Microsoft Patch Tuesday 12. Mai 2026

STICHTAG MORGEN: Microsofts Patch Tuesday wirft am 12. Mai 2026, 19:00 Uhr deutscher Zeit, die Mai-Updates ins Update-Center. Was nach Routine klingt, ist diesmal strategisch heikel — denn am 26. Juni 2026 läuft das Secure-Boot-Zertifikat aus, das Microsoft seit 2011 als Vertrauensanker nutzt.

Hinweis: Dieser Beitrag enthält Affiliate-Links (mit * gekennzeichnet). Kaufst du über einen dieser Links, erhalte ich eine kleine Provision — für dich ändert sich der Preis nicht.

UNGLAUBLICH: Das ist der letzte ruhige Patchday

Der Juni-Patchday wird laut Microsoft die Migration auf das neue Secure-Boot-Zertifikat bringen. Wer dort schief abbiegt, sieht beim nächsten Reboot einen UEFI-Sperrbildschirm. Das heißt: Den Mai-Patchday musst du nutzen, um deine Flotte sauber zu kriegen.

Help Net Security-Analyst Chris Goettl schreibt es deutlich: „Mai ist das letzte komfortable Deployment-Fenster vor der Secure-Boot-Frist“. Wer die Tests jetzt nicht durchläuft, wird im Juni zwischen Update und Boot-Crash entscheiden müssen.

SO sieht der Erwartungs-Cocktail aus

Kritische Lücken in der Web-Renderer-Kette: EdgeHTML, MSHTML, Chakra — die üblichen Verdächtigen.
Active-Directory-Härtungen: Microsoft baut weiter an der NetLogon- und Kerberos-Verschärfung.
Exchange Server: CU16 für 2019 und CU2 für SE rollen mit.
.NET Framework: Neue Update-Stacks für die Domain-Controller.
Server 2025 + 2022: Beide bekommen den ersten Schub Secure-Boot-Migrations-Tools.

EXTRA-TIPP: Drei Hebel für deinen Test-Ring

Secure-Boot-Inventur: Mit Get-SecureBootUEFI -Name PK (PowerShell, Admin) prüfst du, welche Maschinen im UEFI Secure Boot überhaupt aktiv haben. Wer noch Legacy-BIOS fährt, hat eh nichts zu befürchten — sollte aber den Migrationsplan auf den Schreibtisch holen.
WSUS-Pilot in zwei Stufen: Zuerst Domain-Controller, dann Member-Server. Nur wer in Ring 1 sauber bootet, kommt in Ring 2. Reicht nicht? Dann am Donnerstag den Hammer ziehen und intern alle Tickets bündeln.
Rollback-Plan: Snapshot oder System-Image vor dem Patch. Bei VMware/Hyper-V/Proxmox ein Klick, bei Bare-Metal ein dokumentierter Stick mit Rescue-Tools.

FAZIT: Patchen ist gut, Vorbereitung ist besser

Der Mai-Patchday ist technisch eher Routine — aber die Konsequenz, ihn schlecht zu testen, wird im Juni schmerzhaft. Wer jetzt seine Pilot-Ringe sauber durchfährt, hat im Juni genug Reserve, um den Secure-Boot-Übergang ohne Schlafentzug hinzulegen. Kalender raus, Mittwoch früh fürs Testing reservieren.

Häufige Fragen

Was passiert, wenn ich den Patch verpasse?

Nichts Akutes — die Mai-Patches alleine sind nicht aktiviert-im-Wild als Massen-Exploit unterwegs. Aber: Du verschenkst das letzte komfortable Testfenster, bevor im Juni die Secure-Boot-Migration kommt. Spätestens dann verpasst du sonst die kritische Vorbereitung.

Bin ich als Privat-Nutzer mit Windows 11 betroffen?

Auch Consumer-Windows bekommt am 12. Mai Updates, allerdings primär Browser- und Defender-Pflichten. Die Secure-Boot-Migration im Juni wird sich auch bei Privaten bemerkbar machen, vor allem auf älteren Notebooks mit Custom-UEFI-Konfigurationen.

Wo finde ich die offizielle Ankündigung?

Microsoft veröffentlicht den Security-Update-Guide unter msrc.microsoft.com am Patch-Tuesday um 19:00 Uhr deutscher Zeit. Help Net Security, BleepingComputer und Krebs on Security fassen die kritischsten CVEs üblicherweise innerhalb einer Stunde zusammen.

Was bedeutet die Secure-Boot-Frist genau?

Das aktuelle Microsoft-UEFI-CA-Zertifikat ist auf rund 15 Jahre ausgelegt und läuft am 26. Juni 2026 ab. Microsoft rollt ein neues Zertifikat über die Patchdays aus — wer das Update vorher fährt, vertraut beim Boot ab Juli dem neuen Anker.

Quellen: aktuelle Berichterstattung von Anbietern, Security-Researcher, Branchen-Magazinen und Fachpresse vom Mai 2026. Stand: 11. Mai 2026.

PATCH-ALARM! Microsoft zündet MORGEN den Mai-Patchday — DEIN Windows-Server steht VOR Secure-Boot-Crash!