Patchday-Stress, NIS2-Frist verpasst und Microsoft 365 im Fadenkreuz

Die wichtigsten IT- und Sicherheitsthemen der Woche – kompakt und verständlich für kleine und mittlere Unternehmen sowie Privatanwender.

24. April 2026 durch

Jonas Dallmann

Liebe Leserinnen und Leser,

in dieser Woche gab es in der IT-Welt wieder einiges zu tun: Microsoft musste den April-Patchday nachbessern, die NIS2-Registrierungsfrist liegt offiziell hinter uns – und Cyberkriminelle haben Microsoft 365 weiter fest im Visier. Wir haben für Sie zusammengefasst, was Sie wissen müssen und – noch wichtiger – was Sie konkret tun sollten.

Top 1: Windows-Patchday April – ESU läuft, Server stolpern

Der April-Patchday hat es in sich. Microsoft hat für Windows 11 (KB5083769) und für Windows 10 22H2 im ESU-Programm (KB5082200) Sicherheitsupdates veröffentlicht. So weit, so normal – allerdings kam es nach der Installation auf einigen Windows Server-Systemen zu wiederholten, ungeplanten Neustarts, vor allem auf Domain Controllern. Microsoft hat deshalb kurzfristig Out-of-Band-Updates nachgeschoben.

Parallel dazu zeigt die Windows-Sicherheits-App ab dem 8. April erstmals den Status der neuen Secure-Boot-Zertifikate an. Hintergrund: Die ersten Zertifikate von Microsoft laufen im Juni 2026 ab – wer hier nicht handelt, riskiert, dass Geräte nach einem Update nicht mehr starten.

Was bedeutet das für Sie?

Kleine Unternehmen mit eigenem Server: April-Updates erst auf einem Testsystem prüfen, dann ausrollen – und das Out-of-Band-Update nicht vergessen.
Windows 10 nutzen Sie noch? Dann gehört die ESU-Anmeldung jetzt auf den Schreibtisch. Für Privatpersonen kostenlos (mit Microsoft-Konto), für Unternehmen rund 400 € pro Gerät für drei Jahre.
Langfristig führt kein Weg an Windows 11 vorbei – wir empfehlen, die ESU-Phase als Übergangszeit für die Migration zu nutzen.

Top 2: NIS2-Frist abgelaufen – und jetzt?

Am 6. März 2026 endete offiziell die Frist zur NIS2-Registrierung beim BSI. Rund 30.000 Unternehmen in Deutschland sind betroffen – darunter auch viele Mittelständler, die das bisher gar nicht auf dem Schirm hatten. Eine aktuelle Umfrage zeigt: Nur 12 % der Pflichtigen haben die Vorgaben bislang vollständig umgesetzt.

Die Anforderungen sind dabei kein Pappenstiel: Risikomanagement, Meldepflichten bei Sicherheitsvorfällen, regelmäßige Schulungen, dokumentierte Backup- und Recovery-Konzepte. Und die Geschäftsführung haftet persönlich. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes.

Was bedeutet das für Sie?

Prüfen Sie zuerst, ob Sie überhaupt unter NIS2 fallen – Branche, Mitarbeiterzahl und Lieferantenrolle entscheiden.
Falls ja: Registrierung beim BSI nachholen, ein einfaches ISMS aufbauen und Meldewege festlegen.
Auch wer formal nicht betroffen ist, profitiert: Viele Großkunden verlangen NIS2-konforme Lieferanten – das wird zunehmend zum Wettbewerbsfaktor.

Tipp: Das BSI bietet mit dem CyberRisikoCheck ein kostenfreies Werkzeug, mit dem KMU ihren Sicherheitsstand schnell einschätzen können – ein guter Einstieg.

Top 3: Microsoft 365 unter Beschuss – Phishing trickst MFA aus

Die Sicherheitsforscher von Proofpoint warnen vor einer neuen Welle von Phishing-Angriffen, die gezielt den offiziellen Device-Code-Authorization-Prozess von Microsoft missbrauchen. Das Tückische: Die Angreifer nutzen legitime Microsoft-Infrastruktur – viele Schutzmechanismen greifen schlicht nicht.

Noch unangenehmer: Forscher haben eine Funktion in SharePoint Online und OneDrive entdeckt, mit der Ransomware Cloud-Dateien so verschlüsseln kann, dass eine Wiederherstellung ohne Lösegeld – oder sauberes Backup – kaum noch möglich ist. Die Annahme „Cloud = automatisch sicher" ist damit endgültig überholt.

Was bedeutet das für Sie?

Multifaktor-Authentifizierung (MFA) bleibt Pflicht – aber sie reicht nicht mehr allein. Setzen Sie zusätzlich auf Conditional Access (z. B. Geräte- und Standort-Richtlinien).
Mitarbeiter regelmäßig sensibilisieren: Auch echt aussehende Microsoft-Login-Codes können eine Falle sein.
Microsoft 365 unbedingt mit einem unabhängigen Drittanbieter-Backup absichern – Microsoft selbst sichert Ihre Daten nicht im klassischen Sinne.
3-2-1-1-0-Regel beachten: 3 Kopien, 2 Medien, 1 extern, 1 unveränderlich, 0 Fehler beim Recovery-Test.

Quick News der Woche

BSI & BfV warnen vor Signal-Phishing: Aktualisierte Warnung vor gezielten Angriffen über die Messenger-App – vor allem auf Führungskräfte. Verdächtige Kontaktanfragen prüfen, keine Codes weitergeben.
Studie: Nur < 2 % der KMU optimal abgesichert. 83 % der Mittelständler kämpfen mit IT-Fachkräftemangel. Managed Services werden für viele alternativlos.
Cyber-Erpressung boomt weiter: Der „Security Navigator 2026" zeigt: Die Zahl der Erpressungsfälle steigt weltweit – europäische Mittelständler stehen besonders im Fokus (+44 % in 2025).
Office Zero-Day aktiv ausgenutzt: Eine kürzlich bekannt gewordene Lücke in Microsoft Office wird bereits aktiv missbraucht. Updates zeitnah einspielen!
Ransomware-Realität: Laut aktueller Erhebung erhalten 64 % der zahlenden Opfer ihre Daten nicht (vollständig) zurück. Lösegeld zahlen ist also keine Lösung – Prävention ist alles.

💡 Fazit & Empfehlung

Diese Woche zeigt mal wieder: IT-Sicherheit ist kein Projekt, das man einmal abhakt – sie ist Daueraufgabe. Drei Dinge, die Sie jetzt unbedingt tun sollten:

✓ April-Updates auf allen Geräten und Servern installieren – Windows 10 nur noch mit ESU.

✓ NIS2-Status klären und – falls betroffen – die Registrierung umgehend nachholen.

✓ Microsoft 365 absichern mit MFA, Conditional Access und einem externen Backup.

Sie sind sich unsicher, ob Sie betroffen sind oder wie Sie starten sollen? Sprechen Sie uns an – wir prüfen gemeinsam mit Ihnen, wo Sie stehen und welche nächsten Schritte sinnvoll sind.