Ein aktuelles kumulatives Windows-Update führt bei zahlreichen Unternehmenssystemen zu einem sicherheitsbedingten Eingriff in den Startvorgang: Anwenderinnen und Anwender werden beim Booten plötzlich zur Eingabe des BitLocker-Wiederherstellungsschlüssels aufgefordert – auch auf zuvor stabil laufenden Endgeräten. In diesem Beitrag erfahren Sie, welche Systeme konkret betroffen sind, welche Ursachen vorliegen und welche Maßnahmen Sie jetzt ergreifen sollten.

Hintergrund der Problematik

Nach der Installation des kumulativen Updates KB5058379 (veröffentlicht am 14. Mai 2025) für Windows 10 Version 22H2 kann es auf bestimmten Geräten dazu kommen, dass BitLocker beim Systemstart unerwartet den Wiederherstellungsschlüssel verlangt. Dieses Verhalten betrifft insbesondere Geräte mit bestimmten Intel-Prozessorfunktionen.

Bestätigte technische Ursache

Microsoft hat das Problem offiziell dokumentiert und führt folgende Ursache an:

• Betroffen sind Systeme mit Intel-Prozessoren der vPro-Reihe (10. Generation oder neuer), auf denen die Intel Trusted Execution Technology (Intel TXT) aktiviert ist.
• Das Update kann dazu führen, dass der Prozess lsass.exe während des Startvorgangs unerwartet beendet wird. Dies triggert eine automatische Startreparatur.
• Bei aktivierter BitLocker-Laufwerksverschlüsselung führt die Reparaturumgebung zu einer Wiederherstellungsanforderung – selbst wenn keine bewusste Systemänderung vorgenommen wurde.

Bekannte Fehlerbilder:

1. Wiederholte Installationsversuche, bevor die Startreparatur das System auf das vorherige Update zurücksetzt.
2. Fehlgeschlagene Startreparatur mit Neustart-Loop und BitLocker-Abfrage.

Quelle: Microsoft Learn – Known Issues zu Windows 10 Version 22H2

Betroffene Systeme

• Windows 10 Pro und Enterprise (Version 22H2)
• Geräte mit aktivierter BitLocker-Laufwerksverschlüsselung
• Intel vPro-Prozessoren ab der 10. Generation
• Aktivierte Intel TXT-Funktion im BIOS
• TPM 2.0 und Secure Boot aktiv
• Azure AD- oder Intune-verwaltete Endgeräte
• Windows 365 Cloud-PCs mit entsprechender Hardware

Handlungsempfehlungen für IT-Abteilungen

1. Aussetzung des Updates bis zur Fehlerbehebung

Microsoft arbeitet an einem außerplanmäßigen Update, das zeitnah über den Microsoft Update-Katalog bereitgestellt werden soll. Bis dahin wird empfohlen:

• KB5058379 nicht produktiv bereitzustellen
• Intune: Qualitätsupdates über Zurückstellung verzögern
• WSUS / SCCM: Updatebereitstellung blockieren
• Autopatch: Rollout-Steuerung temporär aussetzen

👉 Weiterführende Informationen zum Patch-Management finden Sie hier:
Windows-Patching im Vergleich – Welche Lösung passt zu Ihrem Unternehmen?

2. Sicherstellung des BitLocker-Wiederherstellungsschlüssels

• Azure AD / Microsoft-Konto: https://account.microsoft.com/devices/recoverykey
• Intune: Endpoint Manager → Devices → [Gerät] → Recovery keys
• Active Directory: AD-Benutzer und -Computer → Computerobjekt → „BitLocker-Wiederherstellung“

3. Absicherung künftiger Update-Rollouts

• Geräte vor Updates in Pilotgruppen testen
• BitLocker-Schutz bei Firmware-/Boot-Änderungen vorübergehend deaktivieren:

manage-bde -protectors -disable C: -RebootCount 1

Risiken bei unzureichender Vorbereitung

Ein fehlender oder nicht verwalteter Wiederherstellungsschlüssel kann im Ernstfall zu erheblichen Betriebsunterbrechungen und Datenverlusten führen – besonders bei mobilen oder remote genutzten Geräten. Zentrales Schlüsselmanagement und vorsichtige Updateplanung sind daher unverzichtbar.

Fazit

Microsoft hat die Problematik mit Update KB5058379 bestätigt. Unternehmen sollten auf die Bereitstellung eines Fixes warten, betroffene Systeme identifizieren und Prozesse rund um BitLocker und Update-Verwaltung überprüfen und optimieren. Strukturierte Rollouts und zentrales Recovery-Management schützen vor Ausfällen.