News

Microsoft verbannt Antivirensoftware aus dem Kernel – das steckt hinter dem drastischen Schritt

/// Von Kevin Kyburz /// 2 Min. Lesezeit
Microsoft

Microsoft zieht Konsequenzen aus dem CrowdStrike-Debakel: Künftig dürfen Antiviren- und Sicherheitsprogramme keinen direkten Zugriff mehr auf den Windows-Kernel erhalten. Die Massnahme ist Teil der Windows Resiliency Initiative (WRI) – und soll das Betriebssystem nachhaltig stabiler und fehlertoleranter machen.

CrowdStrike war der Auslöser

Der Schritt kommt nicht aus dem Nichts: Im Sommer 2024 hatte ein fehlerhaftes Update des Security-Anbieters CrowdStrike weltweit für Chaos gesorgt. Millionen Windows-Rechner – von Büro-PCs über Kassensysteme bis hin zu Flughafenanzeigen – stürzten ab oder konnten nicht mehr booten. Der Grund: Ein Kernel-Modul aus der Antivirensoftware.

„Solche Systemausfälle darf es in Zukunft nicht mehr geben“, schreibt Microsoft im offiziellen WRI-Blogpost.

Windows wird neu gedacht – Antivirus nur noch im User Mode

Künftig sollen Sicherheitslösungen wie Virenscanner oder Endpunkt-Tools ausschliesslich im User Mode laufen – also wie normale Programme, getrennt vom Herzstück des Systems. Diese neue Architektur wird gerade mit Partnern getestet, darunter:

  • Bitdefender
  • ESET
  • CrowdStrike
  • SentinelOne
  • Trellix
  • Trend Micro
  • WithSecure

Sie erhalten im Juli 2025 Zugriff auf die Vorschauversion der neuen Windows Endpoint Security Plattform.

Microsofts neue Sicherheitsstrategie: MVI 3.0

Unter dem Dach der Microsoft Virus Initiative (MVI) arbeitet Microsoft gemeinsam mit den Partnern an einer umfassenden Sicherheitsstrategie. Zu den neuen Vorgaben gehören:

  • Updates nur in gestaffelten Ringen
  • Live-Monitoring bei Rollouts
  • Verpflichtende Notfallmechanismen bei Problemen

„Updates für Sicherheitsprodukte müssen kontrolliert verteilt und überwacht werden, um Schäden frühzeitig zu erkennen und zurückzurollen“, so Microsoft.

Diese Praxis erinnert stark an Microsofts eigenen „Autopatch“-Ansatz für Windows Updates.

Weitere Neuerungen: Quick Recovery & schwarzer Bluescreen

Zusätzlich testet Microsoft derzeit Quick Machine Recovery (QMR) – ein Mechanismus, der bei Bootproblemen automatisch die Windows Recovery Environment (WinRE) startet. Nutzer:innen sollen so einfacher und schneller aus Systemfehlern herauskommen – ohne manuelle Reparaturen.

Und noch ein Symbol ändert sich: Der legendäre Blue Screen of Death wird schwarz. Microsoft begründet das mit besserer Lesbarkeit und einem neuen Fehler-Design im Rahmen der WRI.

Fazit: Ein mutiger, aber notwendiger Schnitt

Der direkte Zugriff auf den Kernel war jahrzehntelang Standard für AV-Software – doch genau das machte Windows in Krisenfällen verwundbar. Mit der Trennung von Sicherheitssoftware und Betriebssystemkern setzt Microsoft auf eine moderne, fehlertolerante Architektur, die Fehler wie den CrowdStrike-Crash künftig vermeiden soll.