Microsoft zieht Konsequenzen aus dem CrowdStrike-Debakel: Künftig dürfen Antiviren- und Sicherheitsprogramme keinen direkten Zugriff mehr auf den Windows-Kernel erhalten. Die Massnahme ist Teil der Windows Resiliency Initiative (WRI) – und soll das Betriebssystem nachhaltig stabiler und fehlertoleranter machen.
CrowdStrike war der Auslöser
Der Schritt kommt nicht aus dem Nichts: Im Sommer 2024 hatte ein fehlerhaftes Update des Security-Anbieters CrowdStrike weltweit für Chaos gesorgt. Millionen Windows-Rechner – von Büro-PCs über Kassensysteme bis hin zu Flughafenanzeigen – stürzten ab oder konnten nicht mehr booten. Der Grund: Ein Kernel-Modul aus der Antivirensoftware.
„Solche Systemausfälle darf es in Zukunft nicht mehr geben“, schreibt Microsoft im offiziellen WRI-Blogpost.
Windows wird neu gedacht – Antivirus nur noch im User Mode
Künftig sollen Sicherheitslösungen wie Virenscanner oder Endpunkt-Tools ausschliesslich im User Mode laufen – also wie normale Programme, getrennt vom Herzstück des Systems. Diese neue Architektur wird gerade mit Partnern getestet, darunter:
- Bitdefender
- ESET
- CrowdStrike
- SentinelOne
- Trellix
- Trend Micro
- WithSecure
Sie erhalten im Juli 2025 Zugriff auf die Vorschauversion der neuen Windows Endpoint Security Plattform.
Microsofts neue Sicherheitsstrategie: MVI 3.0
Unter dem Dach der Microsoft Virus Initiative (MVI) arbeitet Microsoft gemeinsam mit den Partnern an einer umfassenden Sicherheitsstrategie. Zu den neuen Vorgaben gehören:
- Updates nur in gestaffelten Ringen
- Live-Monitoring bei Rollouts
- Verpflichtende Notfallmechanismen bei Problemen
„Updates für Sicherheitsprodukte müssen kontrolliert verteilt und überwacht werden, um Schäden frühzeitig zu erkennen und zurückzurollen“, so Microsoft.
Diese Praxis erinnert stark an Microsofts eigenen „Autopatch“-Ansatz für Windows Updates.
Weitere Neuerungen: Quick Recovery & schwarzer Bluescreen
Zusätzlich testet Microsoft derzeit Quick Machine Recovery (QMR) – ein Mechanismus, der bei Bootproblemen automatisch die Windows Recovery Environment (WinRE) startet. Nutzer:innen sollen so einfacher und schneller aus Systemfehlern herauskommen – ohne manuelle Reparaturen.
Und noch ein Symbol ändert sich: Der legendäre Blue Screen of Death wird schwarz. Microsoft begründet das mit besserer Lesbarkeit und einem neuen Fehler-Design im Rahmen der WRI.
Fazit: Ein mutiger, aber notwendiger Schnitt
Der direkte Zugriff auf den Kernel war jahrzehntelang Standard für AV-Software – doch genau das machte Windows in Krisenfällen verwundbar. Mit der Trennung von Sicherheitssoftware und Betriebssystemkern setzt Microsoft auf eine moderne, fehlertolerante Architektur, die Fehler wie den CrowdStrike-Crash künftig vermeiden soll.
