Microsoft zur Windows Update-Strategie in KI-Zeiten

WindowsDer Einsatz von künstlicher Intelligenz verändert die IT-Landschaft gravierend. Microsoft hat sich daher einige Gedanken im Hinblick auf die Frage, wie sich dies auf den Zeitraum zum Einspielen von Sicherheitsupdates auswirkt, gemacht. In einem Beitrag will Redmond IT-Supportern Hinweise, wie sich das alles auf das Thema Updates auswirkt, in Form von Update-Strategien an die Hand geben.

KI-gestützte Softwareanalyse zur Entdeckung von Schwachstellen legt oft hunderte an Sicherheitslücken offen. Bei Google Chrome werden pro Update mehrere Hundert Schwachstellen beseitigt (was dann auch den Edge-Browser trifft), und auch beim Microsoft Patchday am zweiten Dienstag eines Monats heißt es schon mal 180 CVEs geschlossen, davon 10 kritisch. Da auch Angreifer sehr genau auf diese Updates schauen und selbst KI zum Finden von Schwachstellen verwenden, trägt der alte Ansatz "ich warte mal einen Monat ab, bis ich patche" eventuell nicht mehr.

Microsoft zu Update-Installationszyklen in KI-Zeiten

Genau in diesem Kontext hat Microsoft zum 8. Juli 2026 den Techcommunity-Beitrag Deploy Windows updates to counter AI-discovered threats für IT-Mitarbeiter in Unternehmen veröffentlicht (via). Angesichts der Geschwindigkeit, mit der KI mittlerweile Schwachstellen aufspüren und ausnutzen kann, müssen auch die Abwehrmaßnahmen angepasst werden, lautet die Botschaft.

Windows Update-Strategie
Zum Abspielen des Videos klicken

Für Geräte mit Windows, bei denen die Bereitstellungsfristen zur Installation von Updates verkürzt werden können, erläutert Microsoft 365 Director Jeremy Chapman wie Kunden die Patch-Installation beschleunigen können.

  • Zunächst sollten die IT-Verantwortlichen mithilfe des neuen Autopatch-Berichts in Microsoft Intune das Risiko durch nicht gepatchte Geräte ermitteln (was sinnvoll klingt).
  • Anschließend sollten die Kriterien, wie schnell Sicherheitsupdates installiert werden, angepasst werden (Microsoft bezeichnet dies als "Verschärfung der Aufschubrichtlinien für die Geräte, bei denen dies sinnvoll ist).
  • Weiterhin könnten Administratoren die Hotpatch-Funktion in Windows aktivieren, so dass die Sicherheitsupdates ohne Neustart installiert werden können (bei Servern sinvoll).

Windows Autopatch automatisiert zudem die Update-Bereitstellungen mithilfe von Ringen, um Updates schrittweise auf die von definierten Gerätegruppen anzuwenden, argumentiert Microsoft. Das schließt Updates für Windows, Microsoft 365-Apps und den Edge-Browser ein. Und um interne Ressourcen zu schützen, können Administratoren mithilfe von "Conditional Access" Zugriffskontrollen durchsetzen. Dies ermöglicht Administratoren nicht konforme Geräte bei der Update-Verteilung zu blockieren.

Ich hätte Fragen …

Jeremy Chapman gibt im Beitrag einige Hinweise und erläutert in einem YouTube-Video die Vorstellungen Microsofts. In der Theorie klingen die Vorschläge alle gut, aber die  Krux liegt in der Einstufung der Geräte, der Implementierung der Update-Zyklen etc., die letztendlich vom IT-Personal getroffen werden muss.

Beim Schreiben des Beitrags habe ich mich spontan gefragt, wie viele Systeme wirklich gefährdet sind, weil ein Update auf einem Server erst "Tage später" wegen des anstehenden Neustarts installiert werden kann?

Das größte Problem, was ich sehe, ist bei Microsoft doch seit Jahren die sich immer wieder stellende Frage: "Was geht beim aktuellen Update wieder kaputt und was funktioniert noch"? Die IT muss halbwegs sicher sein, dass eine Update-Verteilung nicht die halbe IT der Firma lahm legt, weil Microsoft zwischen AI-Entwicklung, Featuritis-Wahn und Aktualisierungszyklen seiner Software die Updates nicht mehr in den Griff bekommt. Ein Known Issues Rollback (KIR) ist schön und gut, kommt aber oft viel zu spät, "wenn das Kind schon in den Brunnen gefallen ist". Wie seht ihr diesen gesamten Themenkomplex, bzw. wie geht ihr damit um?

Dieser Beitrag wurde unter Problem, Sicherheit, Update, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

4 Kommentare zu Microsoft zur Windows Update-Strategie in KI-Zeiten

  1. Keine Option sagt:

    Die Patch Qualität wird immer schlechter. Also bist gefangen zwischen Security Problemen oder der Benutzer kann nicht arbeiten.
    Microsoft sollte sich lieber mal um die Patch Qualität kümmern.

  2. R.S. sagt:

    Nicht gepatchte Geräte sehe ich hier im WSUS sofort.
    Dazu brauche ich kein Intune.
    Und was Hotpatching angeht:
    Das ist eine gute Idee, aber Microsoft sollte das auch für OnPrem anbieten.
    Es kann nicht sein, das man nur für so eine Funktion Intune und Lizenzen für Windows 11 Enterprise E3 oder E5, Microsoft 365 F3, Windows 11 Education A3 oder A5, Microsoft 365 Business Premium oder Windows 365 Enterprise braucht bzw. für Server 2025 Azure braucht.

    Microsoft will wohl so die Firmen in die Cloud drängen.

    Hinzu kommt, das das kein echtes Hotpatching ist, denn alle 3 Monate braucht es eben doch einen Neustart des Systems.

    Früher, als es noch nicht diese kommulativen Updates gab, waren die Updates sehr sehr deutlich kleiner und es gab jede Menge Updates, die keinen Neustart des Systems benötigten.
    Und wenn ich mein System monatlich patche, brauche ich kein kommulitatives Update, das Patches beinhaltet, die schon in vorherigen kummulativen Updates enthalten waren. Warum soll man die noch einmal herunterladen?

    Imhowäre die richtige Strategie:
    Wie früher einzelne Updates und nur, wenn das Gerät längere Zeit oder noch nie Updates bekommen hat, ein kommulitatives Update, das das System auf den aktuellen Stand bringt.
    Das würde die Downloads sehr deutlich verkleinern und die Patchinstallation beschleunigen.

  3. KlausB sagt:

    Es war ja immer so, wer die Lücke zuerst findet, kann sie patchen oder ausnutzen. Vielleicht sollte man da eher von 0-Hour als von 0-Day sprechen?

    Trotzdem: Meine Hoffnung ist, dass MS durch massiven Einsatz von KI die eigenen Fehler schneller patcht ehe andere es ausnutzen können. Wenn man das zu Ende denkt, müssten alle Patches unmittelbar installiert werden. Täglich.

    Auf meinen Linux-Mint Rechnern gibt er mehrere, meist sehr kleine Updates pro Woche.

  4. viebrix sagt:

    Also bevor sie da wieder tolle Regeln für die Kunden aufstellen, sollten sie:
    1. Alle Entwicklungen aussetzen und die Teams aktuell auf Security Themen ansetzen
    2. Sie laufen security-technisch ständig allem nach: sie sollten eben bevor sie Updates und neue Features herausgeben, diese auf Security Themen testen (auch mit KI). Eventuell externe Fachleute einbinden und so ihr Bug Bounty Programm erneuern. Themen sollen getestet werden bevor sie Produktiv gehen.
    3. Meldungen zu Lücken und Bug sollten sie ernst nehmen und offen gegenüberstehen – nicht abblocken und den Kopf in den Sand stecken.
    4. Schlussendlich sollten sie sich auf die Nase schreiben, dass Security auch ein Feature sein kann. Es müssen nicht immer bunte neue Icons – oder ein weiterer Copilot in einer weitern App sein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.