Nach dem Rekord-Patch-Day im Juni mit 206 geschlossenen Sicherheitslücken hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) neue Empfehlungen zur Absicherung von Windows 11 veröffentlicht. Die Richtlinien kommen zu einem kritischen Zeitpunkt – denn nicht alle Schwachstellen wurden behoben.
Mehrere Verteidigungsebenen gegen Angriffe
Die BSI-Empfehlungen setzen auf einen mehrschichtigen Ansatz. Bereits auf Netzwerkebene sollen Administratoren und Nutzer aktiv werden: Router müssen mit WPA3-Verschlüsselung und Passwörtern von mindestens 20 Zeichen konfiguriert sein.
Anzeige: Wer das Ablaufdatum des Secure-Boot-Zertifikats am 24. Juni 2026 ignoriert, riskiert Boot-Probleme und Sicherheitslücken. Dieser Report liefert die Checkliste zur rechtzeitigen Aktualisierung sowie die wichtigsten BSI-Härtungsschritte für Windows 11. Jetzt kostenlosen Report anfordern
Innerhalb des Betriebssystems raten die Sicherheitsexperten zu mehreren grundlegenden Anpassungen. Der tägliche Arbeitsalltag sollte ausschließlich mit Standard-Benutzerkonten erfolgen – Administratorrechte gehören nur in Ausnahmefällen aktiviert. Die Benutzerkontensteuerung (UAC) ist auf die höchste Stufe zu stellen. Als Standard-Zugangssperre empfiehlt das BSI die Multi-Faktor-Authentifizierung über Windows Hello.
Für die interne Verteidigung müssen alle Microsoft-Defender-Funktionen vollständig aktiviert sein: Echtzeitschutz, cloudbasierter Schutz und Tamper Protection. Auch die Kernel-Isolation und die Ordnerzugriffsüberwachung gelten als unverzichtbar. Zum Schutz ruhender Daten kommt BitLocker (in den Pro-Versionen) oder die Geräteverschlüsselung (in der Home-Edition) zum Einsatz – unterstützt durch eine 3-2-1-Backup-Strategie für maximale Datensicherheit.
Rekord-Patch-Day mit offenen Baustellen
Der Juni-Patch-Day (KB5094126) schloss 206 Sicherheitslücken – so viele wie nie zuvor in einem einzelnen Update-Zyklus. Darunter befanden sich 32 bis 39 kritische Schwachstellen, drei davon waren Zero-Day-Lücken mit den Codenamen YellowKey, GreenPlasma und MiniPlasma. Diese erlaubten Angreifern eine Code-Ausführung aus der Ferne ohne Benutzerinteraktion.
Besonders brisant: Eine wurmfähige Schwachstelle im Windows-Kernel-TCP/IP-Stack (CVE-2026-45657) mit einem Schweregrad von 9,8. Sie könnte sich ohne Zutun des Nutzers im Netzwerk verbreiten.
Doch nicht alle Probleme wurden behoben. Sicherheitsforscher identifizierten eine Privilegienausweitung namens „RoguePlanet“ im Microsoft Defender. Diese Schwachstelle nutzt eine Race-Condition bei der Dateiverarbeitung aus und überlebte den Juni-Patch-Zyklus. Standardnutzer können damit Systemzugriff erhalten.
Auch die BitLocker-Sicherheit bleibt ein Thema. Reine TPM-Konfigurationen sind weiterhin anfällig für Hardware-Angriffe wie SPI-Bus-Sniffing. Administratoren sollten über Gruppenrichtlinien eine Pre-Boot-PIN erzwingen.
Update-Stabilität: Probleme auf HP- und Dell-Geräten
Das Juni-Update bringt nicht nur Sicherheit, sondern auch Komplikationen. Auf bestimmten Business-Laptops von HP und Dell wurden Systemabstürze, OneDrive-Ausfälle und Blue Screens gemeldet. Die Ursache liegt oft in zu kleinen EFI-Partitionen oder BitLocker-Wiederherstellungsschleifen.
Parallel testet Microsoft in aktuellen Insider-Builds ein neues, vereinheitlichtes Update-System. Es soll Treiber-, .NET- und Firmware-Updates synchronisieren und die Anzahl erzwungener Neustarts auf einmal pro Monat reduzieren.
Zertifikats-Ablauf: Countdown läuft
Ein weiteres Datum sollten Administratoren im Kalender markieren: Am 24. Juni 2026 läuft der ältere Secure-Boot-Zertifikatsschlüssel (KEK) aus dem Jahr 2011 ab. Systeme, die nicht auf die 2023er-Zertifikate aktualisiert wurden, drohen mit Boot-Problemen oder benötigen ein BIOS-Update.
Anzeige: Die wormfähige Schwachstelle im TCP/IP-Stack (CVE-2026-45657) und die ungepatchte „RoguePlanet“-Lücke im Defender machen Windows 11-Systeme angreifbar. Erfahren Sie in diesem Report, wie Sie mit BitLocker-PIN und 5 Defender-Einstellungen Ihre Infrastruktur absichern. Sicherheits-Report jetzt sichern
Bedrohungslage: Chinesische Gruppe zielt auf Forschungseinrichtungen
Die verschärften Härtungsrichtlinien sind auch eine Reaktion auf die anhaltende Bedrohung durch staatlich gesteuerte Akteure. Der als UNC6508 identifizierte, China zugeschriebene Angreifer hat seit September 2023 medizinische Forschungseinrichtungen in Nordamerika im Visier. Die Gruppe kompromittiert REDCap-Server, um Daten zu Künstlicher Intelligenz und Militärmedizin zu stehlen.
Im Bereich der Cyberkriminalität gelang den Strafverfolgungsbehörden ein Schlag gegen den Geldwäschedienst AudiA6, der seit 2021 rund 336 Millionen Euro umgesetzt hatte. Zudem wurden Schwachstellen in Oracle PeopleSoft ausgenutzt, um über 100 Organisationen zu kompromittieren – ein weiterer Beleg für die anhaltenden Risiken in großen Datenumgebungen.
