Da staunen einige WIndows-10-Nutzerinnen und -Nutzer nicht schlecht: Ohne Registrierung für den erweiterten Support („Extended Security Updates“, ESU) erhalten sie ein Sicherheitsupdate außer der Reihe angeboten. Es korrigiert ein Problem, das die Einrichtung der ESU auf Privatanwender-Rechnern verhindert.

In den Windows-Release-Health-Notizen erklärt Microsoft das unerwartete Update. Demnach hat Microsoft Fälle entdeckt, bei denen der Einrichtungsprozess für die erweiterten Sicherheitsupdates fehlschlagen kann. Daher wird auf Windows-10-Rechnern mit Endanwender-Lizenzen, auf denen das ESU nicht eingerichtet wurde, nun das Update außer der Reihe angeboten.

Windows-10-Nutzer sollen aktiv werden

Microsoft liefert eine Anleitung mit, wie Betroffene vorgehen sollen. Zunächst müssen sie in den Einstellungen auf der Windows-Update-Seite nach Updates suchen lassen. Die liefert das Out-of-Band-Update KB5071959 zurück. Das sollen Nutzerinnen und Nutzer installieren und im Anschluss den Rechner neu starten.

Nach dem Neustart müssen sie den Extended-Security-Updates-Wizard durchklicken, um das Gerät für das ESU-Programm zu aktivieren. Im Anschluss liefert in den Einstellungen die Suche nach Updates die regulären monatlichen Sicherheitsupdates zum Microsoft Patchday.

Im Support-Beitrag zu dem Update erklärt Microsoft weiter, dass das Update kumulativ ist und die Sicherheitsupdates bis einschließlich dem 14. Oktober 2025 enthält.

Anfang Oktober hatte Microsoft die Registrierung für das ESU-Programm für privat genutzte Windows-10-Installationen schrittweise freigeschaltet. Im Europäischen Wirtschaftsraum ist die Ein-Jahres-Verlängerung abweichend von den ursprünglichen Plänen kostenlos – wobei Kunden dafür ein Microsoft-Konto benötigen, was sich auch als Zahlung mit Daten interpretieren lässt. Für die kommerziell genutzten Windows-10-Versionen sind bis zu drei Jahre erweiterte Sichereitsupdates – natürlich gegen Zahlung – möglich. Dafür hatte Microsoft vor einer Woche Handreichungen für Admins veröffentlicht, welche Voraussetzungen ihre Geräte zu erfüllen haben und wie sie die ESU-Aktivierung vornehmen können.

(dmk)

Derzeit haben Angreifer verschiedene Windows- und Windows-Server-Versionen im Visier und attackieren Systeme. Sicherheitspatches stehen über Windows Update zum Download bereit.

Jetzt patchen!

Die derzeit ausgenutzte Schwachstelle (CVE-2025-62215, Risiko „hoch„) betrifft den Windows-Kernel. In einer Warnmeldung sind die betroffenen Versionen, etwa Windows 10/11 und Windows Server 2025, aufgelistet. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt. Admins sollten ihre Systeme schnellstmöglich absichern.

Sind Angriffe erfolgreich, können sich Angreifer Systemrechte verschaffen. In so einer Postion ist davon auszugehen, dass Computer als vollständig kompromittiert gelten. Wie solche Attacken ablaufen, führt Microsoft zurzeit nicht aus.

Weitere Gefahren

Vier Sicherheitslücken (CVE-2025-60716 „hoch„, CVE-2025-62199 „hoch„, CVE-2025-30398 „hoch„, CVE-2025-62214 „hoch„) stuft Microsoft als kritisch ein. Sie betreffen DirectX, Office, PowerScribe 360 und Visual Studio. Nutzen Angreifer die Lücken erfolgreich aus, können sie unter anderem Schadcode ausführen.

Durch eine „kritische“ Lücke (CVE-2025-60724) in der Grafikkomponente GDI+ kann ebenfalls Schadcode auf Windowssysteme schlüpfen. Weiterhin gibt es noch wichtige Sicherheitsupdates für weitere Windows-Komponenten wie Remote Desktop Services und Smart Card Reader.

Die Schutzfunktion Windows Administrator Protection ist bislang als Vorschau in Windows enthalten, aber schon jetzt wurde eine Sicherheitslücke (CVE-2025-60718 „hoch„) entdeckt. Darüber können sich Angreifer höhere Rechte aneignen.

Alle an diesem Patchday geschlossenen Lücken listet Microsoft in seinem Security Update Guide auf.

Support-Ende für bestimmte WIndows-Builds

Wie aus einem Beitrag hervorgeht, ist der Support für Windows 11 Version 23H2 (Home und Pro) ausgelaufen und diese Ausgaben bekommen ab sofort keine Sicherheitsupdates mehr. An dieser Stelle müssen Admins auf eine noch unterstützte Version upgraden.

Ferner hat Microsoft mit KB5068781 das erste Sicherheitsupdate für Windows 10 mit erweitertem Support veröffentlicht. Zusätzlich gibt es ein Windows-10-Update, das Probleme bei der Einrichtung des erweiterten Supports lösen soll.

(des)

Microsoft hat drei neue Datenschutz-Hilfen für Unternehmen veröffentlicht, die Microsoft 365 und Copilot einsetzen. Das Paket umfasst das M365-Kit mit Mustervorlagen für die DSGVO-Dokumentation, ein aktualisiertes Cloud Compendium sowie anpassbare Vorlagen für Datenschutz-Folgenabschätzungen (DSFA). Das M365-Kit wurde in Abstimmung mit dem Bayerischen Landesamt für Datenschutzaufsicht und dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit entwickelt.

Die neuen Dokumentationshilfen zielen darauf ab, Unternehmen bei der Erfüllung ihrer Rechenschaftspflichten nach der Datenschutz-Grundverordnung zu unterstützen. Besonders beim Einsatz von KI-Diensten wie Microsoft 365 Copilot stehen Verantwortliche vor der Herausforderung, die Datenverarbeitung rechtssicher zu dokumentieren und bei Prüfungen durch Datenschutzaufsichtsbehörden nachweisen zu können.

M365-Kit bietet Mustertexte und Dokumentationsbausteine

Das M365-Kit bildet den Kern der neuen Datenschutz-Hilfen. Es enthält Beispiele und Mustertexte für zentrale Bausteine der Datenschutzdokumentation beim Einsatz von Microsoft 365 Copilot. Konkret stellt Microsoft Vorlagen für Einträge ins Verzeichnis von Verarbeitungstätigkeiten, Schwellwertanalysen zur Prüfung der DSFA-Pflicht, Rechtsgrundlagen für typische Einsatzszenarien sowie Datenschutzhinweise bereit. Die Materialien sind auf der Webseite aka.ms/mit-sicherheit verlinkt und Unternehmen können sie an ihre spezifischen Anforderungen anpassen.

Sebastian Dürdoth, Senior Corporate Counsel bei Microsoft Deutschland, betont: „Durch unsere neuen Materialien haben Unternehmen alle zentralen Bausteine zur Hand, um beispielsweise ihren datenschutzkonformen Umgang mit personenbezogenen Daten beim Einsatz von Microsoft 365 Copilot zu dokumentieren.“ Die Abstimmung mit den Datenschutzbehörden in Bayern und Hessen soll dabei für zusätzliche Rechtssicherheit sorgen.

Als zweite Komponente hat Microsoft das Cloud Compendium umfassend aktualisiert. Das 26-seitige Dokument beantwortet häufig gestellte Fragen zur Nutzung von Cloud-Diensten wie Microsoft 365 Copilot oder Azure und ordnet die Antworten in den gesetzlichen und regulatorischen Rahmen ein. Es verweist auf einzuhaltende Bestimmungen und Standards, sodass Unternehmen auf typische Fragen bei Compliance-Prüfungen vorbereitet sind. Das Compendium steht als PDF zum Download bereit und richtet sich an IT-Verantwortliche und Datenschutzbeauftragte.

DSFA-Vorlagen für verschiedene Einsatzszenarien

Die dritte Säule bilden anpassbare Vorlagen für Datenschutz-Folgenabschätzungen nach Artikel 35 der DSGVO. Microsoft stellt vier separate Musterdokumente bereit: jeweils eine DSFA-Vorlage für Office 365 und Microsoft 365 Copilot, differenziert nach Unternehmenskunden und Kunden des öffentlichen Sektors. Die Vorlagen enthalten strukturierte Informationen zur systematischen Risikobewertung und decken unterschiedliche Anforderungen und Einsatzszenarien ab. Unternehmen können diese als Grundlage verwenden und an ihre spezifische Datenverarbeitung anpassen.

Alle Materialien sind im Microsoft Service Trust Portal zum Download verfügbar. Weitere Informationen finden sich in der Ankündigung von Microsoft.

(fo)