Microsofts Sicherheitsupdate im Juli 2026 wirkt auf den ersten Blick alarmierend: mindestens 570 Korrekturen, fast 60 kritische Schwachstellen, drei Zero-Days und zwei Lücken, die laut Microsoft bereits ausgenutzt werden. Die sinnvolle Reaktion ist nicht Panik, sondern bessere Priorisierung.

Ruhiges Sicherheitsdashboard mit priorisierten Microsoft-Update-Warteschlangen

Ganz oben stehen CVE-2026-56155, eine Rechteausweitung in Active Directory Federation Services, und CVE-2026-56164, eine Rechteausweitung in Microsoft SharePoint Server. Microsoft markiert beide als ausgenutzt. Zero Day Initiative betont den praktischen Punkt: AD FS liegt nahe an der Identitätsinfrastruktur, und eine über das Netzwerk erreichbare SharePoint-Lücke kann dringlich sein, auch wenn der CVSS-Wert nur moderat ist.

Was veröffentlicht wurde

KrebsOnSecurity zählt mindestens 570 behobene Sicherheitsprobleme. Microsofts Daten bestätigen die wichtigsten Signale: CVE-2026-56155 und CVE-2026-56164 werden ausgenutzt; CVE-2026-50661, ein BitLocker-Sicherheits-Bypass, ist öffentlich bekannt, aber nicht als aktiv ausgenutzt markiert; CVE-2026-48561 ist eine kritische Remote-Code-Execution in Microsoft Copilot mit einem Basiswert von 9,6.

Die Gesamtzahl unterscheidet sich je nach Quelle, weil Abhängigkeiten, Browserkomponenten, Cloud- oder Linux-Anteile unterschiedlich gezählt werden. Für den Betrieb zählen andere Fragen: Wird die Lücke ausgenutzt? Ist das System erreichbar? Gibt es Benutzerinteraktion? Hat der betroffene Dienst eine wichtige Rolle im Unternehmen?

Erst ausgenutzte und exponierte Systeme

Wer AD FS betreibt, sollte betroffene Server identifizieren, Microsofts Hinweise prüfen und die Updates mit einem passenden Änderungsfenster einspielen. Wer SharePoint Server lokal betreibt, sollte CVE-2026-56164 nach vorn ziehen. SharePoint Online sollte nicht ohne Hinweis mit SharePoint Server gleichgesetzt werden; maßgeblich sind Advisory, Produkt und Version.

Danach folgen kritische RCEs in tatsächlich erreichbaren Diensten. DHCP, Exchange, Defender, SQL Server, Office, Copilot und Windows-Komponenten haben je nach Umgebung unterschiedliche Bedeutung. CVSS ist hilfreich, ersetzt aber weder Inventar noch Netzwerkverständnis.

Der AI-Faktor

Microsoft verbindet das höhere Volumen mit AI-gestützter Schwachstellensuche und Analyse. Das bedeutet nicht, dass AI die Fehler erzeugt hat. Es bedeutet, dass mehr Probleme schneller sichtbar werden. Für Verteidiger ist das gut, erhöht aber die operative Last: Jede bestätigte Lücke braucht eine Entscheidung.

Angreifer können nach Veröffentlichung von Advisories ebenfalls schneller analysieren. Patchfenster, die an menschliche Analysegeschwindigkeit angepasst waren, können bei exponierten Systemen zu lang sein. Die Antwort bleibt handwerklich: Inventar, Backups, gestaffelte Rollouts, Monitoring, Rückfallplan und befristete Ausnahmen mit Verantwortlichen.

Eine ruhige Reihenfolge

Zuerst kommen AD FS und lokaler SharePoint Server, vor allem wenn sie exponiert oder hoch privilegiert sind. Danach kritische RCEs in erreichbaren Diensten. Danach öffentlich bekannte, aber nicht bestätigte ausgenutzte Lücken wie der BitLocker-Bypass, abhängig vom Bedrohungsmodell. Client-Updates sollten über repräsentative Pilotgruppen laufen. Abschließend müssen Deployment-Telemetrie, Schwachstellenscan und Ausnahmeprotokoll zusammenpassen.

Für Privatanwender und kleine Teams ist die Empfehlung einfacher: wichtige Dateien sichern, Windows Update aktiv lassen und Neustarts nicht wochenlang verschieben. Die Zahl 570 ist kein Grund, Updates abzuschalten; sie ist ein Grund, Wartung verlässlich zu machen.

Dieser Patch Tuesday ist eine Warnung vor mehr Volumen und Tempo, keine Paniksirene. Stark sind die Teams, die ausgenutzte, exponierte und geschäftskritische Schwachstellen schnell erkennen, zuerst beheben und den Rest planvoll abarbeiten.