Der April-Patchday von Microsoft ist zum Desaster geworden: Zahlreiche Unternehmen melden kritische Ausfälle nach der Installation des Sicherheitsupdates KB5082063. Besonders betroffen sind Windows-Server, die in Endlosschleifen von Neustarts gefangen sind. Der Konzern reagierte nun mit außerplanmäßigen Notfall-Updates am 20. April.
Die Probleme begannen unmittelbar nach der Verteilung der regulären Patch-Tuesday-Updates Anfang April. IT-Administratoren berichteten von Server-Instabilitäten, unerwarteten Sicherheitssperren und Systemen, die den Update-Prozess nicht abschließen konnten. Die Lage eskalierte so sehr, dass Microsoft außer der Reihe eingreifen musste.
Festplatte kaputt oder Windows streikt nach einem fehlerhaften Update? Dieser kostenlose Report erklärt Schritt für Schritt, wie Sie einen Windows-11-USB-Stick erstellen, um Ihren PC im Notfall zu retten. Windows 11 Boot-Stick Anleitung jetzt kostenlos sichern
LSASS-Abstürze legen Domänencontroller lahm
Der gravierendste Fehler betrifft den Local Security Authority Subsystem Service (LSASS). Dieser Dienst, der für Sicherheitsrichtlinien und Benutzerauthentifizierung zuständig ist, stürzt auf bestimmten Windows-Domänencontrollern ab. Die Folge: Das System startet sofort neu – und gerät in eine Endlosschleife.
Laut Microsofts Health-Dashboard tritt das Problem vor allem auf Non-Global-Catalog-Domänencontrollern auf, die Privileged Access Management (PAM) nutzen. Der fatale Effekt: Jeder automatische Neustart führt zurück in denselben fehlerhaften Authentifizierungscode. Die Verzeichnisdienste bleiben außer Funktion, betroffene Domänen sind für Nutzer nicht erreichbar.
Betroffen sind zahlreiche Windows-Server-Versionen: 2025, 2022, 2019 und 2016 sowie Windows Server Version 23H2. Für Privatanwender ohne Domänenanbindung besteht laut Microsoft keine Gefahr durch diesen spezifischen Fehler. In Unternehmen hingegen herrscht Ausnahmezustand – IT-Abteilungen wurden an spezielle Support-Kanäle verwiesen, um die Notfall-Patches auf bereits blockierte Systeme zu bringen.
BitLocker-Sperren und Installations-Chaos
Doch die Server-Probleme sind nicht alles. Das April-Update sorgt auch auf Client-Systemen für Ärger. Nach dem ersten Neustart nach der Installation von KB5082063 fordern viele Geräte plötzlich ihren BitLocker-Wiederherstellungsschlüssel an. Microsoft bestätigt: Der Konflikt entsteht bei bestimmten Gruppenrichtlinien-Konfigurationen für die TPM-Plattformvalidierung.
Der Grund: Das Update aktualisiert Secure-Boot-Zertifikate – einige davon wurden 2011 ausgestellt und laufen im Juni aus. Die neuen Zertifikate und der dazugehörige Status-Checker im April-Update lösen eine PCR7-Bindungsfehlanpassung aus. Das System interpretiert dies als Sicherheitsverletzung und sperrt das Laufwerk. Betroffen sind Windows 11, Windows 10 und mehrere Windows-Server-Versionen.
Parallel dazu scheitern unzählige Installationen einfach. Der Fortschrittsbalken bleibt bei 70 Prozent hängen oder springt nach einem erzwungenen Neustart zurück auf null. Das System macht dann rückgängig, was es gerade installiert hat. Ein ähnliches Verhalten zeigt sich bei der Windows 11 Insider Preview Feature Update 26220.8062: Die Aufforderung zum Neustart bleibt selbst nach mehreren erfolgreichen Reboots sichtbar – der Installationsdienst hat es offenbar versäumt, das Update-Flag aus der Systemregistrierung zu löschen.
Genervt von Windows-Fehlermeldungen und problematischen Zwangs-Updates? Das kostenlose Linux-Startpaket zeigt Ihnen eine stabile Alternative, die Sie ohne Risiko parallel zu Windows testen können. Hier das kostenlose Linux-Startpaket inklusive Ubuntu sichern
Manuelle Rettungsaktionen für Admins
Für Systeme, die in der Neustart-Schleife oder im „Ausstehend“-Zustand feststecken, haben Microsoft und Experten manuelle Eingriffe vorgeschlagen. Die wichtigste Methode: das Deployment Image Servicing and Management (DISM)-Tool. Durch Booten in die Wiederherstellungsumgebung und gezielte Befehle können Administratoren die ausstehenden Aktionen rückgängig machen und das System stabilisieren.
Weitere manuelle Workarounds umfassen das Löschen bestimmter XML-Dateien – etwa der pending.xml im WinSxS-Verzeichnis, die Anweisungen für Updates beim nächsten Start speichert. Auch das manuelle Bearbeiten der Registry, um den Parameter „PendingFileRenameOperations“ zu löschen, kann helfen.
Ein bekanntes Muster: April-Panne im dritten Jahr
Branchenbeobachter sehen ein beunruhigendes Muster: Bereits 2024 und 2025 hatten die April-Sicherheitsupdates zu schwerwiegenden Problemen auf Windows-Server-Domänencontrollern geführt – inklusive NTLM-Authentifizierungsfehlern und ähnlichen LSASS-Abstürzen. Dieser „Drei-Jahres-Lauf“ veranlasst viele Enterprise-Spezialisten, für gründlichere Tests in Nicht-Produktionsumgebungen vor der breiten Ausrollung zu plädieren.
Der Druck auf Microsoft ist enorm: Laut dem Microsoft Security Response Center gab es im Jahr 2025 insgesamt 11.791 Sicherheitslücken im Windows-Betriebssystem – ein massiver Anstieg gegenüber 2024. Der Spagat zwischen schnellen Sicherheitsfixes und Systemstabilität bleibt die zentrale Herausforderung für die Entwicklerteams.
Ausblick: Dauerhafte Lösung in Planung
Microsoft verspricht: Die Notfall-Updates vom 20. April beheben die kritischsten Stabilitätsfehler. Eine dauerhafte und verfeinerte Lösung soll in einem zukünftigen Update folgen. Der Konzern untersucht weiterhin Berichte über Installationsfehler auf einer Teilmenge von Windows Server 2025-Systemen, die durch die Notfall-Patches nicht vollständig behoben wurden.
Für Unternehmen steht nun die Überprüfung der BitLocker-Gruppenrichtlinien im Fokus. Organisationen sollten sicherstellen, dass ihre TPM-Plattformvalidierungsprofile mit den neuen, ab 2023 signierten Windows-Boot-Manager-Zertifikaten kompatibel sind, bevor sie die Updates auf weitere Systeme ausrollen. Der Druck bleibt hoch: Die älteren Secure-Boot-Zertifikate laufen im Juni aus – die erfolgreiche Bereitstellung dieser grundlegenden Änderungen ohne Unterbrechung des Geschäftsbetriebs ist entscheidend. Microsoft will weitere Daten und Anleitungen über sein Release-Health-Dashboard bereitstellen.
