Microsoft Defender löst weltweite Zertifikatskrise aus

Ein fehlerhaftes Signatur-Update von Microsoft Defender hat am Wochenende weltweit für massive Störungen in Unternehmensnetzwerken gesorgt. Das Sicherheitstool stufte fälschlicherweise legitime DigiCert-Root-Zertifikate als Schadsoftware ein und entfernte sie automatisch aus dem Windows-Vertrauensspeicher. Die Folge: SSL/TLS-Verbindungen brachen zusammen, signierte Software ließ sich nicht mehr ausführen.

Fehlalarm mit schwerwiegenden Folgen

Bereits Ende April tauchten erste Warnmeldungen auf, doch am 3. Mai 2026 erreichte das Problem eine kritische Masse. Sicherheitsforscher wie Florian Roth identifizierten als erste, dass Microsoft Defender die Erkennungsregel „Trojan:Win32/Cerdigent.A!dha" auf völlig harmlose DigiCert-Zertifikate anwendete. Betroffen waren unter anderem das DigiCert Assured ID Root CA und das DigiCert Trusted Root G4.

Da fehlerhafte Updates wie beim aktuellen Defender-Vorfall die Systemstabilität gefährden können, ist ein Vorsorge-Stick die ideale Absicherung. Diese Gratis-Anleitung für Einsteiger zeigt, welche Dateien Sie brauchen und welche Fehler Sie beim Erstellen eines Rettungs-Mediums vermeiden sollten. Windows 11 Boot-Stick kostenlos erstellen

Die automatische Quarantäne entfernte die Zertifikate aus dem Windows-Registry-Pfad HKLMSOFTWAREMicrosoftSystemCertificatesAuthRootCertificates. Damit riss die Vertrauenskette für alle Websites, Anwendungen und Treiber, die auf diese Autoritäten angewiesen sind.

Besonders hart traf es Unternehmensumgebungen: Interne Tools, sichere Web-Gateways und Software-Bereitstellungspipelines funktionierten nicht mehr. Webbrowser warfen Sicherheitswarnungen, Betriebssysteme blockierten legitime Programme. Zahlreiche Firmen berichteten von sofortigen Ausfällen SSL/TLS-abhängiger Dienste.

Zusammenhang mit früherem Sicherheitsvorfall

Branchenbeobachter sehen einen möglichen Zusammenhang mit einem dokumentierten DigiCert-Vorfall vom April 2026. Damals erlangten Unbefugte offenbar Initialisierungscodes für verschiedene Code-Signatur-Zertifikate. Die Folge: rund 60 Zertifikate wurden widerrufen, mindestens 27 davon standen im Zusammenhang mit der Schadsoftware Zhong-Stealer.

Sicherheitsforscher führen diese Kampagne auf die Gruppe GoldenEyeDog (auch APT-Q-27) zurück. Microsoft wollte die Bedrohung offenbar mit besonders aggressiven Erkennungssignaturen eindämmen – und schoss übers Ziel hinaus. Die Signatur für „Cerdigent.A!dha" erwischte auch die legitimen Root-Zertifikate mit den Fingerabdrücken 0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43 und DDFB16CD4931C973A2037D3FC83A4D7D775D05E4.

Microsoft liefert Notfall-Update

Noch am 3. Mai 2026 veröffentlichte Microsoft den Definitions-Update 1.449.430.0 (sowie Version 1.449.431.0). Für manche Nutzer war der Fix auch im kumulativen Update KB2267602 enthalten. Die Updates korrigieren die Signaturlogik und verhindern weitere Fehlalarme.

Systeme, die bereits betroffen sind, benötigen unter Umständen manuelle Eingriffe. Microsofts Support empfiehlt, die Zertifikate aus der Defender-Quarantäne wiederherzustellen. Nach der Installation des Updates erkennt das System die DigiCert-Root-Zertifikate wieder als vertrauenswürdig an.

Zusätzlich veröffentlichte Microsoft am 3. Mai mehrere dynamische Updates für Windows 11 (KB5083991 und KB5084812), die die Zuverlässigkeit der Windows-Wiederherstellungsumgebung (WinRE) verbessern sollen.

Defender im Test: Stärken und Schwächen

Der DigiCert-Vorfall ereignete sich in einem angespannten Sicherheitsumfeld. Anfang Mai 2026 hatte die US-Behörde CISA mehrere aktiv ausgenutzte Schwachstellen in ihren Katalog bekannter Sicherheitslücken aufgenommen – darunter CVE-2026-31431 (eine neun Jahre alte Lücke im Linux-Kernel) und CVE-2026-41940 (Authentifizierungsumgehung in cPanel).

Unabhängige Tests vom 3. Mai 2026 bescheinigten Microsoft Defender gute Ergebnisse bei klassischen Virentests. Allerdings zeigten sich deutliche Lücken: Der Phishing-Schutz funktioniert im Microsoft Edge-Browser hervorragend, bietet aber auf anderen Browsern oder Plattformen wie macOS und Android kaum Schutz. Experten raten daher zu einer mehrschichtigen Verteidigungsstrategie.

Der aktuelle Vorfall zeigt, wie schnell Windows-Nutzer durch fehlerhafte Signaturen vor technischen Hürden stehen. IT-Experte Manfred Kratzl zeigt in seinem Gratis-Report, wie Sie die häufigsten Windows-11-Probleme ohne teuren Service und ohne Stress selbst beheben. Kostenlosen Windows-Problemlöser herunterladen

Ausblick: Zertifikatswechsel und KI-Phishing

Für Windows-Administratoren steht im Juni 2026 der nächste wichtige Termin an: Bestimmte Secure-Boot-Zertifikate laufen aus. Systemchecks per PowerShell sind nötig, um sicherzustellen, dass das „Windows UEFI CA 2023"-Zertifikat korrekt erkannt wird – sonst drohen Boot-Fehler.

Gleichzeitig steigt die Bedrohung durch KI-generierte Phishing-Mails: Ihr Anteil am gesamten Phishing-Volumen stieg von 4 auf 56 Prozent Anfang 2026. Die durchschnittlichen Kosten eines Phishing-Vorfalls liegen inzwischen bei fast fünf Millionen Euro. Der DigiCert-Vorfall zeigt: Selbst die Werkzeuge, die die digitale Lieferkette schützen sollen, können zur Stabilitätsfalle werden – wenn Updates nicht ausreichend getestet werden.

de | wissenschaft | 69274824 |