Microsoft offenbart mit der Patch Tuesday vom Mai ein beeindruckendes Zahlenwerk: 173 Schwachstellen im April, mehr als 137 im Mai – eine Steigerung, die das Unternehmen auf die zunehmende Einsatzfreude von KI-Tools zurückführt. Besonders bemerkenswert ist das hauseigene System MDASH, das Microsoft erstmals öffentlich präsentiert. Dieses KI-System identifizierte im aktuellen Patch-Zyklus bereits 16 Sicherheitslücken selbstständig, davon vier mit kritischer Einstufung, ohne dass ein Sicherheitsforscher diese vorher hätte entdecken müssen.
Um die Zuverlässigkeit von MDASH zu validieren, unterzog Microsoft das System einem retrospektiven Recall-Test: Das System sollte Schwachstellen reduzieren, die menschliche Forscher bereits in fünf Jahren Windows-Sicherheitshistorie identifiziert hatten. Das Resultat: MDASH fand 96 Prozent der bekannten Flaws in einer Komponente und sämtliche in einer zweiten – ein Erfolgsnachweis, der die Praxistauglichkeit unterstreicht.
Microsoft ist nicht allein auf dieser Welle. Apple erhielt frühzeitig Zugang zu Anthropics Projekt Glasswing, das ebenfalls bei der Schwachstellenerkennung hilft und 52 Vulnerabilities in Apples jüngster Sicherheitsaktualisierung adressierte. Oracle wechselt von quartalsweisen zu monatlichen Patch-Zyklen für kritische Sicherheitsfragen. Google veröffentlichte gleichzeitig mit Microsofts Release 127 Chrome-Sicherheitsfixes – ein dramatischer Anstieg gegenüber 30 Fixes im Vormonat.
Die kritischsten Schwachstellen dieser Runde sind bemerkenswert: CVE-2026-41089 in Windows Netlogon und CVE-2026-41096 im Windows DNS Client erreichen jeweils die Schweregrad-Bewertung 9,8 von 10. Besonders die Netlogon-Lücke ermöglicht es Angreifern, ohne Authentifizierung Code auszuführen – ein Alptraum für jedes Unternehmens-Netzwerk mit Domain-Controllern. Eine dritte kritische Lücke (CVE-2026-42898, Schweregrad 9,9) betrifft Microsoft Dynamics 365 vor Ort und erlaubt autorisierten Angreifern die Remote-Code-Ausführung.
Die Kehrseite dieser Beschleunigung wird deutlich, wenn man auf die offene Softwareentwicklung blickt: HackerOne pausierte im Frühjahr sein Open-Source-Bug-Bounty-Programm, weil das Ungleichgewicht zwischen gefundenen und behobenen Sicherheitslücken untragbar geworden ist. Google meldete zeitgleich den ersten bekannten Fall einer KI-entwickelten Zero-Day-Exploit, die in einer massiven Exploitation-Kampagne Verwendung fand.
Für deutsche IT-Abteilungen lautet die Botschaft von Gallagher unmissverständlich: Unternehmen müssen ihre Patch-Management-, Exposure-Management- und Identity-Praktiken fundamental überdenken. Wer diese Geschwindigkeit nicht mitgeht, riskiert wachsende Sicherheitslücken in der eigenen Infrastruktur.