SchwachstellenCloud-SicherheitDatenschutz

Microsoft behebt BitLocker-Problem nach April-Updates – nur für Windows 11

Von CyberDeutsch Redaktion
Microsoft behebt BitLocker-Problem nach April-Updates – nur für Windows 11
Zusammenfassung

Microsoft hat ein bekanntes Problem bei der April-Sicherheitsaktualisierung 2026 behoben, das einige Windows-11-Systeme in den BitLocker-Wiederherstellungsmodus versetzt hat. BitLocker ist eine Windows-Verschlüsselungsfunktion, die Speicherlaufwerke vor Datendiebstahl schützt und nach Hardware- oder TPM-Änderungen häufig in den Wiederherstellungsmodus wechselt, was Benutzer auffordert, ihren BitLocker-Wiederherstellungsschlüssel einzugeben. Das Problem betrifft Systeme mit einer nicht empfohlenen BitLocker-Gruppenrichtlinienkonfiguration – vorrangig Windows-10-, Windows-11- und Windows-Server-Geräte in Unternehmensumgebungen. Microsoft hat die Behebung für Windows 11 mit dem Update KB5089549 bereitgestellt, während Windows-10- und Windows-Server-Nutzer auf einen zukünftigen Fix warten müssen. Für deutsche Unternehmen und Behörden mit solchen Konfigurationen ist dies erheblich relevant, da betroffene Systeme nach dem Update nicht mehr bootbar sind, bis der Wiederherstellungsschlüssel eingegeben wird. Dies kann zu erheblichen Ausfallzeiten führen. IT-Administratoren sollten die problematische Gruppenrichtlinienkonfiguration vor dem Deployment der April-2026-Updates entfernen. Das Problem unterstreicht die Notwendigkeit gründlicher Update-Tests, besonders in kritischen Unternehmensinfrastrukturen.

Das Problem betrifft Windows-Geräte mit einer sogenannten nicht empfohlenen BitLocker-Gruppenrichtlinen-Konfiguration. BitLocker ist Microsofts integriertes Verschlüsselungsfeature, das Festplatten und Speicherlaufwerke vor Datendiebstahl schützt. Es aktiviert sich üblicherweise im Recovery-Modus nach Hardware-Änderungen oder TPM-Updates (Trusted Platform Module), was den Zugriff auf geschützte Laufwerke blockiert, bis diese manuell entsperrt werden.

Microsoft bestätigte das Issue am 14. April und gab an, dass es Windows 10, Windows 11 und Windows Server mit bestimmten TPM-Validierungseinstellungen betrifft. Besonders problematisch sind ungültige PCR7-Konfigurationen (Platform Configuration Register 7). Das Unternehmen veröffentlichte das kumulative Update KB5089549 speziell für Windows 11 25H2, das die Problematik beheben soll. Windows-10-Nutzer und Server-Administratoren müssen jedoch auf einen permanenten Fix in einem zukünftigen Update warten.

Die fehlende sofortige Behebung auf allen Plattformen ist problematisch für Unternehmen. Microsoft rät Systemadministratoren als Zwischenlösung, die Gruppenrichtlinie “Configure TPM platform validation profile for native UEFI firmware configurations” vor dem Rollout der April-Updates zu entfernen und sicherzustellen, dass BitLocker-Bindungen das PCR7-Profil verwenden.

Dies ist kein isoliertes Vorkommnis: Im August 2022 strandeten Windows-Geräte nach dem KB5012170-Update im BitLocker-Recovery-Modus. Zwei Jahre später wiederholte sich das Problem nach dem Juli-2024-Update, und erneut im Mai 2025 nach den Sicherheitsupdates dieses Monats. Das Muster deutet auf strukturelle Herausforderungen in Microsofts Update-Testprozessen hin.

Für deutsche Unternehmen empfiehlt sich eine verstärkte Teststrategie vor dem Unternehmensrollout, insbesondere bei kritischen Infrastrukturen. Die DSGVO-Compliance könnte durch längere Systemausfallzeiten gefährdet werden, wenn Wiederherstellungsschlüssel fehlbar sind. Das BSI weist regelmäßig auf die Notwendigkeit eines strukturierten Patch-Management hin, um solche Probleme zu vermeiden. Im Kontext der zunehmenden Sicherheitsanforderungen bleibt BitLocker ein wichtiges Tool, erfordert aber vorsichtige Implementierung.

Ähnliche Artikel