Alexander HuberMicrosoft hat am 14. April 2026 das kumulative Sicherheitsupdate KB5086672 für Windows 11 veröffentlicht — und gleichzeitig begonnen, alle ungepatchten Home- und Pro-PCs mit Version 24H2 automatisch auf Version 25H2 zu aktualisieren. Für österreichische Unternehmen bedeutet das: Handlungsbedarf ist jetzt.
Was das April-2026-Update von Windows 11 beinhaltet
Das Update KB5086672 betrifft Windows 11 in den Versionen 24H2 und 25H2. Es enthält wichtige Sicherheits- und Funktionsverbesserungen, die IT-Verantwortliche kennen sollten:
Kerneltreiber-Richtlinie geändert: Microsoft entfernt mit diesem Update die automatische Vertrauensstellung für cross-signierte Treiber. Künftig müssen Treiber entweder WHCP-zertifiziert oder auf der Microsoft-Allowlist stehen. Das bedeutet: Ältere Gerätesoftware, die nur mit einem cross-signierten Treiber läuft, kann nach dem Update Probleme verursachen.
Smart App Control vereinfacht: Bislang war Smart App Control — ein zusätzlicher Schutzlayer gegen unbekannte Anwendungen — nur nach einer Neuinstallation von Windows aktivierbar. Mit dem April-Update lässt sich die Funktion direkt in den Windows-Sicherheitseinstellungen ein- und ausschalten. Für Unternehmen mit Sicherheitsanforderungen ist das ein erheblicher Gewinn.
Erzwungenes Upgrade auf 25H2: Microsoft beginnt ab sofort, mithilfe maschinellen Lernens zu ermitteln, welche Geräte „bereit" sind, und führt das Upgrade automatisch durch. Wer als IT-Administrator sein Netzwerk selbst verwaltet (Managed Devices), ist davon zunächst nicht betroffen — unverwaltete Home- und Pro-Geräte jedoch schon.
Windows 10 ist seit Oktober 2025 abgelaufen — die Konsequenzen treffen jetzt
Für viele Betriebe in Österreich ist das April-Update nicht die eigentliche Neuigkeit: Die war bereits der 14. Oktober 2025, als Microsoft den Support für Windows 10 endgültig einstellte. Laut Microsofts offizieller Support-Seite erhalten Geräte mit Windows 10 seitdem keine Sicherheitsupdates mehr — und damit auch keine Schutzupdates gegen aktuelle Cyberbedrohungen.
Das bedeutet konkret: Jedes Unternehmen in Österreich, das noch Windows 10 einsetzt, betreibt von Beginn an Software ohne Sicherheitspatch-Abdeckung. Für Branchen mit gesetzlichen Datenschutzpflichten — etwa im Gesundheits- oder Finanzbereich — kann das DSGVO-relevante Konsequenzen haben.
Was auf österreichische KMU jetzt zukommt
Kleine und mittlere Unternehmen (KMU) stehen vor einer konkreten Aufgabe: Sie müssen bis spätestens Ende 2026 sicherstellen, dass alle eingesetzten Geräte mit Windows 11 kompatibel sind oder ausgetauscht werden.
Einige Windows-10-Geräte erfüllen nicht die Mindestanforderungen für Windows 11 — insbesondere das Vorhandensein eines TPM-2.0-Chips (Trusted Platform Module). Ohne diesen Chip ist ein Upgrade auf Windows 11 standardmäßig nicht möglich. Ohne eine IT-Bestandsaufnahme ist oft unklar, welche Geräte betroffen sind.
Darüber hinaus gilt zu beachten:
- Legacy-Software: Ältere Branchenprogramme laufen möglicherweise nicht stabil unter Windows 11. Kompatibilitätstests sind vor dem Rollout unerlässlich.
- Treiber-Kompatibilität: Durch die neue Kerneltreiber-Richtlinie des April-Updates können Drucker, Scanner oder spezialisierte Geräte vorübergehend ausfallen.
- IT-Ressourcen: Viele KMU haben keine eigene IT-Abteilung und sind auf externe Dienstleister angewiesen.
Lesen Sie dazu auch unseren Beitrag zur Secure Boot-Problematik unter Windows 2026, der bereits im März auf ein verwandtes Sicherheitsproblem hingewiesen hat.
Welche konkreten Schritte IT-Experten jetzt empfehlen
1. Inventarisierung: Prüfen Sie, welche Geräte TPM 2.0 unterstützen. Das Windows PC Health Check Tool von Microsoft gibt schnell Aufschluss.
2. Kompatibilitätstests: Testen Sie kritische Anwendungen in einer isolierten Testumgebung unter Windows 11 25H2, bevor Sie das Update unternehmensweit ausrollen.
3. Update-Management: Verwenden Sie Windows Server Update Services (WSUS) oder Microsoft Intune, um das erzwungene Upgrade auf 25H2 zu kontrollieren. Managed Devices sind von der automatischen Zwangsmigration ausgenommen.
4. Notfallplan: Legen Sie fest, was im Fall von Treiberproblemen oder Software-Inkompatibilitäten nach dem Update zu tun ist — inklusive Rollback-Strategie.
5. Schulung: Informieren Sie Ihre Mitarbeiterinnen und Mitarbeiter rechtzeitig über Änderungen in der Benutzeroberfläche von Windows 11 25H2, um Unsicherheiten im Arbeitsalltag zu minimieren.
Warum professionelle IT-Unterstützung jetzt sinnvoll ist
Die Kombination aus erzwungenem 25H2-Upgrade, neuer Treiber-Richtlinie und dem monatelang laufenden Windows-10-Supportende schafft für viele Betriebe eine komplexe Ausgangssituation. Fehler bei der Migration können Produktionsausfälle, Datenverluste oder Sicherheitslücken zur Folge haben.
Ein erfahrener IT-Experte oder IT-Dienstleister kann den Migrationsplan unternehmensspezifisch ausarbeiten, die Kompatibilität aller eingesetzten Geräte und Programme prüfen, das Update in einem kontrollierten Rollout umsetzen und im Problemfall schnell reagieren.
Auf Expert Zoom finden Sie qualifizierte IT-Fachleute in Österreich, die Unternehmen bei der Windows-11-Migration begleiten — von der Bestandsaufnahme bis zur vollständigen Implementierung.
DSGVO-Aspekt: Ungepatchte Systeme sind ein Compliance-Risiko
Ein oft übersehener Aspekt des Windows-10-Supportendes: Wer in Österreich personenbezogene Daten verarbeitet — und das tut nahezu jedes Unternehmen — unterliegt den Anforderungen der DSGVO. Artikel 32 der DSGVO verpflichtet Unternehmen, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen.
Der Betrieb eines nicht mehr mit Sicherheitsupdates versorgten Betriebssystems wie Windows 10 könnte von der Datenschutzbehörde (DSB) als Verstoß gegen diese Anforderung gewertet werden — insbesondere dann, wenn durch eine daraus resultierende Sicherheitslücke Daten kompromittiert werden. Im schlimmsten Fall drohen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.
Das bedeutet: Die Windows-11-Migration ist nicht nur eine technische Aufgabe, sondern auch eine rechtliche Compliance-Pflicht.
Was das neue Smart App Control für Sicherheitsbeauftragte bedeutet
Für IT-Sicherheitsbeauftragte in Unternehmen bringt das April-Update eine konkrete Verbesserung: Smart App Control lässt sich nun ohne Neuinstallation aktivieren. Die Funktion blockiert automatisch das Ausführen unbekannter und potenziell schädlicher Anwendungen — ein zusätzlicher Schutzwall gegen Ransomware und Trojaner.
In Kombination mit der neuen Kerneltreiber-Richtlinie schafft Microsoft damit eine deutlich gehärtete Sicherheitsarchitektur. Für österreichische Unternehmen, die ohnehin Sicherheits-Standards wie ISO 27001 oder die NIS2-Richtlinie erfüllen müssen, ist das eine wichtige Entwicklung.
Wenn Sie unsicher sind, wie das Windows-11-Update Ihre IT-Infrastruktur beeinflusst, empfiehlt sich eine professionelle IT-Erstberatung bei einem Experten auf Expert Zoom.
