Windows 11: Patch-Chaos gefährdet Millionen Systeme

Die jüngsten Sicherheitsupdates für Windows 11 scheitern massenhaft – und lassen Angreifern Tür und Tor offen.

Technische Fehler bei der Installation der Mai-Sicherheitspatches haben eine Welle von Zero-Day-Exploits ausgelöst. Während Microsoft gleichzeitig auf passwortlose Authentifizierung setzt, wächst die Kritik an unzuverlässigen Updates und unzureichenden Treiber-Korrekturen. Die Folge: Die Zahl kritischer Sicherheitslücken hat sich nahezu verdoppelt.

Windows 11 macht Probleme? Diese 5 Fehler können Sie ab sofort selbst beheben. Kein IT-Techniker nötig – ein kostenloser Report zeigt, wie es geht. Erste Hilfe für Windows 11 kostenlos herunterladen

Update KB5089549: Jedes dritte System bleibt schutzlos

Das als KB5089549 bezeichnete Sicherheitsupdate für Windows 11 sorgt für massive Installationsprobleme. Auf rund 35 bis 36 Prozent aller Systeme bricht der Vorgang mit dem Fehlercode 0x800f0922 ab – und macht alle Änderungen rückgängig.

Die Ursache: Der EFI-Systempartition (ESP) fehlt schlicht der Platz. Diese Partition ist für den Bootvorgang unverzichtbar, doch viele Windows-11-Konfigurationen – besonders solche mit kleinen Systempartitionen – haben nicht genügend Reserven für die neuen Sicherheitsdateien. Eine manuelle Vergrößerung der ESP ist riskant: Sie kann zu Datenverlust oder Bootfehlern führen.

„MiniPlasma“: Neue Zero-Day-Lücke trifft Ungeschützte

Verschärft wird die Lage durch eine kritische Sicherheitslücke namens „MiniPlasma“. Sie nutzt einen Fehler im Windows Cloud Files Mini Filter Treiber (cldflt.sys) aus. Da Millionen Geräte das Mai-Update nicht installieren konnten, bleiben sie verwundbar – obwohl der Patch zeitgleich mit der Entdeckung der Lücke veröffentlicht wurde.

Sicherheitsforscher bestätigen: Proof-of-Concept-Code für MiniPlasma funktioniert selbst auf vollständig gepatchten Windows-11-Pro-Systemen. Das deutet darauf hin, dass der aktuelle Patch die Schwachstelle nicht vollständig schließt. Ein erfolgreicher Angriff ermöglicht eine SYSTEM-Level-Rechteausweitung – der Angreifer übernimmt die vollständige Kontrolle.

Exploit-Welle: Sechs Angriffe in sechs Wochen

Hinter der aktuellen Angriffswelle steckt ein Akteur mit dem Pseudonym „Nightmare-Eclipse“. Seit April 2026 veröffentlichte er sechs verschiedene Zero-Day-Exploits gegen Windows-Komponenten – darunter „BlueHammer“, „RedSun“, „UnDefend“, „YellowKey“ und „GreenPlasma“. Der jüngste Streich: MiniPlasma.

Die Veröffentlichung dieser Exploits folgt einem besorgniserregenden Muster: „Retaliatory Disclosures“ – Forscher machen Schwachstellen öffentlich, weil sie Microsofts Umgang mit früheren Meldungen für unzureichend halten. Einige dieser Exploits wurden bereits in freier Wildbahn beobachtet, Sicherheitsfirmen bringen sie mit Infrastruktur in Russland in Verbindung. Die US-Behörde CISA hat mehrere dieser Lücken in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen.

Kritische Lücken: Die Zahl verdoppelt sich

Der Blick auf die Gesamtlage ist alarmierend. Der Microsoft Vulnerabilities Report 2026 zeigt: Zwar sank die Gesamtzahl der gemeldeten Schwachstellen von 1.360 (2024) auf 1.273 (2025), doch die Zahl der kritischen Lücken stieg von 78 auf 157 – eine Verdopplung.

Besonders betroffen:
- Azure und Dynamics 365: Kritische Lücken stiegen von 4 auf 37
- Microsoft Office: Ein Anstieg um 234 Prozent, kritische Fehler von 3 auf 31
- Rechteausweitung: Macht inzwischen rund 40 Prozent aller gemeldeten CVEs aus

Auch Microsoft Exchange Server bleibt im Visier. Die aktiv ausgenutzte Lücke CVE-2026-42897 ermöglicht Cross-Site-Scripting in Outlook Web Access. Ein dauerhafter Patch existiert nur für Kunden mit erweiterten Sicherheitsupdates – viele ältere Installationen bleiben schutzlos.

Das Ende der SMS: Microsoft setzt auf Passkeys

Angesichts steigender Fälle von Identitätsdiebstahl und SIM-Swapping-Angriffen will Microsoft SMS-Codes für persönliche Konten abschaffen. SMS-basierte Zwei-Faktor-Authentifizierung gilt inzwischen als eine der Hauptquellen für Betrug.

Stattdessen setzt der Konzern auf Passkeys nach FIDO2- und WebAuthn-Standard. Diese kryptografischen Schlüssel verbleiben auf dem Gerät des Nutzers und werden per Biometrie oder PIN freigeschaltet. Weltweit sind bereits rund fünf Milliarden Passkeys im Einsatz, fast 90 Prozent aller Internetnutzer kennen die Technologie. Wer umgestiegen ist, spart bis zu 20 Prozent Zeit beim Einloggen.

Pro Quartal werden in Deutschland Millionen Konten gehackt – wer noch auf herkömmliche Passwörter setzt, geht ein vermeidbares Risiko ein. Dieser kostenlose Report zeigt, wie Sie die neue Passkey-Technologie bei Amazon, WhatsApp und Microsoft sofort einrichten. Kostenlosen Passkey-Ratgeber jetzt anfordern

Doch der Wegfall der SMS-Option bringt Probleme: In virtuellen Maschinen fehlt oft die nötige Biometrie-Hardware. Zudem berichten Nutzer von Fehlern beim PIN-basierten Login unter Windows 11 – die Angst vor dem Aussperren aus dem eigenen Konto ist real.

Milliardenverluste durch Cyberkriminalität

Die aktuellen Sicherheitsprobleme treffen auf eine düstere Gesamtlage. Schätzungen zufolge könnten die globalen Schäden durch Smartphone-Angriffe und Banking-Trojaner 2026 auf 442 Milliarden Euro steigen. Allein im ersten Quartal 2026 wurden über 1,2 Millionen Banking-Trojaner-Fälle und 18 Millionen „Quishing“-Fälle (QR-Code-Phishing) registriert.

Verschärft wird die Lage durch den Missbrauch alter Werkzeuge: Der Microsoft HTML Application Host (MSHTA) erlebt eine Renaissance. Angreifer nutzen ihn als „Living off the Land“-Binärdatei, um Schadsoftware wie Lumma und PurpleFox einzuschleusen.

Ausblick: Automatisierte Treiber-Wiederherstellung ab September

Microsoft kündigt an, ab September 2026 ein neues System zur automatischen Treiber-Wiederherstellung einzuführen. Die „Cloud-Initiated Driver Recovery“ soll problematische Treiber automatisch reparieren oder zurücksetzen können – eine Entlastung für IT-Abteilungen.

Parallel dazu wird der neue Verschlüsselungsstandard FIPS 140-3 den veralteten FIPS 140-2 ablösen. Und das „Credential Exchange Protocol“ (CXP) soll den Austausch von Passkeys zwischen verschiedenen Passwort-Managern und Plattformen erleichtern.

Für Unternehmen und IT-Administratoren bleibt der Rat: Systempartitionen vor dem nächsten kumulativen Update prüfen, das CISA-Verzeichnis im Auge behalten und alte Binärdateien entfernen. Der Kampf zwischen schnellen Exploit-Veröffentlichungen und zuverlässigen Patches wird das Jahr 2026 prägen.

de | wissenschaft | 69374765 |