Microsoft hat am größten Patchday seiner Geschichte 622 Sicherheitslücken geschlossen — und führt den Sprung auf KI-gestützte Schwachstellensuche im eigenen Code zurück. Was Microsoft gerade an sich selbst vorführt, werden Dritte bald an Ihren Produkten tun. Und ab dem 11. September 2026 greift dafür die Meldepflicht des Cyber Resilience Act.
Microsoft hat am 14. Juli den größten Patchday seiner Firmengeschichte ausgeliefert: 622 geschlossene Schwachstellen, rund das Dreifache des Vormonats. Zwei Lücken greifen Angreifer bereits aktiv an: CVE-2026-56155 in den Active Directory Federation Services und CVE-2026-56164 im SharePoint Server. Den Grund für den Rekord hatte Microsoft fünf Tage zuvor selbst genannt: KI beschleunigt die Schwachstellensuche im eigenen Code massiv. Dahinter steht MDASH, ein agentisches Scanning-System, das über 100 spezialisierte KI-Agenten orchestriert, um Fehler zu finden, gegeneinander zu prüfen und zu beweisen.
Der Rekord ist kein Microsoft-Problem, sondern ein Vorbote. Wer Firmware oder Steuerungssoftware ausliefert – Sensorik, Gateways, Antriebe, Messtechnik, IoT-Module – betreibt denselben gewachsenen Code-Bestand, den KI-Scanner heute in Stunden durchsuchen. Was Microsoft gerade an sich selbst vorführt, werden Dritte an Ihren Produkten tun: Forscher, Kunden, Angreifer. Und die Uhr läuft bereits: Ab dem 11. September 2026 greift die Meldepflicht des Cyber Resilience Act – aktiv ausgenutzte Schwachstellen binnen 24 Stunden als Frühwarnung an ENISA und das zuständige CSIRT, Vollmeldung nach 72 Stunden, Abschlussbericht 14 Tage nach Verfügbarkeit der Korrektur. Sie gilt für den gesamten aktiven Produktkatalog, auch für Geräte, die vor Jahren ausgeliefert wurden. Wer nicht weiß, welche Softwarekomponenten in seinen Produkten stecken, kann diese Frist nicht halten.
Dieselbe Technik, die Microsofts Patchday auf Rekordniveau treibt, steht Ihnen offen. KI-gestützte Audits lesen Firmware-Release-Notes, Bibliotheks-Listen und Datenblätter in Minuten und gleichen sie gegen bekannte Schwachstellen ab. Agentische Werkzeuge übernehmen die Vorsortierung, die bisher einen Spezialisten gebunden hat: Welche Komponente ist betroffen, welches Produkt liegt beim Kunden, greift die Meldepflicht? Damit wird aus einer 24-Stunden-Frist eine handhabbare Aufgabe statt einer Krise.
Die Angst, im Ernstfall die Meldefrist zu reißen, bleibt. Der Engpass zwischen Fund und Bewertung wird nicht gelöst, die Blockade im Produktkatalog bleibt bestehen, wenn KI nicht eingesetzt wird.
Ihre KI-Toolbox für diese Nachricht
Eine Schwachstellenmeldung blitzschnell darauf prüfen, ob das eigene Produktportfolio betroffen ist und ob die CRA-Meldepflicht greift.
Agiere als Product Security Officer eines europäischen Elektronikherstellers. Ich übergebe dir am Ende dieses Prompts eine aktuelle Sicherheitsmeldung. Bewerte sie ausschließlich im Hinblick auf unser eigenes Produktportfolio und die Meldepflicht nach Artikel 14 der EU-Verordnung 2024/2847 (Cyber Resilience Act), die ab dem 11. September 2026 gilt.
Unser Produktportfolio umfasst: [Ihr Produktportfolio]
Beantworte mir folgende Fragen kurz und präzise in Bulletpoints:
a. Betrifft die Meldung eine Komponente, die in unseren Produkten stecken könnte? Wenn ja, welche und mit welcher Begründung?
b. Läge hier eine aktiv ausgenutzte Schwachstelle in unserem Produkt vor – oder nur ein theoretisches Risiko? Begründe die Unterscheidung.
c. Welche zwei Schritte müsste unser Produktmanagement in den nächsten 24 Stunden einleiten?
d. Kennzeichne alles, was du nicht aus der Meldung belegen kannst, ausdrücklich als Annahme.
Hier ist die zu analysierende Meldung:
Microsoft hat am 14. Juli 2026 am größten Patchday seiner Geschichte 622 Schwachstellen geschlossen, darunter zwei bereits aktiv ausgenutzte Zero-Days in Active Directory Federation Services und SharePoint Server. Den Anstieg führt Microsoft auf KI-gestützte Schwachstellensuche im eigenen Code zurück.
Einen eigenen kleinen „Agenten“ – Custom GPT oder systemgesteuerten Chat – aufsetzen, der Bibliotheks- und Komponentenlisten Ihrer Firmware auf Schwachstellen-Exposition und CRA-Reife prüft.
Du bist ein spezialisierter KI-Agent für Produktsicherheit in der Elektronikindustrie. Deine Aufgabe ist es, Software-Stücklisten (SBOM), Komponentenlisten und Firmware-Release-Notes zu analysieren, die ich dir hochlade. Halte dich bei jeder Analyse streng an diese Struktur: a. Bestandsaufnahme: Welche Fremdkomponenten, Bibliotheken und Betriebssystem-Anteile sind erkennbar, in welchen Versionen? b. Expositions-Check: Welche davon sind erfahrungsgemäß häufig von Schwachstellen betroffen (z. B. Netzwerk-Stacks, Krypto-Bibliotheken, Web-Interfaces, Update-Mechanismen)? c. CRA-Reife: Welche Angaben fehlen, um Artikel 14 der Verordnung (EU) 2024/2847 ab dem 11. September 2026 bedienen zu können – etwa Versionsstände, Support-Zeitraum, Verantwortlicher? d. Blinde Flecken: Wo ist die Liste erkennbar unvollständig? e. Nenne keine konkreten CVE-Nummern aus dem Gedächtnis. Verweise stattdessen darauf, welche Komponenten gegen NVD, EUVD oder den CISA-KEV-Katalog abgeglichen werden müssen. f. Antworte immer in technischem, professionellem Deutsch.
Quellen: Microsoft, Windows Experience Blog, 9.7.2026 · Microsoft Security Blog (MDASH), 12.5.2026 · Microsoft Security Update Guide, 14.7.2026 · BSI, Cyber Resilience Act · CrowdStrike, Patch-Tuesday-Analyse Juli 2026 · heise online, „Microsoft-Patchday: Neuer Rekord mit 622 gefixten Schwachstellen“, 15.7.2026.
Ihr Otee