YellowKey-Exploit: Neue Sicherheitslücke umgeht BitLocker-Verschlüsselung

Sicherheitsforscher haben eine schwerwiegende Zero-Day-Lücke in Windows 11 entdeckt, die den standardmäßigen BitLocker-Schutz vollständig aushebeln kann. Der als „YellowKey“ bekannte Exploit wurde Mitte Mai 2026 veröffentlicht und stellt ein erhebliches Risiko für Geräte dar, die auf die Standard-Sicherheitskonfiguration setzen. Die Entwicklung kommt zu einem denkbar ungünstigen Zeitpunkt für Microsoft: Der Konzern steht gleichzeitig vor einer großen Regulierungsuntersuchung in Großbritannien und rollt einen massiven Patch-Zyklus für sein Betriebssystem aus.

Anzeige

Angesichts immer neuer Sicherheitslücken wie YellowKey fragen sich viele Nutzer, ob ihr System überhaupt noch sicher ist. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Windows 11-Probleme wie Update-Fehler und Sicherheitsrisiken ohne teure IT-Hilfe selbst in den Griff bekommen. Kostenlosen Windows 11 Hilfe-Report jetzt herunterladen

So funktioniert der Angriff

Der YellowKey-Exploit zielt gezielt auf die Art und Weise ab, wie Windows 11 verschlüsselte Laufwerke bei physischem Zugriff behandelt. Die Methode kann die standardmäßige BitLocker-Sicherung innerhalb von Sekunden überwinden und Unbefugten vollständigen Zugriff auf verschlüsselte Daten gewähren. Die Schwachstelle offenbart eine anhaltende Schwäche von Systemen, die ausschließlich auf das Trusted Platform Module (TPM) setzen – ohne zusätzliche Authentifizierung wie eine PIN oder einen Startschlüssel.

Die Sicherheitslücke nutzt Transactional NTFS (FsTx) aus, um die Verschlüsselungsprotokolle von Windows 11 zu umgehen. Betroffen ist vor allem die TPM-only-Konfiguration, die werkseitig auf vielen Consumer- und Business-Laptops eingestellt ist. Microsofts Sicherheitsteams arbeiten derzeit an einer Untersuchung des Vorfalls.

BitLocker-Lücken: Ein wiederkehrendes ProblemLesen Sie auch:Microsoft 365: KI-Offensive mit Multi-Modell-Strategie und Sicherheitsupdate

Dies ist nicht der erste Vorfall dieser Art. Bereits im Sommer 2025 zeigte ein als „BitUnlocker“ bekanntes Tool, wie sich eine Schwachstelle im Microsoft Windows PCA 2011-Zertifikat (CVE-2025-48804) ausnutzen ließ. Auch damals waren TPM-only-Setups das Ziel. Sicherheitsexperten betonen: Systeme, die beim Start eine PIN verlangen, bleiben gegen diese spezifischen physischen Angriffsmethoden geschützt.

Mai-Patchday: 120 Sicherheitsupdates und zwei kritische Lücken

Der YellowKey-Exploit tauchte parallel zum Mai-2026-Patchday auf, bei dem Microsoft rund 120 Sicherheitskorrekturen veröffentlichte. Das Mai-Update enthielt zunächst keinen Fix für YellowKey, schloss jedoch andere kritische Lücken. Zwei Schwachstellen erhielten die Höchstbewertung von 9,8 auf dem CVSS-Score:

CVE-2026-41096: Ein Heap-Buffer-Overflow im Windows-DNS-Client, der nahezu alle Windows-Geräte betrifft CVE-2026-41089: Ein Stack-Buffer-Overflow im Netlogon-Dienst – potenziell wurmfähig, also ohne Benutzereingriff über Netzwerke verbreitbar

Microsoft hat Administratoren dringend empfohlen, zuerst die Domain-Controller zu patchen, bevor sie sich den allgemeinen Windows-Arbeitsstationen zuwenden.

Das Mai-Update (KB5087544) führte zudem Änderungen am Secure Boot ein, darunter gezielte Zertifikatsauslieferung und dynamische Statusberichte. Einige Nutzer berichteten jedoch von einem bekannten Problem: BitLocker fordert nach der Installation des Updates unter Umständen einen Wiederherstellungsschlüssel an – eine zusätzliche Herausforderung für IT-Abteilungen mit großen Geräteflotten.

KI-gestützte Sicherheit: MDASH entdeckt 16 Schwachstellen

Microsoft hat ein neues Multi-Agenten-Sicherheitssystem namens MDASH vorgestellt, das sich derzeit in der privaten Vorschau befindet. Das System hat bereits vor dem Mai-Patchday 16 Windows-Schwachstellen aufgespürt – darunter vier kritische Remote-Code-Execution-Lücken im TCP/IP-Stack, IKEv2, dem Authentifizierungsprozess und dem Windows-Kernel. In Branchentests erreichte MDASH eine Erfolgsquote von über 88 Prozent. Ein deutlicher Hinweis darauf, dass Microsoft auf KI-gesteuerte Erkennung setzt.

Cloud-Initiated Driver Recovery: Weniger Bluescreens ab September

Parallel arbeitet Microsoft an der Cloud-Initiated Driver Recovery (CIDR) – einer Funktion, die ab September 2026 ausgerollt werden soll. CIDR erlaubt es Windows Update, problematische Treiber automatisch auf eine bekannte stabile Version zurückzusetzen – ohne Eingriff des Nutzers oder des Herstellers. Die Initiative ist Teil der breiter angelegten Driver Quality Initiative (DQI) und zielt darauf ab, Systemabstürze durch fehlerhafte Treiber-Updates zu reduzieren.

Das System greift automatisch, wenn Microsofts interne Überwachung einen Treiber als instabil identifiziert. Es gilt jedoch nur für Treiber, die über den offiziellen Windows-Update-Kanal verteilt werden. Manuell installierte Treiber – etwa für High-End-Grafikkarten – bleiben außen vor.

Britische Wettbewerbsbehörde nimmt Microsoft ins Visier

Während Microsoft technische Sicherheitsprobleme löst, wächst der regulatorische Druck. Am 14. Mai 2026 leitete die britische Wettbewerbs- und Marktaufsichtsbehörde (CMA) eine formelle Untersuchung des Microsoft-Geschäftssoftware-Ökosystems ein. Im Fokus: die Bündelung von Windows, Office, Teams und dem Copilot-KI-Assistenten sowie die aktuellen Cloud-Lizenzierungspraktiken.

Die CMA prüft, ob Microsoft der Strategic Market Status (SMS) zugewiesen werden sollte – eine Einstufung, die strengere Auflagen mit sich brächte. Untersucht werden mögliche Hürden beim Wechsel zwischen Softwareanbietern sowie die Interoperabilität von Microsoft-Produkten mit Drittanbieter-Diensten. Mit über 15 Millionen gewerblichen Nutzern in Großbritannien und einem vierteljährlichen Produktivitätsumsatz von rund 35 Milliarden Euro könnte das Ergebnis weitreichende Folgen für die europäische Softwarelandschaft haben. Eine endgültige Entscheidung der CMA wird für Februar 2027 erwartet.

Windows 11 wird schneller: WinUI 3 statt Web-Frameworks

Microsoft treibt zudem die Rückkehr zu nativen UI-Elementen voran. Der Konzern setzt künftig auf WinUI 3 für Kernanwendungen und entfernt sich von Web-basierten Frameworks. Erste Ergebnisse sind vielversprechend: Der Datei-Explorer in nativem Code zeigt eine Reduzierung der Speicherzuweisungen um 41 Prozent und eine Verkürzung der UI-Ausführungszeit um 25 Prozent. Sogar das Startmenü wird von einer React-basierten Struktur auf natives WinUI 3 umgestellt – für ein reaktionsschnelleres Nutzererlebnis.

Ausblick: Passwortlos in die Zukunft

Der YellowKey-Exploit ist eine ernüchternde Erinnerung daran, dass physischer Zugriff eine der größten Bedrohungen für die digitale Sicherheit bleibt. Während Microsoft an einer Lösung für diese Zero-Day-Lücke arbeitet, treibt der Konzern die passwortlose Authentifizierung voran. Seit Herbst 2021 können Nutzer traditionelle Passwörter durch Windows Hello, biometrische Daten oder Sicherheitsschlüssel ersetzen. Interne Daten zeigen: Nahezu alle Microsoft-Mitarbeiter sind inzwischen auf passwortlose Konten umgestiegen.

Anzeige

Allein in Deutschland werden pro Quartal rund 4,7 Millionen Online-Konten gehackt, oft weil Passwörter nicht mehr ausreichen. Erfahren Sie in diesem kostenlosen Report, wie die neue Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Microsoft wirksam absichert. Anleitung für passwortlose Sicherheit gratis anfordern

Ab Juni 2026 wird die unternehmensweite Verwaltung von Passkey-Zustimmungen allgemein verfügbar sein. IT-Administratoren können dann besser kontrollieren, wie Apps auf biometrische Daten und PINs zugreifen. Der Fokus bleibt jedoch auf der unmittelbaren Bedrohung: dem Schutz vor physischen Exploits wie YellowKey und der Schließung kritischer Netzwerkschwachstellen, bevor sie ausgenutzt werden können.