Microsoft BitLocker: Kritische Zero-Day-Lücke bedroht verschlüsselte Daten

Microsoft hat eine Sicherheitslücke in BitLocker bestätigt, die physischen Zugriff auf Geräte ausnutzt. Die als „YellowKey" bekannte Schwachstelle gefährdet Unternehmen und Behörden weltweit.

Der Softwarekonzern veröffentlichte am heutigen Mittwoch dringende Schutzmaßnahmen für eine kritische Zero-Day-Sicherheitslücke in seiner BitLocker-Verschlüsselungstechnologie. Die Schwachstelle mit der Kennung CVE-2026-45585 – von Sicherheitsexperten auf den Namen „YellowKey" getauft – erlaubt Angreifern mit physischem Zugriff auf ein Gerät, die Verschlüsselung zu umgehen und auf geschützte Daten zuzugreifen.

Die Enthüllung erfolgte, nachdem am Dienstag ein Proof-of-Concept-Exploit veröffentlicht wurde. Das hat bei Sicherheitsverantwortlichen in Unternehmen und Regierungsbehörden sofortige Alarmstufe ausgelöst.

Angesichts kritischer Boot-Schwachstellen wie YellowKey ist ein vorbereiteter Notfall-Plan für das System unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen Schritt für Schritt, wie Sie einen Windows-11-USB-Stick für Reparaturen und sichere Installationen erstellen. Windows 11 Boot-Stick Anleitung jetzt kostenlos sichern

Die YellowKey-Schwachstelle und ihre Gefahr für mobile Geräte

Die Sicherheitslücke betrifft eine breite Palette von Microsoft-Betriebssystemen, darunter Windows 11, Windows Server 2022 und Windows Server 2025. Da das Problem den grundlegenden Bootvorgang des Systems betrifft, betont Microsoft, dass herkömmliche Software-Updates allein nicht für alle Konfigurationen ausreichen.

Der Fehler liegt in der Art und Weise, wie das System bestimmte ausführbare Dateien während der Pre-Boot-Umgebung verarbeitet. Konkret zielt der Exploit auf einen Prozess namens „autofstx.exe" innerhalb der Windows-Startsequenz ab. Durch Manipulation dieses Eintrags kann ein Angreifer, der physischen Zugriff auf einen Computer hat, die BitLocker-Verschlüsselung umgehen.

Sicherheitsforscher warnen, dass die Schwachstelle besonders gefährlich für Laptops und mobile Workstations ist, die gestohlen werden oder verloren gehen könnten. In der Standardkonfiguration verlassen sich viele BitLocker-Installationen ausschließlich auf das Trusted Platform Module (TPM), um das Laufwerk automatisch zu entsperren. YellowKey zeigt, dass dieser automatisierte Prozess gekapert werden kann.

Sofortmaßnahmen: Registry-Änderungen und PIN-Pflicht

Da ein dauerhafter Patch noch in Entwicklung ist, hat Microsoft eine zweistufige Strategie zur Schadensbegrenzung vorgelegt:

Erster Schritt: Administratoren müssen den BootExecute-Registry-Wert anpassen und den Eintrag für „autofstx.exe" entfernen. Diese Aktion verhindert, dass die vom Exploit anvisierte Datei während der Bootphase ausgeführt wird.

Zweiter und umfassenderer Schritt: Microsoft empfiehlt, von der TPM-only-Authentifizierung auf einen TPM-plus-PIN-Modus umzustellen. Durch die Anforderung einer benutzerdefinierten PIN vor der Freigabe der Verschlüsselungsschlüssel entsteht eine zusätzliche Schutzschicht, die physische Exploits nicht einfach umgehen können.

Branchenbeobachter weisen darauf hin, dass diese Umstellung zwar die Sicherheit deutlich erhöht, aber auch neue logistische Herausforderungen für IT-Abteilungen mit sich bringt. Nutzer müssen künftig bei jedem Einschalten ihres Geräts einen Code eingeben.

Weitere Windows-Probleme im Mai 2026

Die YellowKey-Schwachstelle ist nicht das einzige Problem, mit dem Microsoft derzeit kämpft. Der Konzern bestätigte kürzlich weit verbreitete Installationsfehler beim Mai-2026-Sicherheitsupdate KB5089549. Systeme, die das Update installieren wollen, stoßen auf den Fehler 0x800f0922. Die Ursache: zu wenig freier Speicherplatz in der EFI-Systempartition (ESP). Geräte mit weniger als 10 MB freiem Speicher in dieser Partition können das Update nicht abschließen.

Neben der Behebung aktueller Sicherheitslücken ist ein stabiles und korrekt konfiguriertes System die wichtigste Basis für jeden PC-Nutzer. Der kostenlose Spezialreport bündelt alle wichtigen Informationen zur sicheren Installation und Datenübernahme, damit der Betrieb von Windows 11 reibungslos klappt. Gratis-Report zum Windows 11 Komplettpaket anfordern

Microsoft hat einen Known Issue Rollback (KIR) für Verbrauchergeräte bereitgestellt und eine registry-basierte Problemumgehung für Unternehmen veröffentlicht. Der empfohlene Fix setzt den Wert „EspPaddingPercent" auf null.

Neue Hardware als Sicherheitsbaustein

Parallel zu den Software-Problemen treibt Microsoft seine Hardware-Offensive voran. Am Dienstag launchte der Konzern mehrere neue Surface for Business-PCs, die speziell auf die hohen Sicherheitsanforderungen von Unternehmen zugeschnitten sind. Dazu gehören das Surface Pro for Business und das Surface Laptop for Business, beide angetrieben von den neuen Intel Core Ultra Series 3-Prozessoren.

Die neuen Geräte sind als „Secured-core PCs" klassifiziert – eine Auszeichnung, die erweiterte Sicherheitsfunktionen ab Werk verspricht. Das Surface Pro for Business startet bei 1.949,99 Euro und bietet optionale 5G-Konnektivität sowie OLED-Displays. Das Surface Laptop for Business beginnt bei 1.499,99 Euro und führt ein haptisches Touchpad sowie einen optionalen integrierten Privacy Screen ein.

Microsoft bestätigte zudem, dass Versionen dieser Geräte mit dem Snapdragon X2-Prozessor später im Jahr 2026 erscheinen werden. Diese sollen weitere Verbesserungen bei KI-gesteuerter Sicherheit und Akkueffizienz bieten.

Ausblick: Handlungsdruck für IT-Abteilungen

Die oberste Priorität für IT-Abteilungen bleibt die manuelle Absicherung gegen CVE-2026-45585. Sicherheitsexperten halten die Umstellung auf TPM+PIN-Authentifizierung für einen notwendigen Schritt in einer Zeit, in der die physische Gerätesicherheit zunehmend in den Fokus rückt.

Microsofts Dokumentation empfiehlt, dass Organisationen ihre aktuellen BitLocker-Konfigurationen sofort überprüfen sollten, um Geräte im reinen TPM-Modus zu identifizieren.

Der Zeitdruck wächst: Die Unterstützung für Windows 11 Version 24H2 endet planmäßig am 13. Oktober 2026. Bis dahin muss Microsoft nachweisen, dass das Betriebssystem stabil, sicher und einfach zu patchen ist. Die YellowKey-Maßnahmen sind ein deutlicher Hinweis darauf, dass physischer Zugriff auf verschlüsselte Hardware ein anhaltendes Risiko darstellt.

de | wissenschaft | 69384572 |