Die jüngsten Windows-Updates: Was sie für Arztpraxen bedeuten

Inhalt
- Windows 10 ist seit dem 14. Oktober 2025 ohne reguläre Sicherheitsupdates
- Windows 11: Auch hier läuft eine Uhr
- Der Patchday im Juni 2026: ernst zu nehmen
- Updates, die Praxis-Software ausbremsen können
- Nicht verwechseln: Windows-Update ist nicht die TI-Umstellung
- Was das rechtlich bedeutet
- Was eine Praxis jetzt tun sollte
In den letzten Monaten ist auf den Windows-Systemen vieler Praxen mehr passiert als der gewohnte Klick auf „Jetzt neu starten“. Zwei Dinge fallen zusammen: Windows 10 hat sein Support-Ende erreicht, und bei Windows 11 hat der Patchday im Juni 2026 sicherheitskritische Lücken geschlossen, zugleich aber Nebenwirkungen, die direkt in den Praxisalltag durchschlagen. Hier die nüchterne Einordnung, was für Arztpraxen zählt.
Windows 10 ist seit dem 14. Oktober 2025 ohne reguläre Sicherheitsupdates
Microsoft hat den Support für Windows 10 am 14.10.2025 eingestellt. Die Rechner laufen weiter, erhalten ohne das ESU-Programm aber keine Sicherheits-, Funktions- oder Qualitätsupdates mehr. Das BSI warnt ausdrücklich vor der Weiternutzung; ein Betriebssystem ohne Sicherheitsupdates öffnet Angreifern Tür und Tor.
Für Praxen als Betriebe ist der vorgesehene Übergangspfad das kommerzielle ESU-Programm (Extended Security Updates): 61 USD pro Gerät im ersten Jahr, danach jährlich verdoppelt (122, dann 244 USD), maximal drei Jahre bis Oktober 2028, Voraussetzung ist Windows 10 Version 22H2. ESU liefert nur als kritisch oder wichtig eingestufte Sicherheitsupdates, keine Bugfixes und keinen technischen Support. Das im Europäischen Wirtschaftsraum kostenlose Consumer-ESU (verlängert bis 12.10.2027) ist für private Geräte gedacht, nicht für domänen- oder organisatorisch verwaltete Praxis-PCs. Einzig die Microsoft-365-Apps werden auf Windows 10 noch bis zum 10.10.2028 mit Sicherheitsupdates versorgt.
ESU ist eine Brücke, kein Ersatz für die Migration. Ein Betriebssystem ohne reguläre Herstellerupdates erfüllt weder den Stand der Technik noch die Patch-Anforderungen der KBV-IT-Sicherheitsrichtlinie (dazu unten).
Windows 11: Auch hier läuft eine Uhr
Wer bereits migriert hat, ist nicht automatisch dauerhaft auf der sicheren Seite. Windows 11 Version 24H2 (Home/Pro) erreicht ihr Support-Ende am 13.10.2026. Der Wechsel auf 25H2 ist unkompliziert: gleiche Code-Basis, Installation per Enablement-Package, ein Neustart. 25H2 entfernt allerdings PowerShell 2.0 und WMIC (WMIC lässt sich noch als optionales Feature nachinstallieren, PowerShell 2.0 nicht). Das betrifft ältere Geräte- oder Praxisskripte, die im Hintergrund noch darauf zugreifen.
Der Patchday im Juni 2026: ernst zu nehmen
Es war der bislang größte Patchday: Über alle Microsoft-Produkte hinweg wurden im Juni 2026 rund 198 Schwachstellen geschlossen. Für Windows 11 lieferte das kumulative Update KB5094126 vom 09.06.2026 die Korrekturen aus. Darunter ist CVE-2026-47291, eine Lücke im HTTP.sys-Treiber mit CVSS-Wert 9.8, die sich ohne Nutzerinteraktion aus der Ferne ausnutzen lässt. Solche Updates gehören zeitnah eingespielt. Zwischen Juni und Oktober 2026 laufen zudem die Secure-Boot-Zertifikate von 2011 gestaffelt aus; ohne das Update auf die 2023er-Zertifikate über Windows Update verlieren Geräte die Fähigkeit, künftige boot-bezogene Sicherheitspatches zu verifizieren. Den Status finden Sie in der Windows-Sicherheits-App unter „Gerätesicherheit“ und „Sicherer Start“.
Updates, die Praxis-Software ausbremsen können
Ein Sicherheitspatch kann Arbeitsabläufe stören. Mehrere dokumentierte Probleme sind praxisrelevant:
- Nach Updates ab dem 09.06.2026 starten manche Drittanbieter-Anwendungen Office nicht mehr (OLE-Automation). Microsoft führt im Update-Hinweis selbst einzelne betroffene Praxis- und Dentalprogramme auf.
- Auf einem kleinen Teil der Geräte, die von Windows 10 oder Windows 11 23H2 auf 24H2/25H2 gehoben wurden, schlägt die Updateinstallation mit den Fehlern 0x80073712 oder 0x800f0993 fehl und blockiert dann weitere Monatsupdates.
- Das seit 2023 erzwungene DCOM-Hardening kann nach dem Update auf Windows 11 24H2 die Client-Server-Verbindung mancher Praxis-Archivsysteme wieder abreißen lassen, weil 24H2 lokale Umgehungen zurücksetzt (in Fachforen dokumentiert, kein bestätigter Breitenfehler).
Die Lehre daraus ist nicht „Updates aufschieben“, sondern „Updates kontrolliert ausrollen“: vorher an einem Referenzgerät testen, eine Rückfall-Lösung und ein geprüftes Backup bereithalten.
Nicht verwechseln: Windows-Update ist nicht die TI-Umstellung
Die KBV- und gematik-Nachrichten der zweiten Jahreshälfte 2025 betreffen die TI-Verschlüsselungsumstellung von RSA auf ECC und den Ersatz nicht ECC-fähiger Konnektoren (RSA-only-Konnektoren ab 01.01.2026 ohne TI-Zugriff). Das ist ein eigenständiges Thema, nicht das Windows-10-Support-Ende. Beide laufen parallel, beide erzeugen Druck, gehören aber getrennt geplant.
Was das rechtlich bedeutet
Die aktualisierte KBV-IT-Sicherheitsrichtlinie nach § 390 SGB V gilt seit April 2025; ihre neuen Anforderungen an das Patch- und Änderungsmanagement sind seit dem 01.10.2025 verbindlich. Anlage 1 verlangt unter anderem, Updates zeitnah zu installieren (Nr. 14), Komponenten ohne Sicherheitsupdates zu identifizieren (Nr. 16) und sie auszumustern oder in ein eigenes Netzsegment zu separieren (Nr. 17). Das gilt genau für Windows-10-Altgeräte. Hinzu kommt Art. 32 DSGVO: Ein Betriebssystem ohne Hersteller-Sicherheitsupdates erfüllt nicht den „Stand der Technik“. Eine Datenschutzaufsicht hat für den Betrieb veralteter, ungepatchter Software bereits ein Bußgeld von 65.500 Euro verhängt; Gesundheitsdaten sind nach Art. 9 DSGVO besonders geschützt. Das BSI erfasste zwischen Oktober 2024 und September 2025 138 gesundheitsbezogene Lagebeiträge; allein bei den Leistungserbringern, also Praxen, Kliniken, Apotheken und Krankenkassen, zählte es 43 sicherheitsrelevante Vorfälle, bei hoher Dunkelziffer.
Was eine Praxis jetzt tun sollte
Verschaffen Sie sich zuerst einen Überblick: Welche Rechner laufen noch unter Windows 10, welche Windows-11-Version ist installiert, welche Geräte erreichen wann ihr Support-Ende. Auf dieser Basis gilt: Windows-10-Geräte auf Windows 11 heben oder, wenn das kurzfristig nicht geht, über das kommerzielle 22H2-ESU absichern und bis zur Ablösung in ein separates Netzsegment isolieren. Bei Windows 11 die monatlichen Sicherheitsupdates kontrolliert ausrollen, getestet, mit geprüftem Backup und Rückfall-Lösung, und den Secure-Boot-Status prüfen.
Diese Aufgabe lässt sich nach § 390 SGB V an einen IT-Dienstleister delegieren; die Gesamtverantwortung bleibt bei der Praxis. Genau dafür ist ein Systemhaus mit Healthcare-Erfahrung da: Wir inventarisieren Ihre Geräte, planen die Migration ohne Ausfall im laufenden Betrieb und richten ein Patch-Management ein, das Sicherheit und PVS-Stabilität zusammenbringt. Wenn Sie wissen möchten, wo Ihre Praxis steht, sprechen Sie uns für eine kurze Bestandsaufnahme an.
Kostenloser Selbst-Check (PDF)
IT-Sicherheitsrichtlinie der KBV: der 12-Punkte-Check
Haken Sie ab, was in Ihrer Praxis nachweisbar erfüllt ist, von Virenschutz bis Dokumentation. Eine Seite, per E-Mail.
Praxis-IT-Briefing
TI- und KBV-Fristen im Blick behalten
Einmal im Monat die wichtigsten Termine und Änderungen zu Telematikinfrastruktur, KBV-Sicherheit und Praxissoftware. Kompakt zusammengefasst, kein Spam, jederzeit abbestellbar.