Am 10. Juni 2026 hat Microsoft den größten Sicherheits-Patchday seiner Geschichte ausgeliefert. Der Konzern schloss an einem einzigen Dienstag rund 206 Schwachstellen in seiner Produktpalette, darunter 33 als kritisch eingestufte Lücken und drei öffentlich bekannte Zero-Days. Damit übertrifft der Juni-Microsoft Patchday jeden bisherigen Rekord und setzt IT-Abteilungen in Deutschland und im gesamten DACH-Raum unter erheblichen Zeitdruck. Diese Analyse ordnet die Zahlen ein, erklärt die gefährlichsten CVEs und zeigt, was Unternehmen unter NIS2-Pflicht jetzt konkret tun müssen.
Microsoft Patchday Juni 2026: Die Fakten im Überblick
Der zweite Dienstag im Monat ist für jede IT-Abteilung ein Pflichttermin. Doch der Juni-Patchday 2026 sprengt den Rahmen. Je nach Zählweise der Sicherheitsanbieter bewegt sich die Zahl der geschlossenen Schwachstellen zwischen 200 und 206. CrowdStrike und Qualys nennen übereinstimmend 206 Schwachstellen, das SANS Internet Storm Center kommt in seiner eigenen Zählung auf 204, Rapid7 auf 200. Die Differenzen entstehen dadurch, ob gebündelte Browser-Komponenten und Cloud-Korrekturen mitgezählt werden. Wir nutzen in dieser Analyse die konservative, am breitesten belegte Zahl von 206 als Obergrenze und weisen Abweichungen aus.
Die Schweregrad-Verteilung ist eindeutig: Qualys zählt 33 kritische und 167 als wichtig eingestufte Schwachstellen. Das SANS Internet Storm Center spricht von 38 kritischen Lücken, was erneut an unterschiedlichen Abgrenzungen liegt. Drei Schwachstellen waren zum Zeitpunkt der Veröffentlichung bereits öffentlich bekannt, gelten also als Zero-Days im Sinne der vorab publizierten Information. Microsoft erklärte zum Release-Zeitpunkt, für diese drei Lücken keine aktive Ausnutzung in freier Wildbahn zu beobachten. Rapid7 stuft jedoch 15 Schwachstellen als “mit höherer Wahrscheinlichkeit ausnutzbar” ein, ein Warnsignal für die Priorisierung.
Betroffen ist nahezu das gesamte Microsoft-Ökosystem: Windows-Kernel und Windows-Komponenten, Microsoft Office, Outlook, Word, Exchange Online, Microsoft Defender, BitLocker, die Microsoft Cryptographic Services, Bing Search, PowerToys, PC Manager, Office für Android, das .NET SDK, ASP.NET Core sowie Azure HorizonDB. Sechs der Schwachstellen betrafen reine Cloud-Dienste und wurden serverseitig ohne Zutun der Kunden behoben.
Die drei öffentlich bekannten Zero-Days im Detail
Drei Schwachstellen waren vor dem offiziellen Patch bereits dokumentiert. Sie verdienen besondere Aufmerksamkeit, weil öffentlich bekannte Lücken erfahrungsgemäß innerhalb von Tagen in Exploit-Kits landen.
CVE-2026-49160: HTTP.sys Denial of Service
Die Lücke CVE-2026-49160 steckt im HTTP.sys-Treiber und ermöglicht einen Denial-of-Service-Angriff auf eine Reihe von Webservern, einschließlich der Microsoft Internet Information Services (IIS). Rapid7 weist ihr einen CVSS-Wert von 7,5 zu. Da der Treiber tief im Windows-Netzwerkstack verankert ist, kann ein erfolgreicher Angriff ganze Server-Workloads in die Knie zwingen. Brian Krebs ordnet diese DoS-Schwachstelle in seiner Berichterstattung als eine der drei zentralen Zero-Day-Lücken des Monats ein.
CVE-2026-50507: BitLocker-Sicherheitsfunktion umgangen
Mit CVE-2026-50507 lässt sich der BitLocker-Schutz umgehen. Die Schwachstelle trägt laut Rapid7 einen CVSS-Wert von 6,8. Für Unternehmen mit Geräteflotten im Außendienst ist das brisant: BitLocker gilt als zentrale Schutzschicht gegen Datendiebstahl bei verlorenen oder gestohlenen Notebooks. Eine umgangene Festplattenverschlüsselung hebelt genau jenen Schutz aus, auf den sich Compliance-Konzepte verlassen.
CVE-2026-45586: Privilegienerweiterung im CTF-Framework
Die dritte öffentlich bekannte Lücke, CVE-2026-45586, betrifft das Windows Collaborative Translation Framework (CTFMON) und erlaubt eine Privilegienerweiterung. CrowdStrike und Qualys nennen einen CVSS-Wert von 7,8. Privilegienerweiterungen sind selten der erste Schritt eines Angriffs, aber fast immer der entscheidende: Angreifer kombinieren sie mit einer Remote-Code-Execution-Lücke, um von einem kompromittierten Benutzerkonto zu System-Rechten zu gelangen.
Der aktiv ausgenutzte Defender-Zero-Day vom Mai 2026
Während die drei Juni-Zero-Days zum Release nicht aktiv ausgenutzt wurden, gab es kurz zuvor einen echten Notfall. Am 19. Mai 2026 veröffentlichte Microsoft einen außerplanmäßigen Out-of-Band-Patch für CVE-2026-41091, eine aktiv ausgenutzte Schwachstelle in Microsoft Defender. Solche Out-of-Band-Releases sind die Ausnahme. Microsoft greift nur dann zum außerplanmäßigen Patch, wenn Angreifer eine Lücke bereits ausnutzen und das Warten auf den nächsten regulären Dienstag zu riskant wäre.
Die Tatsache, dass ausgerechnet die Sicherheitssoftware Defender betroffen war, verschärft die Lage. Defender läuft mit hohen Systemrechten und ist auf nahezu jedem Windows-Endpunkt aktiv. Eine ausnutzbare Lücke in der Schutzschicht selbst ist ein Worst-Case-Szenario, weil sie genau das Werkzeug aushebelt, das Angriffe stoppen soll. Unternehmen, die den Mai-Out-of-Band-Patch verpasst haben, sollten ihn vor allem anderen nachholen.
Die kritischsten CVEs des Juni-Patchdays
Nicht jede der 206 Schwachstellen verdient gleich viel Aufmerksamkeit. Die Priorisierung entscheidet darüber, ob ein Patch-Zyklus gelingt. Die folgende Tabelle listet die gefährlichsten kritischen Lücken nach CVSS-Wert, basierend auf der CrowdStrike-Analyse vom 10. Juni 2026.
| CVE | Produkt | Typ | CVSS |
|---|---|---|---|
| CVE-2026-45657 | Windows-Kernel | Remote Code Execution | 9,8 |
| CVE-2026-48579 | Exchange Online | Information Disclosure | 9,1 |
| CVE-2026-44810 | Cryptographic Services | Privilegienerweiterung | 8,4 |
| CVE-2026-45461 | Microsoft Office | Remote Code Execution | 8,4 |
| CVE-2026-45463 | Microsoft Office | Remote Code Execution | 8,4 |
| CVE-2026-47635 | Outlook / Word | Remote Code Execution | 8,4 |
| CVE-2026-45586 | Windows CTFMON | Privilegienerweiterung (Zero-Day) | 7,8 |
| CVE-2026-49160 | HTTP.sys / IIS | Denial of Service (Zero-Day) | 7,5 |
Die mit Abstand gefährlichste Lücke ist CVE-2026-45657, eine kritische Remote-Code-Execution-Schwachstelle im Windows-Kernel mit einem CVSS-Wert von 9,8. Eine Kernel-RCE bedeutet, dass ein Angreifer aus der Ferne beliebigen Code mit höchsten Rechten ausführen kann. Solche Lücken sind das gesuchteste Gut auf Exploit-Märkten. Direkt dahinter folgt CVE-2026-48579, eine Information-Disclosure-Lücke in Exchange Online mit CVSS 9,1, die sensible Daten preisgeben kann. Vier kritische Office-RCE-Lücken (CVE-2026-45461, -45463, -45472, -45474) sowie drei RCE-Bugs in Outlook und Word runden das Bild ab, jeweils mit CVSS 8,4.
Schwachstellen nach Kategorie: Wo die Risiken liegen
Die reine Gesamtzahl sagt wenig über die Bedrohungslage aus. Entscheidend ist die Art der Schwachstellen. Qualys hat den Juni-Patchday detailliert aufgeschlüsselt. Die folgende Tabelle zeigt die Verteilung nach Angriffstyp.
| Schwachstellen-Typ | Anzahl | davon kritisch |
|---|---|---|
| Privilegienerweiterung (EoP) | 65 | 4 |
| Remote Code Execution (RCE) | 55 | 28 |
| Information Disclosure | 30 | n/a |
| Spoofing | 27 | n/a |
| Security Feature Bypass | 19 | n/a |
| Denial of Service | 7 | n/a |
Bemerkenswert ist, dass 28 der 55 RCE-Lücken als kritisch eingestuft wurden. Remote Code Execution ist die gefährlichste Kategorie, weil sie Angreifern erlaubt, ohne physischen Zugriff fremden Code auszuführen. Mit 65 Privilegienerweiterungen dominiert zwar eine andere Kategorie die schiere Menge, doch diese Lücken sind in der Regel erst in Kombination mit einem Erstzugang gefährlich. Die hohe Zahl an Information-Disclosure-Lücken (30) und Spoofing-Schwachstellen (27) zeigt, wie breit die Angriffsfläche moderner Microsoft-Produkte geworden ist.
360 Browser-Lücken: Das versteckte Schwergewicht
Ein großer Teil des Rekordvolumens stammt nicht aus dem klassischen Windows-Kern, sondern aus dem Browser. Das SANS Internet Storm Center weist darauf hin, dass Microsofts Juni-Release zusätzlich 360 Chromium-Schwachstellen in Edge umfasste. Edge basiert auf der Chromium-Engine, weshalb Microsoft die Korrekturen des Chromium-Projekts übernimmt und als eigene Updates ausliefert.
Dustin Childs von der Zero Day Initiative (ZDI) hob in seiner über Krebs on Security verbreiteten Einschätzung genau diese ungewöhnlich hohe Zahl an Browser-Lücken hervor. Die schiere Menge an Browser-Schwachstellen in diesem Monat sei außergewöhnlich, so der Tenor seiner Analyse. Für Administratoren bedeutet das: Selbst wer den Windows-Patch sauber einspielt, lässt eine erhebliche Angriffsfläche offen, wenn die Browser-Komponente nicht parallel aktualisiert wird. Browser sind die meistgenutzte Software in jedem Unternehmen und damit ein bevorzugtes Einfallstor.
Warum dieser Patchday ein historischer Rekord ist
CyberScoop bezeichnet den Juni-Release als Microsofts größten monatlichen Sicherheits-Patch aller Zeiten. Um die Dimension einzuordnen, lohnt der Blick zurück. Frühere Spitzenwerte lagen meist im Bereich von 130 bis 160 Schwachstellen pro Monat. Ein Wert von über 200 markiert einen klaren Sprung nach oben und reiht sich in einen mehrjährigen Trend ein: Die Zahl der jährlich offengelegten Schwachstellen steigt kontinuierlich.
Dieser Anstieg hat mehrere Ursachen. Erstens wächst Microsofts Produktportfolio durch Cloud-Dienste, KI-Funktionen und neue Plattformen stetig. Jede neue Komponente bringt neue Angriffsfläche. Zweitens hat sich die Sicherheitsforschung professionalisiert: Bug-Bounty-Programme und automatisierte Fuzzing-Werkzeuge fördern mehr Lücken zutage als je zuvor. Drittens spielt künstliche Intelligenz eine wachsende Rolle bei der Entdeckung von Schwachstellen, auf beiden Seiten. Das BSI verzeichnete im Zeitraum Juli 2024 bis Juni 2025 durchschnittlich 119 neue Schwachstellen pro Tag, ein Anstieg von 24 Prozent gegenüber dem Vorjahr. Der Juni-Patchday ist insofern kein Ausreißer, sondern die logische Folge einer strukturell wachsenden Bedrohungslage.
Stimmen aus der Sicherheitsbranche
Die Reaktionen der Analysten fallen einhellig aus: Der Juni-Patchday verlangt Priorisierung statt Panik. Dustin Childs von der Zero Day Initiative betonte in seiner Analyse die ungewöhnlich große Zahl an Browser-Schwachstellen und mahnte, die 360 Chromium-Lücken nicht zu übersehen. Aus seiner Sicht liegt das eigentliche Risiko nicht in der Gesamtzahl, sondern in den wenigen Lücken mit hohem CVSS-Wert und realer Ausnutzbarkeit.
Die CrowdStrike-Sicherheitsforscher heben in ihrer Patchday-Analyse die Windows-Kernel-RCE CVE-2026-45657 als dringlichste Korrektur hervor. Eine Schwachstelle mit CVSS 9,8 im Kernel sei die Art von Lücke, die ein Patch-Programm definiere, heißt es sinngemäß in der Bewertung. Qualys wiederum ordnet den Monat über die Kategorienverteilung ein und warnt vor der hohen Dichte kritischer RCE-Bugs.
Auch die deutsche Perspektive ist eindeutig. Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), beschreibt die Bedrohungslage in Deutschland seit Längerem als angespannt bis kritisch. Die Behörde verzeichnet täglich Hunderttausende neuer Schadprogrammvarianten und drängt Unternehmen, Patch-Management als Chefsache zu behandeln. Ein Patchday dieser Größenordnung untermauert diese Botschaft: Wer 206 Schwachstellen manuell und unkoordiniert abarbeitet, verliert das Rennen gegen Angreifer, die öffentlich bekannte Lücken binnen Stunden bewaffnen.
Was der Patchday für Deutschland und den DACH-Raum bedeutet
Microsoft-Produkte dominieren die deutsche Unternehmens-IT. Windows, Office und Exchange bilden das Rückgrat von Mittelstand, Konzernen und Verwaltung. Ein Rekord-Patchday trifft daher praktisch jede Organisation im DACH-Raum gleichzeitig. Die wirtschaftliche Dimension ist enorm: Laut Bitkom verursachen Cyberangriffe, Datendiebstahl und Sabotage der deutschen Wirtschaft einen jährlichen Schaden von 289 Milliarden Euro. 87 Prozent der befragten Unternehmen waren in den vergangenen zwölf Monaten betroffen.
Die folgende Tabelle stellt zentrale Kennzahlen der deutschen Bedrohungslage 2025/2026 zusammen, die den Druck hinter jedem Patch-Zyklus verdeutlichen.
| Kennzahl | Wert | Quelle |
|---|---|---|
| Jährlicher Cyberschaden für die deutsche Wirtschaft | 289 Mrd. Euro | Bitkom 2025 |
| Betroffene Unternehmen (12 Monate) | 87 % | Bitkom 2025 |
| Neue Schwachstellen pro Tag (07/2024–06/2025) | 119 | BSI |
| Anstieg neuer Schwachstellen gegenüber Vorjahr | +24 % | BSI |
| Unternehmen mit Ransomware-Schaden (12 Monate) | 34 % | Branchenstatistik 2026 |
| KI-generierte Phishing-Mails | 82,6 % | Branchenstatistik 2026 |
Für viele dieser Unternehmen ist das Patchen seit Dezember 2025 nicht mehr nur gute Praxis, sondern gesetzliche Pflicht. Mit dem NIS2-Umsetzungsgesetz fallen rund 29.500 deutsche Einrichtungen unter verschärfte Cybersicherheitsanforderungen, einschließlich eines wirksamen Schwachstellen- und Patch-Managements. Ein verschlepptes Patchen kann damit nicht nur zu einem Sicherheitsvorfall, sondern auch zu einem Bußgeld führen.
Marktwirkung: Patch-Management wird zum Geschäftsmodell
Ein Patchday mit 206 Lücken ist mit manuellen Prozessen nicht mehr zu bewältigen. Genau das treibt einen wachsenden Markt für automatisiertes Patch-Management, Schwachstellen-Scanning und Managed-Security-Dienste. Anbieter wie Qualys, Rapid7, Tenable und CrowdStrike positionieren ihre Plattformen zunehmend als unverzichtbare Schicht zwischen Microsofts monatlichem Release und der operativen Realität überlasteter IT-Teams.
Im Mittelstand verschärft sich dadurch ein bekanntes Dilemma. Rund 80 Prozent der gemeldeten Angriffe zielen laut Branchenstatistik auf kleine und mittlere Unternehmen, doch gerade dort fehlen oft die Ressourcen für ein professionelles Patch-Management. Die Folge ist eine wachsende Nachfrage nach externen Dienstleistern, die Patch-Zyklen, Priorisierung und Notfallreaktion als Service übernehmen. Der Rekord-Patchday vom Juni 2026 dürfte diesen Trend weiter beschleunigen.
Was Unternehmen jetzt konkret tun müssen
Bei 206 Schwachstellen ist Priorisierung alles. Die folgende Reihenfolge orientiert sich an Ausnutzbarkeit und Schadenspotenzial und fasst die Empfehlungen der zitierten Sicherheitsanbieter zusammen:
- Mai-Out-of-Band-Patch zuerst: CVE-2026-41091 in Microsoft Defender wird aktiv ausgenutzt. Wer ihn noch nicht eingespielt hat, holt das vor allem anderen nach.
- Windows-Kernel-RCE schließen: CVE-2026-45657 (CVSS 9,8) ermöglicht Remote Code Execution und gehört an die Spitze der Liste.
- Exchange und Office absichern: Die kritischen RCE- und Information-Disclosure-Lücken in Exchange Online (CVE-2026-48579) und Office betreffen weit verbreitete, exponierte Angriffsflächen.
- Öffentlich bekannte Zero-Days patchen: CVE-2026-49160, CVE-2026-50507 und CVE-2026-45586 sind bereits dokumentiert und damit prioritär.
- Browser nicht vergessen: Die 360 Chromium-Lücken in Edge müssen parallel zum Windows-Patch aktualisiert werden.
- Patch-Status dokumentieren: Unter NIS2 ist die Nachweisbarkeit der ergriffenen Maßnahmen Teil der Pflicht.
Beispiel: Priorisierung per CVSS-Filter
Viele Schwachstellen-Scanner erlauben das Filtern nach CVSS-Wert und Ausnutzungswahrscheinlichkeit. Ein einfacher Filteransatz für die erste Welle:
# Pseudocode: erste Patch-Welle priorisieren
fuer jede schwachstelle in juni_patchday:
wenn schwachstelle.aktiv_ausgenutzt == True:
prioritaet = "SOFORT"
elif schwachstelle.cvss >= 9.0:
prioritaet = "Welle 1 (24h)"
elif schwachstelle.oeffentlich_bekannt == True:
prioritaet = "Welle 1 (24h)"
elif schwachstelle.cvss >= 8.0:
prioritaet = "Welle 2 (72h)"
sonst:
prioritaet = "regulaerer Zyklus"Dieser Ansatz reduziert 206 Schwachstellen auf eine überschaubare Liste von rund einem Dutzend Lücken, die sofortiges Handeln erfordern. Der Rest folgt im regulären Test- und Rollout-Zyklus.
Patchday im Wettbewerbsvergleich: Microsoft, Adobe, Oracle
Microsoft ist nicht der einzige Anbieter mit einem festen Patch-Rhythmus. Adobe veröffentlichte am selben Dienstag im Juni 2026 ebenfalls Sicherheitsupdates. Oracle wiederum geriet Anfang Juni in die Schlagzeilen, weil deutsche Sicherheitsmedien über die aktive Ausnutzung einer rund zwei Jahre alten, bereits gepatchten WebLogic-Schwachstelle berichteten. Das unterstreicht eine zentrale Wahrheit des Patch-Managements: Nicht die Existenz eines Patches schützt, sondern dessen Einspielen.
Im Vergleich der Anbieter zeigt sich Microsofts Sonderrolle in der deutschen IT-Landschaft. Während Oracle- und Adobe-Lücken bestimmte Spezialsysteme betreffen, erreicht ein Windows- oder Office-Patch nahezu jeden Arbeitsplatz. Die Reichweite macht den Microsoft Patchday zum wichtigsten wiederkehrenden Sicherheitstermin des Monats, und ein Rekordmonat wie der Juni 2026 verschiebt die Messlatte für alle Beteiligten nach oben.
Fünf Prognosen für die zweite Jahreshälfte 2026
Auf Basis der aktuellen Daten und Branchentrends zeichnen sich für die kommenden Monate fünf Entwicklungen ab:
- Schnelle Bewaffnung der Zero-Days: Mindestens eine der drei öffentlich bekannten Juni-Lücken dürfte innerhalb weniger Wochen in Exploit-Kits oder Ransomware-Kampagnen auftauchen. Öffentlich dokumentierte Lücken haben historisch die kürzeste Zeitspanne bis zur Ausnutzung.
- Patch-Volumen bleibt hoch: Der Aufwärtstrend bei monatlichen Schwachstellen setzt sich fort. Monate mit über 150 Lücken werden 2026 zur Norm, nicht zur Ausnahme.
- NIS2 erzwingt Prozessreife: Deutsche Unternehmen unter NIS2-Pflicht werden ihr Patch-Management formalisieren und dokumentieren müssen, was die Nachfrage nach Automatisierung treibt.
- KI auf beiden Seiten: Sowohl die Schwachstellensuche als auch die Exploit-Entwicklung werden stärker KI-gestützt, was die Zeitspanne zwischen Offenlegung und Angriff weiter verkürzt.
- Browser als Hauptangriffsfläche: Die hohe Zahl an Chromium-Lücken wird sich fortsetzen. Browser-Patch-Disziplin wird zur eigenständigen Sicherheitsdisziplin neben dem Betriebssystem-Patching.
Historische Einordnung: Vom Patch Tuesday zum Dauerlauf
Microsoft führte den festen Patch-Dienstag bereits 2003 ein, um Administratoren einen planbaren Rhythmus zu geben. Zwei Jahrzehnte später ist aus dem planbaren Termin ein Dauerlauf geworden. Die Verschiebung von einstelligen oder niedrig zweistelligen Patch-Zahlen hin zu über 200 Schwachstellen pro Monat spiegelt den Wandel der gesamten IT-Landschaft: mehr Cloud, mehr vernetzte Geräte, mehr Angriffsfläche und ein deutlich professionalisierterer Angreifermarkt.
Der Juni 2026 wird als der Monat in Erinnerung bleiben, in dem die Patch-Tuesday-Routine endgültig an die Grenzen manueller Bewältigung stieß. Für Sicherheitsverantwortliche ist das kein Grund zur Panik, aber ein klarer Auftrag: Wer Patch-Management noch als nachgelagerte IT-Aufgabe behandelt, riskiert in einer Bedrohungslandschaft mit 289 Milliarden Euro jährlichem Schaden seine Handlungsfähigkeit.
Verwandte Beiträge
- BSI Lagebericht: 280.000 Schadprogramme pro Tag [2026]
- Citrix NetScaler Lücke: CVSS 9.3, KEV in 7 Tagen [2026]
- NIS2 Deutschland: 29.500 Firmen, 10 Mio € Strafe [2026]
- Cyberschäden DE: 289 Mrd € Rekord [2026]
- ServiceNow Datenleck: 44 Tage offene API-Lücke [2026]
- Cyberangriff Deutschland: +124 % Attacken [2026]
- Sicherheit: Alle Analysen im Überblick
Häufige Fragen zum Microsoft Patchday Juni 2026
Wie viele Schwachstellen hat Microsoft im Juni 2026 geschlossen?
Je nach Zählweise zwischen 200 und 206 Schwachstellen. CrowdStrike und Qualys nennen 206, das SANS Internet Storm Center 204 und Rapid7 200. Es ist der größte monatliche Sicherheits-Patch in der Geschichte von Microsoft.
Welche Zero-Days wurden im Juni-Patchday behoben?
Drei öffentlich bekannte Zero-Days: CVE-2026-49160 (HTTP.sys Denial of Service, CVSS 7,5), CVE-2026-50507 (BitLocker-Bypass, CVSS 6,8) und CVE-2026-45586 (Privilegienerweiterung im CTF-Framework, CVSS 7,8). Microsoft beobachtete zum Release keine aktive Ausnutzung dieser drei.
Welche Lücke ist die gefährlichste?
CVE-2026-45657, eine Remote-Code-Execution-Schwachstelle im Windows-Kernel mit einem CVSS-Wert von 9,8. Sie erlaubt die Ausführung beliebigen Codes mit höchsten Rechten aus der Ferne und sollte zuerst gepatcht werden.
Was hat es mit dem Defender-Zero-Day vom Mai auf sich?
Am 19. Mai 2026 veröffentlichte Microsoft einen außerplanmäßigen Patch für CVE-2026-41091, eine aktiv ausgenutzte Lücke in Microsoft Defender. Wer diesen Out-of-Band-Patch verpasst hat, sollte ihn vor allen Juni-Updates nachholen.
Betrifft der Patchday auch den Browser Edge?
Ja. Microsofts Juni-Release umfasste laut SANS zusätzlich 360 Chromium-Schwachstellen in Edge. Diese müssen parallel zum Windows-Patch aktualisiert werden, da der Browser eine der größten Angriffsflächen darstellt.
Welche Rolle spielt NIS2 beim Patchen?
Seit Dezember 2025 verpflichtet das NIS2-Umsetzungsgesetz rund 29.500 deutsche Einrichtungen zu einem wirksamen Schwachstellen- und Patch-Management. Verschlepptes Patchen kann neben einem Sicherheitsvorfall auch ein Bußgeld nach sich ziehen.
Wo finde ich die offiziellen Patch-Informationen?
Microsoft veröffentlicht alle Details im Security Update Guide für Juni 2026. Unabhängige Analysen liefern unter anderem Krebs on Security, CrowdStrike, das SANS Internet Storm Center und Rapid7. Die deutsche Bedrohungslage dokumentiert das BSI, Wirtschaftszahlen liefert der Bitkom.
