Microsoft hat am 14. Juli 2026 das kumulative Sicherheitsupdate KB5101649 für Windows 11 Version 26H1 veröffentlicht. Nach der Installation steigt die Betriebssystemversion auf Build 28000.2525. Das Update schließt aktuelle Sicherheitslücken, bereitet Windows auf die neuen Secure-Boot-Zertifikate vor und verbessert unter anderem Remotedesktopverbindungen, Office-Automatisierungen und verschiedene Systemkomponenten.

Hinweis: Allerdings ist KB5101649 nicht für jeden Windows-11-PC vorgesehen. Das Update richtet sich ausschließlich an Geräte, auf denen bereits Windows 11 Version 26H1 installiert ist. Für Windows 11 Version 24H2 und 25H2 stellt Microsoft andere kumulative Updates bereit.

KB5101649 im Überblick

Das Sicherheitsupdate KB5101649 wurde im Rahmen des Microsoft Patchdays am 14. Juli 2026 veröffentlicht. Es ersetzt keine vollständige Windows-Version, sondern aktualisiert ausschließlich vorhandene Installationen von Windows 11 Version 26H1.

Die wichtigsten Informationen zum Update:

EigenschaftInformation
UpdateKB5101649
Veröffentlichungsdatum14. Juli 2026
BetriebssystemWindows 11 Version 26H1
Neue Betriebssystembuild28000.2525
UpdatetypKumulatives Sicherheitsupdate
InstallationWindows Update, Windows Update for Business, WSUS und Microsoft Update-Katalog
Neustart erforderlichIn der Regel ja
Bekannte ProblemeLaut Microsoft derzeit keine
Enthaltene VorgängerupdatesKB5095051 und KB5095091

Da es sich um ein kumulatives Update handelt, enthält KB5101649 nicht nur die aktuellen Sicherheitskorrekturen vom Juli 2026. Auch die Verbesserungen der vorherigen Updates KB5095051 und KB5095091 sind vollständig enthalten. Du musst diese älteren Updates deshalb nicht separat installieren. Eine Übersicht über weitere Aktualisierungen findest Du in unserer Windows 11 Update Übersicht.

Weitere Informationen zu den vorherigen Aktualisierungen findest Du in unseren Beiträgen zu KB5095051 für Windows 11 26H1 und zum optionalen Vorschauupdate KB5095091 mit Build 28000.2340.

Für welche PCs ist KB5101649 geeignet?

KB5101649 ist ausschließlich für Windows 11 Version 26H1 vorgesehen. Auf einem PC mit Windows 11 Version 24H2 oder 25H2 wird das Update normalerweise weder angeboten noch benötigt.

Windows 11 Version 26H1 nimmt dabei eine besondere Rolle ein. Microsoft beschreibt diese Version als hardwareoptimierte Windows-Ausgabe für Geräte mit einer neuen Prozessorgeneration. Sie wird auf ausgewählten neuen Computern vorinstalliert und ist nicht als reguläres Funktionsupdate für bereits vorhandene PCs vorgesehen.

Ein PC mit Windows 11 Version 24H2 oder 25H2 erhält deshalb nicht automatisch ein Upgrade auf Version 26H1. Geräte, auf denen 26H1 bereits vorinstalliert ist, bekommen KB5101649 dagegen regulär über Windows Update.

Du kannst Deine installierte Windows-Version schnell überprüfen:

  1. Drücke die Tastenkombination Windows-Taste + R.
  2. Gib den Befehl winver ein.
  3. Bestätige die Eingabe mit der Eingabetaste.
  4. Prüfe die angezeigte Version und Betriebssystembuild.

Eine ausführliche Beschreibung findest Du in unserer Anleitung zum Thema Windows-Version und Buildnummer anzeigen.

Steht im Fenster Version 26H1 und nach der Installation die Buildnummer 28000.2525, wurde KB5101649 erfolgreich eingerichtet.

Welche Neuerungen bringt das Windows 11 Update  KB5101649

Welche Neuerungen bringt KB5101649?

Im Mittelpunkt von KB5101649 stehen Sicherheitsverbesserungen. Gleichzeitig behebt Microsoft mehrere technische Probleme und bereitet Windows auf Änderungen vor, die für Unternehmen und Administratoren langfristig wichtig werden können.

Neue Secure-Boot-Zertifikate werden vorbereitet

Eine der wichtigsten Änderungen betrifft Secure Boot. Viele der bisher verwendeten Microsoft-Zertifikate aus dem Jahr 2011 erreichen ab 2026 das Ende ihrer vorgesehenen Gültigkeitsdauer. Microsoft verteilt deshalb neue Secure-Boot-Zertifikate und aktualisierte Signaturdatenbanken.

KB5101649 erweitert die gezielte Bereitstellung dieser neuen Zertifikate. Die Verteilung erfolgt nicht zwingend sofort auf allen Geräten. Windows berücksichtigt unter anderem die Hardware, die Firmware und die Kompatibilität des jeweiligen Computers.

Secure Boot prüft beim Start des Computers, ob Bootloader und wichtige Systemkomponenten vertrauenswürdig signiert wurden. Manipulierte oder nicht autorisierte Komponenten sollen dadurch bereits vor dem Start von Windows blockiert werden.

Weitere Hintergründe und praktische Prüfmöglichkeiten findest Du in unserer ausführlichen Anleitung Secure-Boot-Zertifikate 2026 prüfen und aktualisieren. Zusätzlich erklären wir, was beim Auslaufen der alten Secure-Boot-Zertifikate passiert.

Du solltest Secure Boot wegen dieser Umstellung nicht vorsorglich deaktivieren. Eine Deaktivierung reduziert den Schutz des Startvorgangs und ist für die reguläre Installation von KB5101649 nicht erforderlich.

Probleme mit Office OLE Automation werden behoben

Microsoft korrigiert mit KB5101649 einen Fehler im Zusammenhang mit Office OLE Automation. OLE steht für Object Linking and Embedding und ermöglicht es Programmen, Inhalte oder Funktionen anderer Anwendungen zu verwenden.

Betroffen waren vor allem Szenarien, in denen Drittanbieterprogramme Office-Anwendungen automatisch starteten oder Dokumente über Schnittstellen öffneten. Solche Prozesse werden beispielsweise in Dokumentenmanagementsystemen, Warenwirtschaftsprogrammen, Archivlösungen oder selbst entwickelten Unternehmensanwendungen eingesetzt.

Nach Angaben von Microsoft konnte es dabei zu unerwarteten Fehlern beim Starten der Office-Anwendung oder beim Öffnen von Dokumenten kommen. KB5101649 behebt dieses Problem.

Für Privatanwender ist diese Änderung meist nicht sichtbar. In Unternehmen kann sie jedoch wichtig sein, wenn Word, Excel oder andere Office-Komponenten durch Fachanwendungen gesteuert werden.

Änderungen bei globalen Tastenkombinationen

Das Update verändert die interne Verarbeitung bestimmter Tastenkombinationen und sogenannter Hotkeys. Microsoft passt dabei den Lebenszyklus global registrierter Tastenkombinationen an.

Programme, die globale Hotkeys registrieren, können damit auf Tastatureingaben reagieren, obwohl sich das betreffende Programm nicht im Vordergrund befindet. Solche Funktionen werden beispielsweise von Screenshotprogrammen, Fernwartungssoftware, Bedienungshilfen oder speziellen Eingabewerkzeugen genutzt.

Microsoft nennt diese Änderung als Qualitätsverbesserung. In seltenen Fällen kann sie jedoch dazu führen, dass ältere Programme ihre Tastenkombinationen anders behandeln müssen.

Sollten nach dem Update einzelne globale Tastenkombinationen nicht mehr funktionieren, empfiehlt sich zunächst ein Neustart der betroffenen Anwendung. Danach solltest Du prüfen, ob eine aktuelle Version des Programms verfügbar ist.

Alte AT-Zeitplanung wird weiter entfernt

Mit KB5101649 setzt Microsoft die Bereinigung veralteter Aufgabenplanungsfunktionen fort. Der historische Befehl at.exe und die zugehörige Bibliothek schedcli.dll können nicht mehr zur Verwaltung des früheren AT-Dienstes beziehungsweise ATSvc verwendet werden.

Administratoren und ältere Skripte sollten stattdessen den modernen Windows-Aufgabenplaner nutzen. Microsoft empfiehlt insbesondere schtasks.exe oder die PowerShell-Cmdlets für geplante Aufgaben.

Ein moderner Ersatz für einen alten AT-Befehl kann beispielsweise so aussehen:

$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\Scripts\Wartung.ps1"
$Trigger = New-ScheduledTaskTrigger -Daily -At 03:00
Register-ScheduledTask -TaskName "Nächtliche Wartung" -Action $Action -Trigger $Trigger

In privaten Windows-Installationen dürfte diese Änderung kaum auffallen. Unternehmen sollten jedoch ältere Anmeldeskripte, Installationspakete und Administrationswerkzeuge auf die Verwendung von at.exe prüfen.

Netzwerkkomponenten werden gegen veraltete TDI-Transporte gehärtet

Microsoft verschärft mit KB5101649 die Behandlung älterer Netzwerkkomponenten, die auf der Transport Driver Interface Technologie basieren. TDI wurde früher für die Kommunikation zwischen Netzwerkdiensten, Treibern und Anwendungen verwendet, gilt inzwischen jedoch als veraltet.

Die neue Härtung kann Anwendungen beeinträchtigen, die nicht registrierte TDI-Transporte von Drittanbietern verwenden. Moderne Standardprogramme sollten davon normalerweise nicht betroffen sein. Ein erhöhtes Risiko besteht eher bei älteren Sicherheitsprogrammen, Spezialsoftware, Filtertreibern oder lange nicht aktualisierten Netzwerkanwendungen.

Treten nach der Installation ungewöhnliche Netzwerkprobleme auf, solltest Du deshalb nicht sofort die Windows-Netzwerkkonfiguration zurücksetzen. Prüfe zunächst, ob auf dem PC alte VPN-Clients, Filtertreiber, Firewallprogramme oder herstellerspezifische Netzwerkwerkzeuge installiert sind.

Fehler im Papierkorb wird korrigiert

KB5101649 behebt außerdem ein Problem im Windows-Papierkorb. Unter bestimmten Bedingungen konnten interne oder technische Dateinamen in Dialogfenstern angezeigt werden, anstatt der ursprünglichen, für den Benutzer verständlichen Dateinamen.

Das Update korrigiert die Darstellung dieser Namen. Der Fehler war zwar nicht sicherheitskritisch, konnte jedoch beim Wiederherstellen oder endgültigen Löschen von Dateien für Verwirrung sorgen.

Verbesserungen für Remotedesktop und RDP-Sicherheit

Besonders für Unternehmen enthält KB5101649 eine wichtige Änderung an Remotedesktopverbindungen. Windows unterstützt bei vertrauenswürdigen Herausgebern nun SHA-2-Fingerabdrücke.

Bisher konnten bestimmte RDP-Vertrauensstellungen noch auf SHA-1 basieren. SHA-1 gilt jedoch seit Jahren als kryptografisch veraltet. Microsoft behält die Unterstützung vorübergehend aus Kompatibilitätsgründen bei, empfiehlt Administratoren aber ausdrücklich den Wechsel auf SHA-256 oder einen stärkeren SHA-2-Algorithmus.

Die Änderung ist insbesondere relevant, wenn signierte RDP-Dateien, RemoteApps oder zentral bereitgestellte Remotedesktopverbindungen verwendet werden. Unternehmen sollten vorhandene Zertifikate und Konfigurationen prüfen und veraltete SHA-1-Fingerabdrücke schrittweise ersetzen.

Für normale private Remotedesktopverbindungen sind nach der Installation üblicherweise keine manuellen Anpassungen erforderlich.

Aktualisierte KI-Komponenten für Copilot+ PCs

Auf unterstützten Copilot+ PCs aktualisiert KB5101649 mehrere lokale KI-Komponenten auf Version 1.2605.856.0. Dazu gehören Komponenten, die Windows für KI-gestützte Funktionen auf Geräten mit einer Neural Processing Unit verwendet.

Diese Aktualisierungen werden ausschließlich auf kompatiblen Copilot+ PCs installiert. Auf herkömmlichen Windows-PCs ohne entsprechende KI-Hardware erscheinen diese Komponenten nicht.

Im normalen Betrieb ist die Aktualisierung meist nicht unmittelbar sichtbar. Sie bildet jedoch die technische Grundlage für lokale KI-Funktionen und zukünftige Windows-Erweiterungen.

Servicing Stack Update KB5121292 ist enthalten

KB5101649 enthält außerdem das Servicing Stack Update KB5121292 mit der Servicing-Stack-Build 28000.2524.

Der Servicing Stack ist für die Installation und Wartung von Windows-Updates verantwortlich. Verbesserungen an dieser Komponente sollen sicherstellen, dass zukünftige Updates zuverlässig erkannt, verarbeitet und installiert werden können.

Das Servicing Stack Update wird gemeinsam mit KB5101649 eingerichtet und muss nicht separat heruntergeladen werden.

Diese Funktionen aus dem Juni-Update sind ebenfalls enthalten

Da KB5101649 kumulativ aufgebaut ist, enthält es auch die Verbesserungen des optionalen Vorschauupdates KB5095091 vom 23. Juni 2026.

Dazu gehören unter anderem eine punktgenaue Systemwiederherstellung, Erweiterungen der Bildschirmlupe und zusätzliche Informationen zur NPU-Auslastung im Task-Manager. Auf kompatiblen Geräten kann der Task-Manager beispielsweise NPU-Module, NPU-Speicher und die jeweils verwendete NPU-Engine detaillierter anzeigen.

Ebenfalls enthalten sind neue Kamerafunktionen wie der Multi-App-Kameramodus und ein vereinfachter Basiskameramodus. Mit dem Multi-App-Modus können mehrere Anwendungen gleichzeitig auf eine Kamera zugreifen.

Einige dieser Funktionen werden von Microsoft schrittweise freigeschaltet und stehen deshalb möglicherweise nicht unmittelbar nach der Installation auf jedem Gerät zur Verfügung.

KB5101649 herunterladen und installieren

Auf einem geeigneten Windows-11-26H1-Gerät wird KB5101649 normalerweise automatisch über Windows Update angeboten.

Gehe für die manuelle Suche folgendermaßen vor:

  1. Öffne mit Windows-Taste + I die Windows-Einstellungen.
  2. Wähle den Bereich Windows Update.
  3. Klicke auf Nach Updates suchen.
  4. Warte, bis Windows KB5101649 gefunden und heruntergeladen hat.
  5. Starte den Computer nach Abschluss der Installation neu.

Das Update kann außerdem über Windows Update for Business, WSUS oder den Microsoft Update-Katalog verteilt werden.

Der Microsoft Update-Katalog führt Pakete für x64- und ARM64-Systeme. Achte bei der manuellen Installation unbedingt auf die richtige Prozessorarchitektur. Ein ARM64-Paket kann nicht auf einem normalen x64-PC installiert werden.

Wichtiger Hinweis für Administratoren und eigene Installationsmedien

Für Administratoren enthält die Dokumentation zu KB5101649 einen wichtigen Hinweis zur Wartung von Windows-Installationsmedien.

Wer dynamische Updates in ein eigenes Windows-Installationsabbild integriert, muss darauf achten, dass die Datei boot.stl korrekt enthalten ist. Fehlt diese Datei oder passt sie nicht zur verwendeten Windows-Version und Prozessorarchitektur, kann der Start vom Installationsmedium mit dem Fehlercode 0xc0430001 abbrechen.

Dieser Hinweis betrifft vor allem Unternehmen, die eigene ISO-Dateien, angepasste Installationsabbilder, automatisierte Deploymentlösungen oder Offline-Wartungsverfahren verwenden. Bei der normalen Installation über Windows Update sind keine manuellen Änderungen an boot.stl erforderlich.

Microsoft weist außerdem darauf hin, dass mehrere MSU-Pakete unter Umständen in einer bestimmten Reihenfolge installiert werden müssen. Für umfangreiche Offlinebereitstellungen sollten Administratoren daher die offiziellen DISM- oder PowerShell-Verfahren verwenden.

Weitere Grundlagen zum Warten von Windows-Abbildern findest Du in unserer Erklärung zum Deployment Image Servicing and Management Tool DISM.

KB5101649 über PowerShell prüfen

Nach der Installation kannst Du über PowerShell kontrollieren, ob das Update vorhanden ist.

Öffne PowerShell und führe folgenden Befehl aus:

Get-HotFix -Id KB5101649

Wurde das Update erfolgreich registriert, zeigt PowerShell unter anderem die KB-Nummer und das Installationsdatum an.

Alternativ kannst Du die Betriebssystembuild auslesen:

Get-ComputerInfo | Select-Object WindowsProductName, WindowsVersion, OsBuildNumber

Nach erfolgreicher Installation sollte als Buildnummer 28000.2525 erscheinen.

Du kannst die Installation auch über Einstellungen, Windows Update und Updateverlauf kontrollieren. Weitere Informationen findest Du in unserer Anleitung zum Windows-Updateverlauf.

Gibt es bekannte Probleme mit KB5101649?

Microsoft führt auf der offiziellen Supportseite derzeit keine bekannten Probleme mit KB5101649 auf. Dieser Stand wurde am 15. Juli 2026 geprüft.

Das bedeutet allerdings nicht, dass das Update auf jedem einzelnen PC vollständig fehlerfrei laufen muss. Lokale Probleme können beispielsweise durch beschädigte Windows-Komponenten, inkompatible Treiber, Sicherheitsprogramme, alte Netzwerktreiber oder zu wenig freien Speicherplatz entstehen.

Vor allem Unternehmen sollten das Update zunächst auf einer begrenzten Gruppe repräsentativer Geräte testen. Dabei sollten RDP-Verbindungen, ältere Fachanwendungen, Office-Automatisierungen, VPN-Clients und vorhandene Netzwerkfilter besonders berücksichtigt werden.

Was tun, wenn KB5101649 nicht installiert werden kann?

Scheitert die Installation, solltest Du den Computer zunächst vollständig neu starten und Windows Update erneut ausführen. Prüfe außerdem, ob auf dem Systemlaufwerk ausreichend freier Speicherplatz vorhanden ist.

Bleibt die Installation hängen, helfen häufig die folgenden Maßnahmen:

  1. Windows-Update-Problembehandlung starten.
  2. Windows-Update-Dienste und den Updatecache zurücksetzen.
  3. Systemdateien mit sfc /scannow überprüfen.
  4. Den Windows-Komponentenspeicher mit DISM reparieren.
  5. Das passende MSU-Paket aus dem Microsoft Update-Katalog installieren.

Ausführliche Lösungswege findest Du in unseren Anleitungen:

Sollte KB5101649 sofort installiert werden?

Da KB5101649 aktuelle Sicherheitskorrekturen enthält, sollte das Update auf unterstützten Windows-11-26H1-Geräten grundsätzlich zeitnah installiert werden.

Privatanwender können die automatische Installation normalerweise zulassen. Vorher sollten wichtige Dateien gesichert und geöffnete Dokumente gespeichert werden.

In Unternehmen empfiehlt sich eine gestaffelte Bereitstellung. Zunächst sollte eine Testgruppe das Update erhalten. Nach erfolgreicher Prüfung können weitere Gerätegruppen folgen.

Besondere Aufmerksamkeit verdienen Systeme mit älteren Netzwerktreibern, RDP-Anwendungen, Office-Automatisierungen oder angepassten Installationsverfahren.

Eine dauerhafte Blockierung des Updates ist nicht empfehlenswert, weil dadurch die im Juli 2026 geschlossenen Sicherheitslücken ungepatcht bleiben.

Kann KB5101649 wieder deinstalliert werden?

Falls nach der Installation schwerwiegende Probleme auftreten, kann das Update grundsätzlich über den Windows-Updateverlauf deinstalliert werden.

Öffne dazu:

Einstellungen > Windows Update > Updateverlauf > Updates deinstallieren

Suche anschließend nach KB5101649 und starte die Deinstallation. Danach ist normalerweise ein Neustart erforderlich.

Eine ausführliche Anleitung findest Du in unserem Beitrag Windows Update rückgängig machen und deinstallieren.

Beachte, dass durch die Deinstallation auch die enthaltenen Sicherheitskorrekturen entfernt werden. Sie sollte deshalb nur als vorübergehende Notlösung dienen, bis Microsoft oder der Hersteller einer betroffenen Anwendung eine Korrektur bereitstellt.

Fazit zu KB5101649

KB5101649 ist ein wichtiges Sicherheitsupdate für Geräte mit Windows 11 Version 26H1. Es aktualisiert das Betriebssystem auf Build 28000.2525 und enthält neben den Sicherheitskorrekturen vom Juli 2026 mehrere interessante technische Änderungen.

Besonders hervorzuheben sind die Vorbereitung auf die neuen Secure-Boot-Zertifikate, die verbesserte Unterstützung von SHA-2-Fingerabdrücken für Remotedesktopverbindungen und die Härtung veralteter Netzwerktransporte.

Gleichzeitig behebt Microsoft Probleme bei Office OLE Automation, globalen Tastenkombinationen und der Anzeige von Dateinamen im Papierkorb.

Da Microsoft derzeit keine bekannten Probleme aufführt, können Privatanwender das Update normalerweise regulär installieren. Unternehmen sollten dennoch vor einer flächendeckenden Verteilung prüfen, ob ältere RDP-Konfigurationen, Netzwerktreiber, Fachanwendungen oder eigene Windows-Installationsmedien betroffen sein könnten.

Weitere Meldungen und Anleitungen findest Du in unseren Bereichen Windows 11, Windows-Sicherheit, aktuelle IT-Meldungen und Windows-Anleitungen.