Microsoft hat sechs kritische Sicherheitslücken geschlossen, die bereits aktiv von Angreifern ausgenutzt werden. Betroffen sind Windows, Office und Komponenten des Internet Explorers.
- Was ist passiert? / Worum geht es?
- Wer ist betroffen?
- Was sollten Sie jetzt tun?
- Einordnung — Wie kritisch ist das wirklich?
- Weiterführende Ressourcen
- FAQ: Häufige Fragen
Was ist passiert? / Worum geht es?
Am zweiten Dienstag im Februar hat Microsoft Sicherheitsupdates für über 50 Lücken veröffentlicht. Darunter befinden sich sechs sogenannte Zero-Day-Schwachstellen. Eine Zero-Day-Lücke ist ein Fehler in der Software, für den es noch keinen Patch gibt. In diesem Fall sind die Lücken bereits bekannt und werden aktiv ausgenutzt. Angreifer nutzen diese Fehler, um unbefugten Zugriff auf Systeme zu erhalten oder Schadcode auszuführen. Besonders besorgniserregend ist, dass die US-Cybersicherheitsbehörde CISA alle sechs Lücken in ihren Katalog der „Known Exploited Vulnerabilities“ aufgenommen hat. Das bestätigt die reale Gefahr durch laufende Angriffe.
Die Lücken betreffen Kernkomponenten von Windows, wie die Windows Shell, den Desktop Windows Manager und die Remotedesktopdienste. Auch Microsoft Word und das MSHTML-Framework (die Basis des Internet Explorers) sind betroffen. In einigen Fällen genügt es, dass ein Mitarbeiter einen präparierten Link anklickt oder ein manipuliertes Dokument öffnet, um die Sicherheit des gesamten Unternehmens zu gefährden. Microsoft hat Patches veröffentlicht, die sofort installiert werden sollten.
Wer ist betroffen?
Betroffen sind prinzipiell alle Unternehmen, die Microsoft-Produkte im Einsatz haben. Da es sich um Windows-Komponenten handelt, sind fast alle Windows-Workstations und -Server in einem KMU potenziell verwundbar. Konkret geht es um:
- Alle unterstützten Versionen von Windows: Dies umfasst Windows 10 und Windows 11 in ihren aktuellen Varianten sowie entsprechende Server-Versionen wie Windows Server 2019 und 2022.
- Microsoft Office: Anwender von Microsoft Word sind spezifisch durch die Lücke CVE-2026-21514 gefährdet. Das betrifft Installationen von Office 2019, Office 2021 und Microsoft 365 (Office 365).
- Systeme mit Internet Explorer / MSHTML: Auch wenn der Internet Explorer nicht mehr als Standardbrowser genutzt wird, ist das MSHTML-Framework noch in Windows enthalten und wird von vielen Anwendungen genutzt. Daher sind auch Systeme betroffen, die scheinbar nur moderne Browser nutzen.
Wenn Ihre IT-Infrastruktur auf aktuellen Stand ist und Sie Windows Update nutzen, sind Sie wahrscheinlich in der Zielgruppe für dieses Update. Unternehmen, die Updates manuell verwalten oder noch ältere, nicht unterstützte Windows-Versionen nutzen, sind besonders gefährdet.
Was sollten Sie jetzt tun?
Die Gefahr ist real und die Patches sind verfügbar. Zögern Sie nicht mit der Installation. Nutzen Sie die folgende Checkliste, um Ihre Systeme sicher zu machen.
1. Update-Status prüfen
Überprüfen Sie als erstes, ob Ihre Systeme die neuesten Updates bereits bezogen haben. Da dies automatisiert geschieht, ist eine manuelle Überprüfung oft sinnvoll, um sicherzugehen, dass keine Fehler aufgetreten sind.
So gehen Sie vor:
Öffnen Sie auf einem Windows-System die Einstellungen -> Windows Update. Klicken Sie auf „Nach Updates suchen“. Das System sollte nun die Sicherheitsupdates vom Februar 2026 anzeigen und installieren. Wiederholen Sie diesen Prozess auf kritischen Servern.
Für IT-Verantwortliche per PowerShell:
Sie können den Installationsstatus auch prüfen, indem Sie die PowerShell als Administrator öffnen und folgenden Befehl nutzen:
Get-HotFix | Where-Object {$_.InstalledOn -gt (Get-Date).AddDays(-7)}
Dieser Befehl zeigt alle Updates an, die in den letzten sieben Tagen installiert wurden. So sehen Sie schnell, ob die Februar-Updates bereits eingespielt sind.
2. Sicherheitsupdates einspielen
Installieren Sie alle ausstehenden Updates prioritär. Microsoft hat Patches für die folgenden kritischen CVEs (Common Vulnerabilities and Exposures) veröffentlicht:
- CVE-2026-21510: Umgehung des Schutzes in Windows Shell (SmartScreen).
- CVE-2026-21513: Sicherheitslücke im MSHTML-Framework (Internet Explorer).
- CVE-2026-21514: Schwachstelle in Microsoft Word.
- CVE-2026-21519: Fehler im Desktop Windows Manager (Rechteausweitung).
- CVE-2026-21533: Schwachstelle in Windows Remote Desktop Services (Rechteausweitung).
- CVE-2026-21525: Fehler im Remote Access Connection Manager (Denial of Service).
Starten Sie die Systeme nach der Installation neu, um die Updates wirksam zu machen. Achten Sie darauf, dass Sie ein Backup haben, falls ein Update zu Problemen führen sollte. Dies ist zwar selten, aber bei kritischen Produktionssystemen Vorsicht geboten.
3. Auf Anzeichen einer Kompromittierung prüfen
Da diese Lücken bereits aktiv ausgenutzt werden, ist es möglich, dass Ihre Systeme bereits infiziert sind. Prüfen Sie Ihre Logs auf ungewöhnliche Aktivitäten.
Worauf Sie achten sollten:
– Suchen Sie in den Windows-Eventlogs (Ereignisanzeige) nach fehlerhaften Anmeldeversuchen oder Prozessen, die mit ungewöhnlichen Rechten laufen.
– Achten Sie auf neue, unbekannte Benutzer oder Gruppen in der lokalen Benutzerverwaltung.
– Prüfen Sie Word-Dokumente, die von unbekannten Absendern stammen oder deren Verhalten seltsam erscheint (z.B. Abstürze beim Öffnen).
Ein spezifischer Indikator für die Ausnutzung der SmartScreen-Lücke (CVE-2026-21510) ist das Öffnen von Dateien ohne die übliche Warnmeldung von Microsoft Defender SmartScreen. Wenn Mitarbeiter berichten, dass Dateien „einfach so“ geöffnet wurden, obwohl sie verdächtig wirkten, ist das ein Alarmsignal.
4. Langfristige Maßnahmen und Best Practices
Neben dem aktuellen Patchday sollten Sie Ihre allgemeine Sicherheit überprüfen.
- Aktivieren Sie automatische Updates: Stellen Sie sicher, dass Windows Update so konfiguriert ist, dass Updates automatisch installiert werden. Das ist der effektivste Schutz vor solchen Bedrohungen.
- Sensibilisieren Sie Ihre Mitarbeiter: Die meisten dieser Angriffe erfordern Interaktion (Öffnen eines Anhangs oder Klicken eines Links). Schulen Sie Ihre Mitarbeiter im Umgang mit verdächtigen E-Mails. Das Phishing-Risiko bleibt der Hauptvektor für solche Angriffe.
- Einschränkung der Nutzerrechte: Arbeiten Sie nach dem Prinzip der geringsten Privilegien. Mitarbeiter sollten nicht mit Administratorrechten im Alltag arbeiten. Das begrenzt den Schaden bei einer erfolgreichen Infektion über Lücken wie CVE-2026-21519 oder CVE-2026-21533.
Wenn Sie eine zentrale Updateverwaltung nutzen (z.B. WSUS oder SCCM), stellen Sie sicher, dass die neuen Updates freigegeben und für die Installation genehmigt sind. Überwachen Sie die Berichte, um zu sehen, welche Systeme noch ausständig sind.
Einordnung — Wie kritisch ist das wirklich?
Die Situation ist ernst, aber Panik ist unnötig. Sechs Zero-Day-Lücken gleichzeitig sind ungewöhnlich. Sie erfordern schnelles Handeln. Die Aufnahme in den CISA-Katalog ist ein starkes Signal. Die US-Behörde listet nur Lücken, die eine „signifikante Gefahr“ für die Bundesregierung der USA darstellen. Was für die US-Regierung gefährlich ist, ist auch für deutsche Mittelständler relevant.
Die Schwachstellen in Windows Shell und Word sind besonders kritisch, da sie Einfallstore für Schadsoftware (Malware) oder Ransomware bieten. Ein Klick auf einen falschen Link in einer E-Mail kann ausreichen, um das gesamte Netzwerk zu gefährden. Die Lücken in den Remotedesktopdiensten sind weniger direkt für Angriffe von außen nutzbar, aber gefährlich, wenn ein Angreifer bereits Fuß im Netz hat (Lateral Movement).
Für ein deutsches KMU ist die Wahrscheinlichkeit eines gezielten Angriffs mittels dieser Zero-Days gegeben, aber nicht so hoch wie bei einem massenhaften Angriff auf beliebige Ziele. Angreifer suchen oft nach dem leichtesten Ziel. Wer schnell patcht, ist kein leichtes Ziel mehr. Wer diese Updates ignoriert, spielt jedoch russisches Roulette. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat über den Warn- und Informationsdienst (WID) auf diese Updates hingewiesen, was die Dringlichkeit unterstreicht.
Verglichen mit anderen Monaten ist die Anzahl der Lücken im Februar 2026 zwar etwas geringer als im Januar, aber die Qualität der Lücken (Zero-Day, Active Exploitation) wiegt schwerer. Es geht nicht um die Quantität, sondern um die Qualität der Bedrohung. Ein einziges erfolgreiches Exploit kann mehr Schaden anrichten als hundert gepatchte kleine Fehler.
Besonders die Lücke CVE-2026-21510 in der Windows Shell ist heimtückisch. Sie umgeht die SmartScreen-Abfrage. Normalerweise warnt Windows, wenn ein Nutzer eine Datei aus dem Internet herunterlädt und öffnen will. Diese Lücke erlaubt es Angreifern, diese Warnung zu unterdrücken. Ein Nutzer merkt also gar nicht, dass er Schadcode ausführt. Das macht diese Lücke so gefährlich für Unternehmen, die stark auf E-Mail-Verkehr angewiesen sind.
Auch die Word-Lücke (CVE-2026-21514) ist ein Klassiker der Angriffsvektoren. Dokumente werden oft als „harmlos“ wahrgenommen. Ein manipuliertes Word-Dokument kann als Rechnung getarnt sein. Sobald es geöffnet wird, kann Code ausgeführt werden. Hier hilft nur Disziplin und technische Absicherung, um die Ausführung von Makros zu blockieren, falls noch nicht geschehen.
Zusammenfassend bleibt festzuhalten: Der Patchday Februar 2026 ist kein „Normalfall“. Die Kombination aus sechs Zero-Days und der aktiven Ausnutzung durch Kriminelle erfordert Aufmerksamkeit. Prüfen Sie Ihre Update-Protokolle noch heute. Wenn Sie unsicher sind, ob Ihre Systeme aktuell sind, konsultieren Sie Ihren IT-Dienstleister oder Administrator sofort. Verzögerungen kosten in der Sicherheit Zeit, die Sie sich nicht leisten können.
Weiterführende Ressourcen
Hier finden Sie die offiziellen Quellen und weiterführende Artikel zu den Themen:
- Warn- und Informationsdienst des BSI
- CISA Known Exploited Vulnerabilities Catalog
- Patchday Microsoft: Angreifer nutzen Windows- und Word-Lücken aus | heise online
- Microsoft-Patchday: Zero-Day-Lücken in Windows, Office und im Internet Explorer – Golem.de
FAQ: Häufige Fragen
Was ist eine Zero-Day-Lücke?
Eine Zero-Day-Lücke ist eine Sicherheitslücke in Software, die der Hersteller noch nicht kennt oder für die noch kein Update (Patch) existiert. Angreifer nutzen diese Lücke aus, bevor ein Schutz verfügbar ist. In diesem Fall hat Microsoft die Lücken nun entdeckt und Patches veröffentlicht, aber die Ausnutzung im „Wilden“ lief bereits zuvor.
Reicht es nicht, wenn ich mein Virenprogramm aktualisiere?
Nein, ein Virenprogramm allein schützt nicht vor Schwachstellen in der Software selbst. Ein aktuelles Virenprogramm kann zwar bekannten Schadcode erkennen, aber wenn Angreifer eine neue, unbekannte Methode nutzen (wie bei diesen Zero-Days), hilft nur das Schließen der Sicherheitslücke durch ein Update. Das Virenprogramm ist eine zusätzliche Schutzschicht, aber keine Lösung für fehlende Patches.
Müssen wir Server am Wochenende neu starten?
Ja, das ist sehr wahrscheinlich empfehlenswert. Viele Sicherheitsupdates von Microsoft erfordern einen Neustart, um vollständig installiert zu werden und wirksam zu werden. Planen Sie die Wartungsfenster so früh wie möglich ein. Für kritische Systeme, die nicht ohne Weiteres neu gestartet werden können, wägen Sie das Risiko eines Ausfalls gegen das Risiko eines Hacks ab. In der Regel ist der Neustart das kleinere Übel.