Defender-Updates kommen künftig sofort statt nur am Patch Tuesday – ein Paradigmenwechsel für die IT-Sicherheit.
Microsoft hat die Verteilung seiner EDR-Updates für Defender for Endpoint grundlegend umgestellt. Statt wie bisher nur einmal monatlich im Rahmen des Patch Tuesday ausgeliefert zu werden, erhalten Administratoren die sicherheitskritischen Komponenten nun in einem kontinuierlichen Bereitstellungsmodell direkt über Microsoft Update.
Angesichts der immer komplexeren Bedrohungslage und schnelleren Update-Zyklen müssen Unternehmen ihre Sicherheitsstrategie proaktiv anpassen. Dieses kostenlose E-Book liefert IT-Verantwortlichen wertvolle Einblicke in aktuelle Trends und zeigt, wie Sie Ihre IT-Infrastruktur ohne hohe Investitionen wirksam absichern. Jetzt Gratis-E-Book zur Cyber Security herunterladen
Neue Strategie für schnellere Reaktion
Die Umstellung begann Ende Mai 2026 und richtet sich zunächst an Windows-10-Systeme. Im Laufe des dritten Quartals sollen Windows 11 und Windows Server folgen. Bis Herbst 2026 will Microsoft die vollständige Umstellung abgeschlossen haben.
Das Ziel ist klar: Sicherheitslücken und Bedrohungen sollen bekämpft werden, sobald ein Update bereitsteht – nicht erst zum nächsten monatlichen Veröffentlichungstermin. In den meisten Fällen ist dafür kein Neustart erforderlich, Ausnahmen gibt es nur bei seltenen Fehlerbehebungen.
Technische Voraussetzungen für den Empfang
Die eigenständigen Updates tragen die Bezeichnung KB5005292. Systeme benötigen mindestens die Sense-Version 10.8798.25857.1000 sowie bestimmte kumulative Updates – etwa KB5062660 für Windows 11 Version 24H2.
Der neue Defender Update Service legt dabei ein eigenes Verzeichnis im ProgramData-Ordner an. Für den Notfall stellt Microsoft eine Rückfall-Option bereit: Mit dem Tool MpCmdRun.exe lässt sich eine ältere EDR-Version wiederherstellen.
Auswirkungen auf die IT-Verwaltung
Für Unternehmen, die Microsoft Update bereits nutzen, erfolgt die Umstellung automatisch. Wer seine Updates manuell verwaltet, muss jedoch die internen Prozesse anpassen, um die neuen EDR-Updates korrekt einzubinden.
Die Umstellung dürfte besonders für mittelständische Unternehmen relevant sein, die oft ohne dedizierte Sicherheitsteams auskommen. Sie profitieren künftig von schnelleren Reaktionszeiten, ohne selbst eingreifen zu müssen.
Verbesserte Erkennung von Protokoll-Missbrauch
Parallel zu den Lieferänderungen hat Microsoft die Erkennungsfähigkeiten von Defender ausgebaut. Das Sicherheitstool überwacht nun eingehende RPC-Aktivitäten auf OpNum-Ebene über die Windows Filtering Platform.
Damit lassen sich anspruchsvolle Angriffstechniken erkennen – darunter laterale Bewegungen im Netzwerk, Privilegienausweitung und Diebstahl von Anmeldedaten. Besonders im Fokus: das bekannte Hacker-Toolkit Impacket und unbefugte Extraktionen von LSA-Geheimnissen.
Da Angriffe auf Unternehmensnetzwerke immer raffinierter werden, reicht die bloße Installation von Updates allein oft nicht mehr aus. Erfahren Sie in diesem kostenlosen Experten-Report, wie Sie neue gesetzliche Anforderungen erfüllen und Sicherheitslücken proaktiv schließen, bevor Hacker diese ausnutzen können. Hier kostenloses Cyber-Security-E-Book sichern
Die Überwachung ist für Arbeitsstationen bereits allgemein verfügbar, für Server-Umgebungen läuft die Einführung noch. Die Telemetriedaten fließen in die Advanced Hunting-Oberfläche unter der Kategorie InboundRemoteRpcCall.
Sicherheitskontext im Juni 2026
Die Umstellung fällt mit weiteren wichtigen Sicherheitsfristen zusammen. Am 24. Juni 2026 laufen ältere UEFI-Secure-Boot-Zertifikate ab. Microsoft empfiehlt, aktuelle Updates zu installieren, um Kompatibilität mit dem neuen Windows UEFI CA 2023-Zertifikat sicherzustellen.
Der Juni-Patch Tuesday adressiert zudem Dutzende Schwachstellen in Windows 10 und 11 – darunter eine Cross-Site-Scripting-Lücke in Outlook Web Access sowie verschiedene Risiken für Remote-Code-Ausführung.
