Windows-Update KB5089549 scheitert mit Fehler 0x800f0922

Ein Sicherheitsupdate, das sich nicht installieren lässt

Am 12. Mai 2026 hat Microsoft das monatliche Sicherheitsupdate KB5089549 für Windows 11 veröffentlicht — und auf einem Teil der Geräte scheitert es. Die Installation läuft zunächst durch, bricht dann beim Neustart bei rund 35 Prozent ab und macht sich anschließend selbst wieder rückgängig. Zurück bleibt die Fehlermeldung 0x800f0922. Microsoft hat das Problem bestätigt.

Betroffen sind Windows 11 in den Versionen 24H2 und 25H2. Was nach einem technischen Detail klingt, hat eine unangenehme Konsequenz: Ein Sicherheitsupdate, das nicht durchläuft, lässt die Lücke offen, die es schließen sollte.

Was dahintersteckt

Die Ursache ist überraschend banal: zu wenig freier Speicher in einer kleinen, versteckten Partition namens EFI-Systempartition (ESP). Diese Partition steuert den Startvorgang des Rechners und ist meist nur wenige hundert Megabyte groß. Geräte, auf denen dort 10 Megabyte oder weniger frei sind, scheitern am wahrscheinlichsten.

Besonders betroffen sind Rechner, die über Jahre von Windows-Version zu Windows-Version durchgereicht wurden. Bei ihnen ist diese Partition oft randvoll — ein Altlast-Problem, das im normalen Betrieb nie auffällt, bis ein Update daran scheitert.

Warum das mehr ist als ein Ärgernis

Ein fehlgeschlagenes Update fühlt sich oft harmlos an — der Rechner läuft ja weiter. Genau darin liegt die Gefahr: Das Gerät meldet sich nach dem Rollback als funktionsfähig zurück, die enthaltenen Sicherheitskorrekturen fehlen aber. Auf den ersten Blick ist alles in Ordnung, tatsächlich bleibt eine Lücke offen.

Hinzu kommen weitere gemeldete Probleme rund um dieses Update: vereinzelt langsameres Internet nach der Installation, Einfrieren des Systems, erhöhter Arbeitsspeicherverbrauch im Leerlauf und Konflikte mit bestimmten Grafiktreibern. Und der Zeitpunkt ist heikel: Ab Juni 2026 laufen die Secure-Boot-Zertifikate vieler Windows-Geräte aus — ein weiteres Update, das sich kein Unternehmen sparen kann.

Wie sich das Problem lösen lässt

Es gibt mehrere Wege, und keiner davon gehört in die Hände eines unerfahrenen Anwenders:

• Automatische Rücknahme durch Microsoft (Known Issue Rollback): Microsoft verteilt eine Korrektur, die das Problem entschärft. Auf privaten und nicht zentral verwalteten Geräten greift sie automatisch. Auf zentral verwalteten Firmengeräten — also solchen in einer Domäne oder unter einer Geräteverwaltung — muss die entsprechende Richtlinie aktiv ausgerollt werden.
• Platz in der Startpartition schaffen: Über eine Anpassung in der Windows-Registry lässt sich der Speicherbedarf des Updates in der EFI-Partition reduzieren, anschließend gelingt die Installation. Das ist ein Eingriff für Administratoren, kein Klick für den Endnutzer.
• Neustart und erneuter Versuch: In manchen Fällen genügt ein sauberer Neustart, bevor das Update erneut angestoßen wird.

Eine endgültige Lösung will Microsoft mit einem kommenden Windows-Update nachliefern.

Was das für Ihr Unternehmen heißt

Der eigentliche Lehrwert dieses Falls liegt nicht in der Registry-Anpassung, sondern in der Frage: Wer bemerkt überhaupt, dass ein Update auf einem Ihrer Rechner nicht durchgelaufen ist?

Ohne zentrales Patch-Management ist die ehrliche Antwort meist: niemand. Das Gerät rollt das Update still zurück, der Mitarbeiter merkt nichts, und in der Windows-Update-Anzeige steht womöglich weiterhin „auf dem neuesten Stand". Die Sicherheitslücke bleibt offen, ohne dass es jemand weiß.

Mit professionellem Patch-Management über ein Fernwartungssystem (RMM) sieht das anders aus: Fehlgeschlagene Installationen werden zentral erkannt, die Ursache — hier die volle Startpartition — gezielt behoben, die Korrektur-Richtlinie an alle betroffenen Geräte verteilt, und am Monatsende steht in einem Bericht, welcher Rechner welchen Patch-Stand hat. Das ist die IT-Abteilung, ohne sie selbst aufbauen zu müssen.

Unsere Einschätzung

Updates, die laut scheitern, sind selten das Problem — die fallen auf und werden behoben. Gefährlich sind die, die still scheitern: Das Gerät meldet sich gesund, während die Lücke offen bleibt. Genau deshalb besteht der Wert von Patch-Management nicht darin, Updates einzuspielen — das macht Windows von allein. Er besteht darin, zu wissen, welche Updates eben nicht angekommen sind. Dieser eine Fehlercode auf ein paar Rechnern ist ein guter Anlass, sich zu fragen, ob Sie diesen Überblick heute tatsächlich haben.