Der Sicherheitsdienst Microsoft Defender for Endpoint erhält künftig eigene Updates – unabhängig vom monatlichen Patch-Tuesday-Zyklus. Grund sind immer raffiniertere Angriffsmethoden, die EDR-Sensoren gezielt ausschalten.
Der Wandel begann Ende Mai 2026. Mit dem Update KB5005292 liefert Microsoft Verbesserungen für die Endpunkt-Erkennung und -Reaktion (EDR) jetzt direkt über Microsoft Update aus. Zunächst profitieren Windows-10-Nutzer, bis Herbst sollen Windows 11 und weitere Versionen folgen. Das Ziel: schnellere und häufigere Sicherheitsupdates, ohne jedes Mal das gesamte Betriebssystem aktualisieren zu müssen.
Da Microsoft die Sicherheitsmechanismen von Windows 11 stetig verschärft, ist ein reibungsloser Wechsel für Nutzer wichtiger denn je. Dieser kostenlose PDF-Report liefert alle wichtigen Informationen für einen sicheren Umstieg ohne Risiko und Datenverlust. Windows 11 Starterpaket jetzt kostenlos sichern
Technische Voraussetzungen für das neue Modell
Systeme benötigen mindestens Sense-Version 10.8798.25857.1000 sowie bestimmte kumulative Updates – etwa jene aus dem Frühjahr 2024 oder neuer. Die aktualisierten Dateien landen künftig im Verzeichnis %ProgramData%MicrosoftMicrosoft DefenderDefender Update. Neustarts sind selten erforderlich. Für Admins gibt es eine Rollback-Funktion: Mit speziellen Befehlszeilen-Tools lassen sich ältere Versionen wiederherstellen.
Die neue Bedrohungslage: EDR-Blinding
Der Schritt kommt nicht von ungefähr. Sicherheitsforscher haben mehrere hochwirksame Methoden dokumentiert, mit denen Angreifer EDR-Systeme umgehen oder lahmlegen.
Besonders perfide: BYOVD-Attacken (Bring Your Own Vulnerable Driver). Angreifer laden legitime, aber verwundbare signierte Treiber in den Kernel-Ring 0. Über IOCTL-Schnittstellen manipulieren sie den Kernel-Speicher und entfernen EDR-Callbacks für Prozesserstellung und Thread-Überwachung. Der EDR-Agent läuft scheinbar normal – bleibt aber blind für Schadaktivitäten.
Eine weitere Gefahr lauert im Netzwerk: QoS-Drosselung. Angreifer nutzen die Windows-Richtlinie „Quality of Service“, um die Bandbreite für EDR-Telemetrie auf lächerliche 8 Bit pro Sekunde zu begrenzen. TLS-Handshakes scheitern, Daten erreichen die Sicherheitskonsole nicht. Der Angriff operiert auf NDIS-Ebene und umgeht die Windows-Filterplattform. Der EDR bleibt online gemeldet – doch seine Meldefunktion ist faktisch tot.
Fileless-Attacken auf dem Vormarsch
Traditionelle Erkennung hat es zunehmend schwer. Marktdaten zufolge nutzen 84 Prozent aller hochriskanten Angriffe „Living-off-the-Land“-Methoden. Angreifer verketten native Windows-Binaries wie PowerShell und WMI, um sich im Schnitt innerhalb von 29 Minuten lateral durch Netzwerke zu bewegen.
Im Mai 2026 beobachteten Experten eine Malspam-Kampagne, die Google DoubleClick-Weiterleitungen nutzte, um einen fileless .NET-Loader auszuliefern. Die mehrstufige Infektion patcht die Antimalware Scan Interface (AMSI) und Event Tracing for Windows (ETW) direkt im Arbeitsspeicher – und entzieht sich so der EDR-Überwachung.
Professionelle Angreifer nutzen immer häufiger psychologische Tricks und technische Schwachstellen, um Unternehmensnetzwerke zu infiltrieren. Wie Sie Phishing-Angriffe und CEO-Fraud effektiv stoppen, erfahren Sie in diesem kostenlosen Leitfaden für Firmen. Anti-Phishing-Paket für Unternehmen gratis herunterladen
Auch der Miasma-Angriff auf die Lieferkette (Juni 2026) zeigt die wachsende Raffinesse: Er zielte auf npm-Pakete und KI-Assistenten-Konfigurationen, nutzte manipulierte Binding-Dateien, um Code während Routineinstallationen auszuführen.
Sicherheitslücken an der Peripherie
Während EDR auf Standard-Endpunkten immer robuster wird, verlagern Angreifer ihr Ziel. Edge-Geräte und spezialisierte Umgebungen bleiben oft ungeschützt. Eine aktuelle Untersuchung deckte die Kompromittierung von pfSense-Firewalls auf: Angreifer installierten einen FreeBSD-Backdoor – und blieben mindestens 18 Monate unentdeckt, weil die Geräte keinen EDR-Schutz hatten.
Neue Herausforderungen durch KI-Workflows
Der Aufstieg agentischer KI-Systeme schafft weitere Angriffsflächen. Sicherheitsforscher warnen: Prompt-Injection bleibt eine architektonische Herausforderung, da Large Language Models oft nicht zwischen Benutzeranweisungen und Systemprivilegien unterscheiden können.
Einige Sicherheitsanbieter haben bereits reagiert und spezialisierte KI-Richtlinien-Tools auf den Markt gebracht. Sie überwachen lokale KI-Prozesse und Datenzugriffe – Bereiche, die klassische EDR- und DLP-Systeme oft nicht vollständig abdecken.
