Die IT-Woche für KMU: Patchday, Updates, KI

Eine bewegte Woche, kurz sortiert

Es war eine ungewöhnlich dichte Woche für alle, die IT in einem kleinen Unternehmen verantworten. Microsoft hat seinen bislang größten Patchday veröffentlicht, gleichzeitig stolperten manche Geräte über die neuen Updates, in Brüssel kam ein Vorschlag für ein neues Cloud-Gesetz auf den Tisch, und eine aktuelle Auswertung zeichnet ein wenig beruhigendes Bild zur Erpressungssoftware im Mittelstand. Damit aus vielen Schlagzeilen kein Rauschen wird, ordnet dieser Rückblick die fünf Meldungen ein, die für kleine Betriebe wirklich zählen — sachlich, ohne Alarmismus und mit einer konkreten Empfehlung, wo sie sinnvoll ist.

Auf einen Blick

• Rekord-Patchday: Microsoft schließt rund 200 Sicherheitslücken; zwei davon werden bereits aktiv ausgenutzt.
• Update-Bremse mit Fix: Manche Geräte scheiterten an den Juni-Updates — ein Korrektur-Update behebt das.
• Copilot wird Tarif: Ab 1. Juli 2026 ist die KI in Microsoft 365 fester Bestandteil zweier Business-Pakete.
• Cloud-Gesetz geplant: Die EU-Kommission hat einen Vorschlag für mehr Cloud-Souveränität vorgelegt — noch kein Gesetz.
• Ransomware-Lagebild: Die Zahl bekannter Erpressungsopfer ist stark gestiegen, vor allem kleinere Unternehmen sind betroffen.

Der größte Patchday in der Microsoft-Geschichte

Am 9. und 10. Juni 2026 hat Microsoft seinen bisher umfangreichsten Patchday ausgerollt. Er schließt rund 200 Sicherheitslücken — der Sicherheitsspezialist Tenable zählt 198, davon 32 als kritisch eingestuft, andere Zählungen kommen auf über 200. Die genaue Zahl hängt also von der Quelle ab. Entscheidend für kleine Unternehmen ist weniger die Gesamtsumme als die Frage, welche Lücken jetzt drängen.

Zwei davon stechen heraus. Die erste betrifft Microsoft Defender, die in Windows eingebaute Schutzsoftware: Über die Lücke CVE-2026-41091 lassen sich Rechte auf einem System ausweiten — und sie wird bereits aktiv ausgenutzt. Die US-amerikanische Cybersicherheitsbehörde CISA hatte diese Schwachstelle schon am 20. Mai 2026 in ihren Katalog aktiv ausgenutzter Lücken aufgenommen. Wenn eine Behörde eine Lücke dort listet, ist die Gefahr nicht theoretisch, sondern real.

Die zweite dringende Lücke trifft Unternehmen mit einem eigenen, lokal betriebenen Exchange-Server (CVE-2026-42897) und wird ebenfalls aktiv ausgenutzt — dazu haben wir bereits einen ausführlichen Beitrag veröffentlicht, den Sie hier im Blog finden.

Daneben waren drei Lücken schon vor dem Patch öffentlich bekannt:

• eine Umgehung der BitLocker-Festplattenverschlüsselung (CVE-2026-50507),
• eine Schwachstelle in der Windows-Komponente HTTP.sys, über die sich Dienste lahmlegen lassen (CVE-2026-49160),
• eine Rechteausweitung im Eingabe- und Übersetzungs-Framework CTFMON von Windows (CVE-2026-45586).

Was Sie tun sollten: Spielen Sie die Juni-Updates zeitnah ein. Betreiben Sie selbst einen Exchange-Server, hat das besondere Priorität.

Wenn das Update selbst hängenbleibt

Ausgerechnet zum großen Patchday meldeten manche Anwender, dass sich die kumulativen Juni-Updates nicht installieren ließen — quittiert mit den Fehlercodes 0x80073712 oder 0x800f0993. Betroffen waren vor allem Geräte, die ursprünglich mit Windows 10 (Version 21H2 oder 22H2) oder Windows 11 23H2 ausgeliefert und später auf Windows 11 24H2 oder 25H2 angehoben wurden. Der Updatestand selbst war also gewachsen, und genau an dieser Stelle hakte es.

Microsoft hat das Problem mit einem Korrektur-Update behoben: KB5094125, je nach Windows-Version flankiert von KB5094127, KB5093998 oder KB5094126. Wichtig ist, ein gescheitertes Update nicht einfach zu ignorieren — ein Gerät, das eine Aktualisierung verweigert, bleibt bei den darauffolgenden Sicherheits-Updates schnell ganz außen vor.

Genau hier zeigt sich der Wert eines gepflegten Patch-Managements: Ein betreuter Update-Prozess erkennt fehlgeschlagene Installationen, ordnet sie zu und spielt die Korrektur nach — statt dass ein einzelnes Gerät unbemerkt monatelang ungeschützt weiterläuft.

Microsoft 365 Copilot wird fester Tarif

Microsoft macht ab dem 1. Juli 2026 aus „Microsoft 365 Business Standard with Copilot" und „Business Premium with Copilot" dauerhafte Tarife. Die KI-Unterstützung in den Office-Programmen ist damit kein separat zu buchendes Zusatzpaket mehr, sondern fester Bestandteil dieser beiden Business-Pakete. Was diese Umstellung für die Lizenzkosten kleiner Unternehmen bedeutet — und worauf man vor der Buchung achten sollte — beleuchten wir in einem eigenen Beitrag.

Ein Cloud-Gesetz aus Brüssel — vorerst nur ein Vorschlag

Die EU-Kommission hat am 3. Juni 2026 einen Vorschlag für den sogenannten Cloud and AI Development Act (kurz CADA) vorgelegt, Teil eines größeren Pakets zur technologischen Souveränität Europas. Wichtig zur Einordnung: Es handelt sich um einen Vorschlag, nicht um ein beschlossenes Gesetz. Er muss erst das EU-Gesetzgebungsverfahren durchlaufen, bevor daraus geltendes Recht werden könnte.

Inhaltlich zielt der Vorschlag darauf, die Rechenzentrumskapazität in der EU über die kommenden Jahre deutlich auszubauen. Geplant ist außerdem ein einheitlicher Bewertungsrahmen für die Souveränität von Cloud-Diensten mit vier Stufen — von der bloßen Speicherung von Daten innerhalb der EU bis hin zu voller EU-Kontrolle ohne Einflussmöglichkeit aus Drittländern. US-Anbieter wie Amazon Web Services, Microsoft Azure oder Google erfüllen wegen des US-Rechts, insbesondere des CLOUD Act, absehbar nur die unteren Stufen.

Im Fokus steht zunächst die öffentliche Beschaffung, aber nicht ausschließlich: Auch private Unternehmen in besonders kritischen Sektoren — etwa im Umfeld der Sicherheitsrichtlinie NIS2 — könnten die Kriterien anwenden. Für die meisten kleinen Unternehmen entsteht daraus vorerst keine neue Pflicht. Es ist eher ein Signal in Richtung digitaler Souveränität, das vor allem dann relevant wird, wenn Sie einen Cloud-Anbieter neu auswählen oder Behörden beliefern.

Ransomware trifft den Mittelstand härter

Über die Tagesmeldungen hinaus lohnt ein Blick auf das größere Bild. Aktuelle Auswertungen zeigen, dass die Zahl bekannter Opfer von Cyber-Erpressung gegenüber dem Vorjahr um rund 91 Prozent gestiegen ist. Der Schwerpunkt liegt dabei nicht bei Großkonzernen, sondern bei Unternehmen bis 250 Beschäftigten.

Besonders im Visier stehen unternehmensnahe Dienstleister: Sie stellen mit rund 37 Prozent den größten Anteil der bekannten Ransomware-Opfer. Der Grund ist nüchtern: Ein kleiner Zulieferer dient Angreifern als Sprungbrett in die Lieferkette seiner größeren Kunden. Wer Daten oder Zugänge eines Auftraggebers verwaltet, ist deshalb ein attraktives Ziel — unabhängig von der eigenen Größe.

Wie verbreitet das Problem ist, zeigt der Bitkom-Wirtschaftsschutz: Demnach waren binnen zwölf Monaten 34 Prozent der Unternehmen in Deutschland von Ransomware betroffen, und 15 Prozent haben Lösegeld gezahlt. Drei Maßnahmen senken das Risiko spürbar und sind für jeden Betrieb machbar: regelmäßig geprüfte Backups, die Mehr-Faktor-Anmeldung (MFA) für alle wichtigen Zugänge und konsequentes, lückenloses Patchen.

Was diese Woche für KMU zählt

So unterschiedlich die Meldungen wirken, sie laufen auf wenige Grundsätze zusammen. Erstens: Patchen bleibt die wirksamste Einzelmaßnahme — gerade wenn aktiv ausgenutzte Lücken im Spiel sind. Zweitens: Update-Hygiene heißt nicht nur installieren, sondern auch prüfen, ob es geklappt hat, und gescheiterte Updates nachziehen. Drittens: KI hält schrittweise Einzug in alltägliche Bürosoftware — das ist eine Chance, aber eine, die man bewusst und mit Augenmaß einführen sollte statt nebenbei. Und viertens: Die Bedrohungslage richtet sich längst nicht nur gegen die Großen. Gerade kleine Dienstleister sollten sich als Teil einer Lieferkette begreifen, die andere absichern müssen.

Fazit

Keine einzelne Meldung dieser Woche ist ein Grund zur Aufregung. In der Summe zeichnen sie aber ein klares Bild: Sicherheit ist kein einmaliges Projekt, sondern eine laufende Routine — Updates einspielen, prüfen, Lücken schließen, Backups testen. Das ist machbar, kostet aber Aufmerksamkeit und Zeit, die im Tagesgeschäft oft fehlt.

Genau dafür gibt es betreute Sicherheits- und Patch-Management-Dienste. Wir übernehmen die Daueraufgaben im Hintergrund: Wir verfolgen die relevanten Meldungen, sorgen dafür, dass Updates ankommen und geprüft werden, und melden uns, wenn etwas dringend ist. Damit Sie sich auf Ihr Geschäft konzentrieren können — und nicht jeden Patchday selbst im Blick behalten müssen.