieren, da Windows Server sie nicht automatisch erhält. Anders als Windows-PCs, die die Secure-Boot-Zertifikatsupdates als Teil des Controlled Feature Rollout (CFR) im Rahmen der monatlichen Updates erhalten, erfordern Windows Server manuelle Eingriffe.

Microsoft liefert dann eine schrittweise, nachvollziehbare Anleitung. Sie beginnt mit Inventur und Vorbereitung der Umgebung. Anschließend geht sie weiter zur Überwachung und Prüfung des Secure-Boot-Status der Geräte und darauffolgend hin zur Anwendung benötigter OEM-Firmware-Updates vor den Zertifikatsaktualisierungen. Daran schließt sich die Planung und Begleitung der Secure-Boot-Zertifikatsverteilung an und schließlich endet sie mit Problemlösungen und dem Beheben üblicher Probleme.

Admins mit Windows-Servern im Netzwerk sollten die Anleitung studieren und deren Umsetzung in absehbarer Zeit in Angriff nehmen. Für Windows-Desktop-Systeme hat Microsoft bereits Ende Januar mit der Verteilung von aktualisierten Secure-Boot-Zertifikaten begonnen. Mit der Sensibilisierung für den anstehenden Zertifikatsaustausch hat Microsoft zudem bereits im Juni vergangenen Jahres angefangen.

(dmk)

Im November 2024 hatte die rot-grüne niedersächsische Landesregierung sich auf ein neues Psychisch-Kranken-Gesetz geeinigt. Solche Gesetze gibt es in allen Bundesländern, sie regeln neben Hilfen für erkrankte Menschen unter anderem, wann sie unfreiwillig in eine psychiatrische Klinik eingewiesen werden können und welche Voraussetzungen für Zwangsmaßnahmen gelten. Die Details unterscheiden sich in den Ländern, Niedersachsen will nun – wie Hessen zuvor – in seinem neuen Gesetz regeln, wie und wann Daten zu Menschen sowohl mit Behörden als auch mit der Polizei ausgetauscht werden können.

Am Erstentwurf der Landesregierung gab es zahlreiche Kritik. Kliniken sollten dazu verpflichtet werden, Zwangseingewiesene dem zuständigen sozialpsychiatrischen Dienst und der örtlichen Polizeibehörde zu melden, „sofern der betroffene Mensch festgelegte Merkmale aufweist, die einen Verdacht für die Gefährdung Dritter vermuten lassen“.

Das mutmaßliche Gewaltrisiko sollte auf Basis einer öffentlichen Verwaltungsvorschrift ermittelt werden. Diese Regelung hat die Landesregierung nach einer Verbändeanhörung überarbeitet. Den neuen Entwurf hat sie mittlerweile in den niedersächsischen Landtag eingebracht.

Niedersachsens Gesundheitsminister Andreas Philippi (SPD) hatte betont: „Keinesfalls wollen wir ein Register für psychisch Kranke.“ Doch auch wenn der Register-Begriff von Politiker:innen mittlerweile nach zahlreicher öffentlicher Kritik gemieden wird, bleibt das Problem einer Datenerfassung über psychisch erkrankte Menschen bestehen.

Drei Stufen zur Datenübermittlung

Zu den Datenübermittlungen zwischen Kliniken, sozialpsychiatrischen Diensten und Polizei schreibt die Regierung im neuen Gesetzesentwurf: „Um die kritischen Stellungnahmen aus der Verbandsanhörung aufzugreifen, wurden diese Regelungen in einen gesonderten Paragraphen aufgenommen.“ Die seien „klarer strukturiert, die übermittlungsfähigen Daten konkret definiert und insbesondere die Kriterien für eine psychiatrische Gefährdungseinschätzung ausdrücklich im Gesetz festgelegt“.

Dabei herausgekommen ist ein dreistufiges Modell, nach dem Kliniken und sozialpsychiatrische Dienste Daten an die örtliche Polizei übermitteln können, sollen oder in der letzten Stufe müssen.

Die Kann-Vorschrift wird wirksam, wenn von einem Menschen ohne Behandlung „eine erhebliche Gefahr für das Leben, die Gesundheit oder andere hochrangige Rechtsgüter Dritter ausgehen könnte“ und erwartet wird, dass die Person sich nicht in eine als notwendig erachtete Behandlung begibt. Die Soll-Vorschrift kommt zum Tragen, wenn der entsprechende Mensch in den zwölf Monaten zuvor bereits „wegen erheblicher Fremdgefährdung untergebracht“ war. Und die Pflicht zur Datenübermittlung tritt in Kraft, wenn es zusätzlich im zurückliegenden Jahr „zu einer Schädigung Dritter“ gekommen ist. Eine Datenübermittlung kann jedoch, so sieht es der Entwurf vor, nicht nur in Richtung der Polizei, sondern auch umgekehrt von dieser zu Kliniken und sozialpsychiatrischen Diensten geschehen, etwa wenn die Zwangseinweisung auf einem „polizeilich aufgenommenen Sachverhalt“ basiert.

Der Entwurf versucht hier, die Datenübermittlung an nachvollziehbare und überprüfbare Bedingungen zu knüpfen. An anderer Stelle im Entwurf fehlt das, etwa wenn es darum geht, wann eine Person zwangseingewiesen werden kann. Denn das soll künftig nicht mehr – wie in der aktuellen Gesetzesfassung – bei akuter Selbst- oder Fremdgefährdung der Fall sein. Sondern auch, wenn eine Gefahr für Leib oder Leben Dritter „zwar unvorhersehbar, aber wegen besonderer Umstände des Einzelfalls jederzeit zu erwarten ist“. Eine Schwelle, die noch schwammig formuliert ist, etwa als „drohende“ Gefahr – ein Begriff, der in den letzten Jahren zunehmend Einzug in die Polizeigesetze gehalten und zu einer Vorverlagerung von Befugnissen geführt hat.

Der überwiegende Teil psychisch erkrankter Menschen hat kein höheres Gewaltpotenzial als Menschen ohne entsprechende Diagnosen. Das Risiko erhöhen können zwar Faktoren wie der Einfluss von Alkohol und anderen Substanzen oder teilweilse nicht angemessen behandelte psychotische Zustände. Fachleute weisen immer wieder darauf hin, dass Gewalt multifaktoriell ist. Sie fordern, dass auch andere Faktoren betrachtet werden müssen, wenn es zu Gewalttaten kommt. So schreibt etwa die Psychotherapeutenkammer Niedersachsen: „Gesamtgesellschaftlich muss Gewalt begünstigenden Faktoren ebenso begegnet werden, unter anderem durch Maßnahmen zum Abbau von Wohnungslosigkeit und verhältnispräventiven Maßnahmen im Bereich Suchtmittelkonsum.“

Besser, aber noch nicht ausreichend

Prof. Dr. Euphrosyne Gouzoulis-Mayfrank, Präsidentin der Deutschen Gesellschaft für Psychiatrie und Psychotherapie, Psychosomatik und Nervenheilkunde (DGPPN), begrüßt die Änderungen im überarbeiteten Gesetzesvorschlag. „Insgesamt ist der Entwurf deutlich verbessert, optimal ist er aber noch nicht“, so die Psychiaterin und Neurologin. Der Entwurf begrenze nun klarer, welche Informationen überhaupt weitergegeben werden dürfen. Im neuen Entwurf ist festgelegt, dass nur Daten zur Identifizierung einer Person und zur „Beschreibung der von ihm ausgehenden Gefahr“ übermittelt werden dürfen. „Daten zum Gesundheitszustand und zum Krankheitsbild des betroffenen Menschen, zum Behandlungsverlauf sowie zu Behandlungsinhalten dürfen nur weitergegeben werden, soweit dies zur Gefahrenabwehr erforderlich ist“, heißt es dort weiter.

Gouzoulis-Mayfrank wünscht sich hier eine noch klarere Formulierung, „dass dies nur bei ‚unabdingbarer‘ Notwendigkeit zulässig ist“. Denn auch wenn es eine Verbesserung darstelle: „Die abgestufte Regelung zur Weitergabe von Daten an die Polizei ist erkennbar ein politischer Kompromiss“, so Gouzoulis-Mayfrank. „Die Voraussetzungen sind enger als im ersten Entwurf, bleiben aus fachlicher Sicht aber hinter dem zurück, was wir für angemessen halten.“ Die Ärztin sieht die Gefahr, dass dennoch bei einer Gefährdungseinschätzung „mehr Informationen über die Erkrankungen preisgegeben werden, als zur konkreten Gefahrenabwehr zwingend erforderlich wären“.

Neben den Regeln zur Datenübermittlung enthält das niedersächsische Psychisch-Kranken-Gesetz, das nach der Änderung Psychisch-Kranken-Hilfe-Gesetz heißen soll, weitere Neuerungen. So sollen etwa die sozialpsychiatrischen Dienste, die Menschen mit psychischen Erkrankungen wohnortnah beraten und begleiten, gestärkt werden. Sie sollen etwa Stellen zur Krisenkoordination einrichten, die auch außerhalb regulärer Öffnungszeiten erreichbar sind.

Die sozialpsychiatrischen Dienste sollen auch an Fallkonferenzen teilnehmen, wenn sie selbst, eine behandelnde Klinik, die Wohnsitzgemeinde des betroffenen Menschen oder die Polizei von einem „erheblichen Fremdgefährdungspotenzial“ ausgehen. Nach Ansicht von Gouzoulis-Mayfrank sollten derartige Fallkonferenzen „nicht generell, sondern anlassbezogen und hochschwellig einberufen werden“. Die DGPPN-Präsidentin weist außerdem darauf hin, dass eine Begleitung durch die sozialpsychiatrischen Dienste einen wirksamen Präventionsbeitrag leisten könne. Die Dienste müssten dann jedoch finanziell und personell entsprechend ausgestattet sein.

„Ärztliche Schweigepflicht steht auf dem Spiel“

Der Vorstand des Vereins „Bundesarbeitsgemeinschaft Psychiatrie-Erfahrener“ hat sich nun, da der Entwurf im Landtag diskutiert wird, in einem offenen Brief an die Abgeordneten des niedersächsischen Landesparlaments gewandt. Der Verein engagiert sich für die Abschaffung von Zwangsmaßnahmen, kritisiert aber auch die geplanten Datenübermittlungsbefugnisse. Die neuen Regelungen würden „Betroffene diskriminieren, indem Krisen als Sicherheitsrisiko statt als Probleme im Leben durch die Polizei und Psychiatrie behandelt werden“. So stehe unter anderem das Vertrauen in die Medizin mit der Schweigepflicht auf dem Spiel, „ein Grundpfeiler jeder Behandlung“.

Der Grünen-Abgeordnete Nicolas Mülbrecht Breer ist Sprecher für Psychiatrie seiner Landtagsfraktion und begrüßt es, dass „sich die Eingaben der Fachwelt im überarbeiteten Entwurf des NPsychKHG wiederfinden“ würden. In einem Positionspapier zur Psychiatrie der niedersächsischen Grünen aus dem November 2025 heißt es unter anderem: „Keine zentrale Erfassung von Erkrankten, Einbindung von Sicherheitsbehörden nur in Einzelfällen“.

Mülbrecht Breer setzt auch im weiteren parlamentarischen Verfahren „auf eine konstruktive Zusammenarbeit mit den jeweiligen Akteur*innen“. Nachdem sich am 5. Februar der Gesundheitsausschuss zum ersten Mal mit dem geplanten Gesetz beschäftigt hat, soll am 16. April dazu eine Sachverständigenanhörung stattfinden. Ziel der rot-grünen Regierungskoalition ist erklärtermaßen, dass das Gesetz bis Juli dieses Jahres in Kraft treten soll.

Der Entwurf für eine Änderung des Landesgesetzes ist nicht die einzige Initiative Niedersachsens für mehr Datenaustausch zu psychisch erkrankten Menschen. Im Januar beschloss der Bundesrat einen Antrag auf Initiative des Landes, der die Bundesregierung auffordert, „insbesondere den Austausch von Gesundheitsdaten und den Erkenntnissen der Gefahrenabwehrbehörden unter datenschutzrechtlichen Vorgaben zu prüfen“ und Gesetze anzupassen. Es soll demnach eine bessere Vernetzung der „Erkenntnisse zwischen Sicherheits-, Gesundheits-, Waffen- und gegebenenfalls anderen relevanten Behörden“ geben.

Microsoft beendet den Support für drei Windows-Produkte, die im Jahr 2016 erschienen sind. Das nahende Aus lässt sich etwa mit erweiterten Sicherheits-Updates (ESU) hinauszögern – natürlich mit einem Preis verbunden.

Im Windows-Release-Health-Message-Center hat Microsoft das angekündigt. Ein Blog-Beitrag im Windows-IT-Pro-Blog geht auf die Details ein. Demnach läuft der offizielle Support zehn Jahre nach Erscheinen für Windows 10 Enterprise LTSB 2016, Windows 10 IoT Enterprise 2016 LTSB (beide am 13. Oktober 2026) sowie für Windows Server 2016 (am 12. Januar 2027) aus. Das sind die Daten der jeweils letzten Sicherheits-Updates, die Maschinen mit diesen Windows-Versionen offiziell erhalten. „Danach erhalten diese Geräte keine Windows-Sicherheits-Updates, non-Security-Updates, Fehlerkorrekturen, technischen Support oder Updates für technische Inhalte mehr“, schreibt Microsoft. Es gebe aber gute Neuigkeiten: Wer zusätzliche Zeit benötige, könne das ESU-Programm nutzen.

ESU: Preise teils noch nicht bekannt

Im Rahmen des ESU können Interessierte monatliche Sicherheitsupdates für bis zu weitere drei Jahre bei Microsoft einkaufen. Neue Funktionen, Verbesserung der Qualität oder Designänderungen fallen nicht darunter, ebenso gibt es keinen weiteren technischen Support für die betroffenen Windows-Versionen. Für Windows Server 2016 muss Microsoft noch Preise ausknobeln. Windows IoT Enterprise LTSB 2016 ist ausschließlich über die OEMs der Geräte erhältlich – die bestimmen auch Preis und Verfügbarkeit.

Für Windows 10 Enterprise 2016 LTSB sollen ab dem zweiten Quartal 2026 ESU-Lizenzen für 61 US-Dollar je Maschine und Jahr verfügbar werden. Wer die Geräte mit Intune oder Autopatch verwaltet, erhält einen rabattierten Preis von 45 US-Dollar. Jedes Jahr verdoppelt sich der jedoch – wer sich also erst im zweiten Jahr dazu entscheidet, Maschinen mit einer ESU-Lizenz auszustatten, zahlt das erste Jahr trotzdem mit. Preise in Euro nennt Microsoft noch nicht.

Microsoft empfiehlt Betroffenen, auf Windows Server 2025, Windows 11 Enterprise LTSC 2024 oder Windows 11 IoT Enterprise LTSC 2024 zu aktualisieren und damit länger offizielle Unterstützung einschließlich technischen Support zu erhalten.

Mit dem Support-Ende dieser Windows-Versionen dürften die meisten IT-Verantwortlichen Übung haben. Das offizielle Support-Aus für Windows 10 zum 14. Oktober 2025 hatte großen Handlungsbedarf erzeugt. Microsoft lieferte da zudem Hinweise und Tipps.

(dmk)