Das Anti-Malware-Tool Defender stufte fälschlicherweise vertrauenswürdige Systemkomponenten als Schadsoftware ein – mit gravierenden Folgen für die IT-Infrastruktur.
Während Microsoft-Updates eigentlich für Sicherheit sorgen sollen, führen sie oft zu unerwarteten Systemfehlern oder gar Datenverlust. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie typische Windows-Probleme wie Update-Fehler oder Netzwerkausfälle in wenigen Minuten selbst beheben können. Erste Hilfe für Windows 11: Gratis-Report jetzt sichern
Der Vorfall begann mit einem Signatur-Update vom 30. April. Microsoft hatte eine Erkennungslogik namens Trojan:Win32/Cerdigent.A!dha ausgerollt, die eigentlich vor kompromittierten Zertifikaten schützen sollte. Doch die Erkennung erwies sich als viel zu weitreichend: Statt nur tatsächlich missbräuchlich genutzte Zertifikate zu blockieren, stufte Defender grundlegende Root-Zertifikate als Schadsoftware ein.
Die Folge war eine Kettenreaktion technischer Ausfälle. Sichere Webseiten ließen sich nicht mehr laden, Anwendungen verweigerten den Dienst und in einigen Unternehmen brachen sogar VPN-Verbindungen komplett zusammen.
Zwei DigiCert-Zertifikate im Fokus
Im Zentrum des Problems stehen zwei spezifische Root-Zertifikate von DigiCert: das DigiCert Assured ID Root CA und das DigiCert Trusted Root G4. Diese Zertifikate sind für die Überprüfung von SSL/TLS-Verbindungen und die Authentizität signierter Software unverzichtbar. Ihr Entfernen oder die Quarantäne durch Defender hatte sofortige und schwerwiegende Konsequenzen.
Betroffene Systeme zeigten die Meldung „Remediation incomplete“ an. Dieser Status bedeutet, dass Defender eine Bedrohung erkannt, aber nicht vollständig entfernen konnte. Da die vermeintliche Bedrohung tief im geschützten Windows AuthRoot-Speicher verankert war, blieb die Bereinigung erfolglos – die Sicherheitsdashboards der Unternehmen quollen über vor Hochrisiko-Meldungen.
Die Ursache: Ein echter Angriff auf DigiCert
Der Fehlalarm ist eine direkte, wenn auch unbeabsichtigte Folge eines realen Sicherheitsvorfalls bei DigiCert. Im Frühjahr war es Angreifern gelungen, sich Zugang zu einem Support-Rechner des Zertifikatanbieters zu verschaffen. Sie erbeuteten Initialisierungscodes für eine begrenzte Anzahl von Code-Signing-Zertifikaten und nutzten diese, um die Schadsoftware Zhong Stealer zu signieren.
DigiCert widerrief daraufhin 60 Zertifikate. Microsoft reagierte mit einer Schutzlogik für Defender – doch diese unterschied nicht zwischen den tatsächlich kompromittierten Zertifikaten und den legitimen Root-Zertifikaten, die das globale Vertrauensnetzwerk tragen.
Sicherheitsexperte Florian Roth beobachtete, dass die Probleme ab dem 3. Mai massiv zunahmen, als Administratoren meldeten, dass Defender Registry-Einträge mit offiziellen DigiCert-Hashes als Bedrohung markierte. Eine echte Kompromittierung dieser Root-Zertifikate lag nicht vor.
Manuelle Eingriffe nötig
Microsoft hat inzwischen korrigierte Sicherheitsupdates veröffentlicht. Die Versionen 1.449.430.0 und folgende sollen die Fehlalarme stoppen und gelöschte Zertifikate automatisch wiederherstellen.
Solche schwerwiegenden Update-Fehler verdeutlichen, wie wichtig ein funktionierender Notfallplan für das Betriebssystem ist. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie einen Windows-11-USB-Stick erstellen, um Ihren PC im Ernstfall sicher zu starten oder zu reparieren. Windows 11 Boot-Stick kostenlos erstellen – Schritt für Schritt
Doch viele Unternehmen berichten, dass der „Remediation incomplete“-Status auf einigen Rechnern bestehen bleibt – besonders in restriktiven Umgebungen mit strengen Update-Richtlinien. Hier sind manuelle Eingriffe nötig: Administratoren müssen per Kommandozeile prüfen, ob die DigiCert-Zertifikate wieder im vertrauenswürgenden Root-Speicher vorhanden sind.
Microsoft empfiehlt zudem, die Advanced Hunting Logs in Defender for Endpoint zu durchsuchen. In extremen Fällen hatten verunsicherte Nutzer sogar ihre Betriebssysteme neu installiert, bevor der Fehlalarm offiziell bestätigt wurde.
Lehren aus dem Vorfall
Die Panne hat eine grundsätzliche Debatte über die Risiken automatisierter Sicherheitsmaßnahmen ausgelöst. Zwar sind solche Werkzeuge unverzichtbar, um schnell auf Bedrohungen reagieren zu können. Doch der aktuelle Fall zeigt: Ein einziger Fehler in einer Erkennungssignatur kann globale Infrastruktur destabilisieren.
Der Status „Remediation incomplete“ verhinderte in manchen Fällen Schlimmeres – nämlich die vollständige Löschung kritischer Systemdateien. In anderen Fällen aber erreichte die Quarantäne das Gleiche wie ein echter Angriff: den Zusammenbruch sicherer Kommunikation und die Zerstörung von Software-Integrität.
Für Unternehmen bleibt die Botschaft klar: Sichtbarkeit über Sicherheitsmaßnahmen auf allen Endpunkten ist kein Luxus, sondern eine Notwendigkeit. Die Fähigkeit, schnell zwischen echter Malware-Bekämpfung und einem fehlerhaften Update zu unterscheiden, wird für IT-Abteilungen zur Überlebensfrage. Microsoft wird seine Signatur-Prozesse überarbeiten müssen – die nächste Generation von Defender-Updates soll feinere Logik für zertifikatsbasierte Erkennungen enthalten.
