Betroffene Geräte der FORSIS Baureihen
Alle FORSIS Industrie-Panel-PCs der Baureihen EXPERT, PROFI, MOBILE und MASTER.
Hintergrundinformation

Microsoft hat im Juni 2026 damit begonnen, die ursprünglichen Secure Boot Zertifikate aus dem Jahr 2011 abzulösen. Die alten Zertifikate laufen zeitnah ab – das erste ist bereits am 24. Juni 2026 abgelaufen. Für Sie bedeutet dies, dass FORSIS Industrie Rechner, welche nicht auf die neuen 2023-Zertifikate aktualisiert werden, ab diesem Zeitpunkt keine sicherheitsrelevanten Updates für den Boot-Prozess mehr empfangen.
Je nach Alter und BIOS-Stand des eingesetzten Industrie-PCs ist eine Maßnahme erforderlich. Hier möchten wir Sie unterstützen.
Fachbegriffe zum Thema UEFI CA 2023
Nachfolgend zuerst einmal eine kurze Übersicht zu den verschiedenen Fachbegriffen so das ein besseres Verständnis möglich ist.
| Fachbegriff | Ein kurze Erklärung |
|---|---|
| Secure Boot | Sicherheitsfunktion im UEFI-BIOS. Stellt beim Start sicher, dass nur vertrauenswürdige, digital signierte Software geladen wird. Verhindert Bootkits und Rootkits |
| UEFI | Unified Extensible Firmware Interface – moderner Nachfolger des klassischen BIOS. Firmware-Schnittstelle zwischen Hardware und Betriebssystem. |
| UEFI CA 2023 | Das neue Microsoft Zertifikat (Certificate Authority 2023), das ab 2026 zur Signierung aller Windows-Boot-Komponenten verwendet wird |
| Plattform Key (PK) | Der Generalschlüssel des Systems, verankert in der Motherboard-Firmware des Herstellers, bei unseren FORSIS Geräten z. B. die Boardhersteller MITAC, IGAIPC usw. Dieser ist nur per BIOS-Update änderbar. |
| Key Exchange Key (KEK) | Autorisiert Änderungen an den Signaturdatenbanken DB und DBX. Muss den neuen ‚Microsoft Corporation KEK 2K CA 2023‘ enthalten |
| Signature Database (DB) | Datenbank erlaubter Signaturen. Muss ‚Windows UEFI CA 2023‘ enthalten, damit der Boot Manager vertrauenswürdig ist. |
| forbidden sig. DB (DBX) | Sperrliste: Hier werden kompromittierte oder zurückgezogene Boot-Signaturen eingetragen. Wird von Microsoft laufend aktualisiert. |
| chain of trust | Hierarchische Vertrauenskette: PK → KEK → DB/DBX → Bootloader → Betriebssystem. Jede Ebene prüft die nächste. |
Die Vertrauenskette

Secure Boot arbeitet mit einer hierarchischen Vertrauensstruktur.
Jede Ebene muss aktuell sein, damit das update vollständig greift.
Wir als System Integrator erhalten von den Motherboar Anbieter bekommen die PK und KEK Schlüssel vom jeweiligen Motherboard Anbieter.
Nur ein BIOS-Update vom Hersteller kann den neuen Microsoft KEK 2K CA 2023 Schlüssel korrekt in die Firmware einbinden.
Was passiert wenn Sie kein Update durchführen
- Geräte ohne aktualisierte Zertifikate starten weiterhin normal und empfangen reguläre Windows-Updates.
Allerdings können diese Geräte - keine sicherheitsrelevanten Updates für den Boot-Prozess mehr empfangen
- keine aktualisierten Windows Boot Manager-Versionen installieren
- keine neuen Einträge in die Sperrliste (DBX) übernehmen
- bekannte Boot-Schwachstellen (z. B. BlackLotus / CVE-2023-24932) nicht mehr mitigieren
Langfristig bedeutet dies, dass der FORSIS Industrie PC auf dem Sicherheitsstandard von Oktober 2026 stehen bleibt und zunehmend anfällig für Angriffe ist.
FORSIs Neugeräte Lieferungen
Hier besteht kein Handlungsbedarf. FORSIS liefert alle aktuellen Geräte mit dem bereits validierten BIOS Standard aus. Windows update übernimmt die weiteren Schritte.
FORSIS Bestandgeräte
Nachfolgend finden Sie eine Tabelle mit Boardtyp und INTEL CPU Generation. Alle Geräte vor der achten Generation können nicht berücksichtigt werden, da hier der TPM Chip fehlt. Auch muss bei den nachfolgenden Geräte im Regelfall indivuell geprüft werden. Hier müssen Sie den Status prüfen, wie dies geht finden Sie nach der Tabelle.
| Mainboard | Generation | CA2023 Secure boot update inkl. Intel ME verfürbar | Status |
| Wafer ULT 5 | 8G | JA | |
| Wafer TGL R10/R11/R12 | 11G | JA | |
| MITAC PD10EHI | 10G | JA | |
| MITAC PD11TGS | 11G | JA | |
| MIO-5373 | 8G | JA | |
| MIO-5375 | 11G | JA | |
| QBIP-13 | 13G | JA | vorhanden |
| QBIP CORE ULTRA II | Core Ultra 225 /235U | implemtiert |
Schritt 1: Schnellcheck über Windows Sicherheit
Windows-Einstellungen → Datenschutz & Sicherheit → Windows-Sicherheit → Gerätesicherheit → Sicherer Start
- Grünes Symbol: Alle Zertifikate sind aktuell. Kein weiterer Handlungsbedarf.
- Gelbes Warnsymbol: Das Gerät hat das Update noch nicht erhalten. Weiter mit Schritt 2.
Schritt 2: Detaillierter Prüfbefehl (PowerShell als Administrator)
# KEK prüfen – muss True zurückgeben
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match ‚Microsoft Corporation KEK 2K CA 2023‘
# DB prüfen – muss True zurückgeben
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‚Windows UEFI CA 2023‘
Tipp: Das vollständige FORSIS Prüfskript (FORSIS-SecureBoot-Check.ps1) steht im Download-Bereich auf www.forsis.de zur Verfügung und liefert einen übersichtlichen Statusbericht für alle relevanten Zertifikate.
Schritt 3: Bestandsgerät – BIOS-Update erforderlich
Wenn einer der Prüfbefehle ‚False‘ zurückgibt, ist ein BIOS-Update einzuspielen.
Wichtiger Hinweis vor dem Update: Wenn auf dem Gerät BitLocker aktiv ist, den Wiederherstellungsschlüssel bereithalten oder BitLocker vorübergehend deaktivieren. Ein BIOS-Update kann den BitLocker-Schutz auslösen.
Fragen Sie unseren Support an.
