Microsoft hat am 12. Mai 2026 sein umfangreiches Patch-Update veröffentlicht – mit weitreichenden Folgen für Windows-Nutzer.
Der Mai-Patch-Day markiert einen Wendepunkt in der Sicherheitsarchitektur von Windows 11. Die kumulativen Updates KB5089549 (für Windows 11 Versionen 24H2 und 25H2) sowie KB5087420 (für Version 23H2) ändern grundlegend, wie das Betriebssystem mit Treibern von Drittanbietern umgeht. Statt wie bisher auch ältere, quersignierte Treiber zu akzeptieren, setzt Microsoft künftig ausschließlich auf Zertifikate aus dem Windows Hardware Compatibility Program (WHCP).
Nach dem großen Mai-Update kämpfen viele Nutzer mit Systemfehlern oder Hardware-Problemen. In diesem kostenlosen Ratgeber erfahren Sie, wie Sie typische Windows-11-Fehler ohne teuren IT-Techniker sofort selbst beheben. Erste Hilfe für Windows 11: Gratis-Report jetzt sichern
Neue Treiber-Politik: Schluss mit laxen Standards
Die zentrale Neuerung betrifft die Kernel-Ebene: Windows vertraut nicht mehr automatisch quersignierten Treibern. Das System priorisiert stattdessen Treiber, die den strengen WHCP-Prüfprozess durchlaufen haben. Ziel ist es, Sicherheitslücken zu schließen, die durch veraltete oder unsichere Signierungsmethoden entstehen konnten.
Parallel dazu führt Microsoft den Windows Protected Printing Mode ein. Dieser modernisiert den Druck-Stack und reduziert die Angriffsfläche, die bisher mit Legacy-Druckertreibern verbunden war. Für IT-Administratoren gibt es zudem eine neue Registry-Einstellung namens „LockBatchFilesWhenInUse“ – sie verhindert, dass Skriptdateien während der Ausführung manipuliert werden können.
Ein weiteres Ärgernis der vergangenen Wochen: Seit den April-Updates hatten Nutzer immer wieder BitLocker-Wiederherstellungsschlüssel eingegeben müssen, nachdem sich Boot-Dateien geändert hatten. Das Mai-Update behebt dieses Problem durch eine verfeinerte Interaktion zwischen dem Trusted Platform Module (TPM) und dem PCR7-Register. Legitime System-Updates sollen künftig keine Sicherheitssperren mehr auslösen.
Kritische Sicherheitslücken: KI entdeckt 16 Schwachstellen
Insgesamt schließt Microsoft zwischen 120 und 138 Sicherheitslücken – je nach Zählweise. Bis zu 30 davon gelten als kritisch. Positiv: Keine der Schwachstellen wurde zum Zeitpunkt der Veröffentlichung bereits aktiv ausgenutzt (Zero-Day).
Besonders brisant sind mehrere Remote Code Execution (RCE)-Lücken:
- CVE-2026-41096 (CVSS 9.8): Ein Heap-basierter Pufferüberlauf im Windows DNS-Client – höchste Priorität für Netzwerkadministratoren
- CVE-2026-41089 (CVSS 9.8): Eine potenziell „wurmartige“ Schwachstelle im Windows Netlogon-Dienst, die ohne Benutzerinteraktion ausgenutzt werden kann
- CVE-2026-42898 (CVSS 9.9): Ein RCE-Fehler in Microsoft Dynamics 365 On-Premises, der Unternehmensplanungssysteme gefährdet
- CVE-2026-40365 und CVE-2026-35421: Kritische Lücken in SharePoint Server und der Windows GDI (via Microsoft Paint)
Bemerkenswert ist die Rolle von Microsofts KI-System MDASH – es identifizierte 16 der behobenen Schwachstellen. Das zeigt den wachsenden Einfluss automatisierter Sicherheitsforschung. Gleichzeitig schloss Microsoft auch Lücken in der eigenen KI-Palette: M365 Copilot und GitHub Copilot wurden gepatcht, ebenso ein Informationsleck in Azure DevOps (CVSS 10.0), das bereits vor der Ankündigung entschärft worden war.
Neue Funktionen: Xbox-Modus und größere FAT32-Partitionen
Neben Sicherheitsupdates bringt das Mai-Update auch praktische Neuerungen. Der neue Xbox-Modus bietet eine Vollbild-Spielumgebung mit Controller-Navigation – gedacht für Gamer, die nahtlos zwischen Desktop und Spiel wechseln wollen.
Der Datei-Explorer unterstützt nun zusätzliche Archivformate wie uu, cpio, xar und nupkg (NuGet). Microsoft hat zudem einen lästigen „Weißblitz“-Fehler behoben, der beim Öffnen des Explorers unter bestimmten Bildschirmeinstellungen auftrat. Die Funktion „Drag Tray“ heißt jetzt „Drop Tray“ und wurde für bessere Drag-and-Drop-Leistung optimiert.
Eine langjährige Einschränkung fällt: FAT32-Partitionen sind nun bis zu 2 TB möglich – bisher lag die Grenze bei 32 GB. Auch die haptische Rückmeldung wurde verbessert: Surface Slim Pen 2, ASUS Pen 3.0 und MSI Pen 2 profitieren von präziserem Feedback. In der Taskleiste helfen neue KI-Agenten bei der Navigation, die zugrunde liegende KI-Komponente wurde auf Version 1.2604.515.0 aktualisiert.
Branchentrend: Monatliche Sicherheitsupdates werden Standard
Der Mai-Patch-Day ist Teil eines größeren Trends: Auch Oracle kündigte an, ab dem 28. Mai 2026 auf einen monatlichen Sicherheitszyklus umzustellen – ähnlich wie Microsoft und Adobe. Letztere veröffentlichte am 12. Mai zehn Sicherheitsbulletins mit insgesamt 52 Schwachstellen.
SAP brachte zwei „HotNews“-Meldungen heraus: eine SQL-Injection-Lücke in SAP S/4HANA Enterprise Search (CVE-2026-34260, CVSS 9.6) und einen fehlenden Authentifizierungsfehler in SAP Commerce Cloud.
Sicherheitsexperten loben, dass trotz der hohen Anzahl an Schwachstellen keine Zero-Day-Exploits auftraten. Die Betonung „wurmartiger“ Fehler wie der Netlogon-Lücke zeigt: Microsoft priorisiert Schwachstellen, die großflächige automatisierte Angriffe auf Unternehmensnetzwerke ermöglichen könnten. Die Verschärfung der Treiberrichtlinien deutet auf eine strategische Hinwendung zu einer Zero-Trust-Architektur auf Hardware-Ebene hin.
Microsoft setzt immer stärker auf KI-Funktionen im Betriebssystem, doch viele Anwender wissen noch nicht, wie sie diese Tools effektiv nutzen können. Dieser neue Gratis-Report enthüllt die praktischsten Tricks und fertigen Befehle für den digitalen Alltag. Kostenlosen ChatGPT-Ratgeber für Einsteiger herunterladen
Ausblick: Secure-Boot-Zertifikate laufen im Juni ab
Die Bereitstellung von KB5089549 markiert den Beginn einer mehrstufigen Wartungsphase. Microsoft warnt: Secure-Boot-Zertifikate laufen ab Juni 2026 aus. Die Mai-Updates bereiten die automatische Verlängerung vor – Administratoren müssen jedoch mit einem zusätzlichen Neustart rechnen.
Für Windows-10-Nutzer gibt es das Update KB5087544 (13. Mai 2026). Es stellt sicher, dass Teilnehmer des Extended Security Updates (ESU)-Programms geschützt bleiben. Eine neue visuelle Anzeige in der Windows-Sicherheits-App zeigt den Secure-Boot-Status farblich an – grün, gelb oder rot.
Mit der zunehmenden integration von KI ins Betriebssystem – von MDASH-Entdeckungen bis zu KI-Agenten in der Taskleiste – wird die Sicherung dieser neuen Komponenten zur Daueraufgabe. IT-Verantwortliche sollten die Mai-Updates prioritär ausrollen, besonders in Umgebungen mit DNS-Client- oder Netlogon-Diensten.
