Der weltweit führende Softwarekonzern Microsoft steht vor einer paradoxen Sicherheitslage: Während KI-gestützte Updates rekordverdächtige Erfolge erzielen, tauchen ungepatchte Zero-Day-Exploits auf, die Unternehmen in Alarmbereitschaft versetzen.
KI-System MDASH identifiziert 16 kritische Windows-Lücken
Am 12. Mai veröffentlichte Microsoft sein monatliches Sicherheitsupdate und schloss dabei 138 Schwachstellen. Seit Jahresbeginn hat der Konzern damit bereits über 500 CVE-gelistete Sicherheitslücken behoben. Besonders brisant: Eine kritische Schwachstelle im Windows-DNS-System, die durch einen Pufferüberlauf Angreifern unbefugten Netzwerkzugriff ermöglichen könnte.
Erstmals kam dabei das neue KI-System MDASH (Multi-model Agentic Scanning Harness) zum Einsatz. Es nutzt über 100 spezialisierte KI-Agenten, um Schwachstellen aufzuspüren, bevor sie von Angreifern ausgenutzt werden können. MDASH identifizierte 16 kritische Windows-Fehler – darunter vier Remote-Code-Execution-Lücken – noch vor deren öffentlicher Bekanntgabe. Im UC-Berkeley-CyberGym-Benchmark erreichte das System eine Erfolgsquote von 88,45 Prozent.
Doch die Bedrohungslage bleibt angespannt. Berichten zufolge wurden Windows-11-Systeme innerhalb von 24 Stunden dreimal von Zero-Day-Angreifern attackiert. Microsoft veröffentlichte zudem ein spezielles kritisches Update für Windows 10 – ein Zeichen dafür, dass Angreifer Exploits gezielt auf ältere Systeme übertragen.
Angesichts der angespannten Bedrohungslage zögern viele Nutzer beim Wechsel auf das neue Betriebssystem. Dieser kostenlose Expertenreport zeigt, wie der Umstieg auf Windows 11 ohne Risiko und Datenverlust gelingt. Windows 11 Starterpaket jetzt kostenlos anfordern
YellowKey und GreenPlasma: Zwei neue Exploits erschüttern die Sicherheitsgemeinde
Nur einen Tag nach dem Patch-Day veröffentlichte ein Sicherheitsforscher namens „Chaotic Eclipse“ Proof-of-Code für zwei bislang unbekannte Schwachstellen. Der schwerwiegendere Exploit trägt den Namen „YellowKey“ und umgeht die BitLocker-Verschlüsselung über die Windows-Wiederherstellungsumgebung (WinRE).
YellowKey betrifft Windows 11, Server 2022 und Server 2025. Zwar erfordert der Angriff physischen Zugriff auf das Zielgerät, doch gegen TPM-only-Konfigurationen ist er besonders effektiv. Sicherheitsexperten bezeichnen die Lücke als alarmierende „Hintertür“ in Standardverschlüsselungen. Bislang existiert weder ein Patch noch eine CVE-Kennung.
Der zweite Exploit, „GreenPlasma“ genannt, zielt auf den CTFMON-Prozess ab und ermöglicht eine Rechteausweitung. Ein niedrig privilegierter Benutzer oder eine kompromittierte Anwendung kann damit höhere Systemrechte erlangen – bis hin zur vollständigen Systemübernahme. Die Vorfälle werfen Fragen zur Sicherheit physischer Hardware in Unternehmensumgebungen auf.
Unternehmen setzen auf Passkeys – Quishing-Angriffe explodieren
Die Windows-spezifischen Schwachstellen kommen zu einem Zeitpunkt, an dem eine neue Phishing-Welle die Branche erschüttert. „Quishing“ – Phishing über QR-Codes – verzeichnete im ersten Quartal 2026 einen Anstieg von 150 Prozent auf rund 18 Millionen gemeldete Vorfälle. Schon heute enthalten 70 Prozent aller bösartigen PDF-Dateien QR-Codes, die traditionelle E-Mail-Filter umgehen.
Microsoft reagiert mit einem beschleunigten Ausstieg aus der Passwort-Ära. Ab Juni 2026 führt Microsoft Entra ID neue Unternehmens-Passkey-Richtlinien ein. Ein „Managed Mode“ verlagert Nutzer auf FIDO2-basierte Passkeys, die deutlich resistenter gegen Session-Hijacking und Phishing sind. Das kommende Windows-11-Update 24H2 wird zudem einen verbindlichen Zustimmungsdialog für FIDO2-Passkeys einführen.
Auch WhatsApp plant eine zusätzliche Passwortfunktion für den Kontoschutz bei Anmeldungen auf neuen Geräten. Das Feature, das für 2026 erwartet wird, verlangt einen Code mit 6 bis 20 Zeichen, der mindestens einen Buchstaben und eine Ziffer enthalten muss.
Deutschland: Cyber-Schäden erreichen 202 Milliarden Euro
Die Dimension der Bedrohung wird durch aktuelle Zahlen aus Deutschland unterstrichen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet einen Anstieg der Cybercrime-Opferquote von 7 auf 11 Prozent. Die Gesamtschäden für 2025 beliefen sich auf 202 Milliarden Euro – ein Wert, der Experten zufolge 2026 noch übertroffen werden könnte.
Die Analyse der Bedrohungslage zeigt ein alarmierendes Bild: Maschinenidentitäten übersteigen menschliche Identitäten im Verhältnis 100 zu 1. Diese Schieflage macht Identitätsmanagement zum bevorzugten Angriffsziel. Rund 16 Milliarden gestohlene Zugangsdaten kursieren derzeit im Darknet. Die durchschnittlichen Kosten eines einzelnen Sicherheitsvorfalls sind auf umgerechnet rund 4,3 Millionen Euro gestiegen – angetrieben durch einen Anstieg KI-gestützter Angriffe um 1.500 Prozent seit Ende 2025.
Besonders betroffen: In Hannover wurden bei einem Cyberangriff auf die Rezeptprüfungsorganisation Arwini die Gesundheits- und Kontaktdaten von über 70.000 Patienten gefährdet. Parallel warnte Microsoft vor einer ausgeklügelten Kampagne, bei der Angreifer den legitimen HPE Operations Agent nutzten, um sich über 100 Tage lang lateral durch kompromittierte Netzwerke zu bewegen – ohne klassische Antiviren-Alarme auszulösen.
Während Unternehmen massiv unter Cyber-Angriffen leiden, sind auch Privatnutzer durch Online-Banking und Shopping auf dem Smartphone gefährdet. Ein gratis PDF-Ratgeber zeigt 5 einfache Schritte, mit denen Sie Ihr Android-Gerät in wenigen Minuten gegen Hacker absichern. Sicherheits-Ratgeber für Smartphones kostenlos herunterladen
Ausblick: Neue Protokolle und Systemhärtung
Für die zweite Jahreshälfte zeichnet sich ein Wettlauf zwischen Entdeckung und Behebung ab. Microsoft Edge hat im Canary-Kanal bereits Build 148 ausgerollt, um eine Speicherlücke zu schließen, die Passwörter im Klartext speicherte.
Auch die Mobilplattformen rüsten auf: Android 17 soll eine „Live Threat Detection“ mit lokaler KI sowie „Verified Financial Calls“ gegen Spoofing einführen. Apples iOS 26.5 schloss mit 12,24 Gigabyte Update-Größe 61 Sicherheitslücken und führte Ende-zu-Ende-Verschlüsselung für RCS-Nachrichten zwischen verschiedenen Gerätetypen ein.
Für Windows-Administratoren steht die Eindämmung der YellowKey- und GreenPlasma-Exploits an oberster Stelle. Bis offizielle Patches erscheinen, empfehlen Sicherheitsteams, den physischen Zugang zu kritischen Arbeitsstationen zu überwachen und die Konfiguration der Windows-Wiederherstellungsumgebung zu überprüfen. Die Integration von KI-Scannern wie MDASH und der Übergang zu FIDO2-Passkeys zeigen: Die Verteidigungswerkzeuge werden proaktiver – doch die Angriffswelle wächst schneller.
