Windows-Update Januar 2026 (KB5074109): Probleme, Notfall-Patches & Fixes

Windows-Update Januar 2026 (KB5074109): Sicherheitsfix mit Nebenwirkungen – was jetzt wirklich zählt

Stand: 23.01.2026

Das Januar-Patchday-Update KB5074109 ist ein klassischer Microsoft-Moment: sicherheitsrelevant, breit ausgerollt – und gleichzeitig der Startschuss für eine Welle an Stabilitätsproblemen, die je nach Setup von „nervig“ bis „produktiver Totalschaden“ reichen kann. Wer Windows 10/11 oder Server-Versionen administriert, muss jetzt nicht nur installieren, sondern entscheiden: Welche Systeme dürfen sofort patchen, welche brauchen einen kontrollierten Rollout – und welche sollten erst einmal abgesichert, aber kurzfristig stabil gehalten werden?

Direkt zum Inhaltsverzeichnis 🧭

In diesem Report bekommst du eine praxisnahe Einordnung: Welche Risiken das Update abdeckt, welche Probleme aktuell am häufigsten gemeldet werden, welche Notfall-Updates (Out-of-Band) relevant sind – und welche Workarounds wirklich helfen, ohne dass du dir nebenbei das System zerlegst. Zusätzlich sind die wichtigsten Details aus den offiziellen Release-Notes integriert (Builds, bekannte Probleme, Fixes, Secure-Boot-Thema, KIR-Rollback und die relevantesten Änderungen „unter der Haube“).

✅ Das Wichtigste zu KB5074109 auf einen Blick

Release & Builds: Kumulatives Update für Windows 11 25H2 und 24H2 (Builds 26200.7623 und 26100.7623).
Security im Fokus: Patchday-Update mit umfangreichen Sicherheitsfixes und Qualitätsverbesserungen aus der Dezember-Vorschau.
Problemzone Alltag: Berichte über hängende Apps beim Öffnen/Speichern auf cloudbasierten Speichern (OneDrive/Dropbox) – inklusive Outlook-Spezialfällen.
Outlook besonders sensibel: Classic Outlook mit POP-Profilen und/oder PST-Dateien kann hängen, nicht sauber schließen und Mails erneut herunterladen – vor allem, wenn PSTs in OneDrive liegen.
Remote-Work im Fokus: Anmelde-/Credential-Probleme in Azure Virtual Desktop & Windows 365 über die Windows App sind offiziell beschrieben und werden gezielt gefixt.
Secure Boot 2026: Ab diesem Update beginnt ein stufenweiser Mechanismus, der bestimmte Geräte für neue Secure-Boot-Zertifikate identifiziert (wichtig im Hinblick auf auslaufende Zertifikate ab Juni 2026).
Empfehlung: Phased Rollout, vorher Backup + Treibercheck, danach je nach Umgebung gezielt nachpatchen (inkl. passender OOB-Updates) und kritische Workflows testen.

Sichere Vorgehensweise starten ✅

Inhaltsverzeichnis

1) Was ist KB5074109 – und warum ist es wichtig?
2) Was Microsoft offiziell ändert – die wichtigsten Punkte aus den Release-Notes
3) Bekannte Probleme nach Installation
4) Outlook-Alarm: POP3, PST & OneDrive
5) Notfall-Updates (Out-of-Band): Welche KBs sind relevant?
6) So installierst du sicher (Privat & Business)
7) Workarounds & Troubleshooting (Checkliste)
8) FAQ
9) Fazit

1) Was ist KB5074109 – und warum ist es wichtig?

KB5074109 ist das kumulative Sicherheitsupdate vom Patchday im Januar 2026 für Windows 11 (Version 25H2 und 24H2) und gehört damit zur Klasse der Updates, die tief im System ansetzen: Kernel, Storage-/Dateipfade, Netzwerk- und Authentifizierungslogik, Sicherheitsmechanismen (u.a. Secure Boot), plus diverse Qualitätsfixes. Das klingt abstrakt – ist aber im Alltag entscheidend: Selbst wenn du „nur surfst und mailst“, laufen ständig Komponenten, die in typischen Angriffsflächen stecken (Dateiöffnen, Webinhalte, Netzwerkdienste, Treiber, Remote-Zugriffe, Office-Dokumente, Hintergrunddienste).

Der Haken: Genau weil kumulative Updates so tief greifen, können sie in bestimmten Konfigurationen unerwartete Nebenwirkungen auslösen. Und das ist bei KB5074109 der Kern der Debatte: Es geht weniger um „ob installieren“, sondern um wie – und in welcher Reihenfolge mit Treibern, Workarounds und (falls nötig) außerplanmäßigen Fixes. Besonders heikel sind Umgebungen, in denen Cloud-Sync, Outlook Classic und Remote Work gleichzeitig produktionskritisch sind – denn dort addieren sich Symptome schnell zu einem echten Betriebsrisiko.

🧩 Technische Eckdaten (für Einordnung & Rollout)

Veröffentlichung: 13.01.2026
Windows 11 Versionen: 25H2 & 24H2
Builds: 26200.7623 (25H2) und 26100.7623 (24H2)
SSU/LCU-Logik: Microsoft kombiniert das aktuelle Servicing Stack Update (SSU) mit dem kumulativen Update (LCU) – relevant für Deinstallation/Recovery
Wartungsstapelupdate: KB5071142 (SSU, Build 26100.7295) – sorgt für zuverlässigere Update-Installationen

2) Was Microsoft offiziell ändert – die wichtigsten Punkte aus den Release-Notes

Neben Security-Fixes bringt KB5074109 eine Reihe konkreter Anpassungen, die man im Alltag oft erst bemerkt, wenn ein Spezialfall „trifft“. Genau diese Details erklären, warum manche Setups nach dem Update plötzlich zicken – und warum ein sauberer Rollout mehr ist als „Update klicken, fertig“.

Netzwerk/WSL & VPN: Ein Fix adressiert fehlschlagende gespiegelte Netzwerke im Windows Subsystem for Linux (WSL), die zuvor zu „Keine Route zum Host“ führen konnten – besonders relevant, wenn WSL über VPN auf Unternehmensressourcen zugreifen soll.
Azure Virtual Desktop/RemoteApp: Ein Fix adressiert RemoteApp-Verbindungsfehler in AVD-Umgebungen, die nach vorherigen Updates auftreten konnten.
Power & Akku: Geräte mit NPU können durch einen Fix im Leerlauf korrekt in einen energiesparenden Zustand wechseln (vorher blieben manche Systeme unnötig „wach“).
Sicherer Start & Zertifikate: Ab diesem Update enthalten Qualitätsupdates eine Teilmenge von „High-Confidence“-Zieldaten, um Geräte zu identifizieren, die automatisch neue Secure-Boot-Zertifikate erhalten können – stufenweise und erst nach genügend erfolgreichen Update-Signalen. Das ist im Kontext wichtig, dass Secure-Boot-Zertifikate ab Juni 2026 auslaufen können, wenn nicht rechtzeitig aktualisiert wird.
WDS Hardening: Windows Deployment Services (WDS) ändern ihr Verhalten: „Hands-Free Deployment“ ist standardmäßig nicht mehr unterstützt. Für IT-Umgebungen bedeutet das: Deployment-Prozesse prüfen, Dokumentation/Guidance beachten und ggf. Workflows anpassen.
Treiber-Removal (Modems): Bestimmte alte Modemtreiber werden entfernt. Hardware, die exakt diese Treiber benötigt, kann danach nicht mehr funktionieren – selten, aber in Spezialumgebungen relevant.
WinSqlite3.dll: Die Windows-Komponente WinSqlite3.dll wurde aktualisiert. Wichtig für Security-Tools: Manche Produkte flaggen SQLite-Bibliotheken fälschlich oder vermischen WinSqlite3.dll mit app-eigenen sqlite3.dll-Dateien. Wenn Security-Scanner weiter Alarm schlagen, ist oft der jeweilige App-Hersteller (und dessen sqlite3.dll) der eigentliche Fix-Punkt.
KI-Komponenten: Mehrere Windows-interne KI-Komponenten werden versioniert aktualisiert (z.B. Bildersuche, Inhaltsextraktion, semantische Analyse). Das ist weniger „Feature-Hype“ als Wartung: Versionen werden konsolidiert, damit Systemfunktionen konsistent laufen.

⚠️ Warum diese Details für dich wichtig sind

WSL/VPN, AVD/RemoteApp, WDS sind typische Enterprise-Kantenfälle: Genau dort wirken kleine Änderungen sofort wie „Update hat alles kaputt gemacht“ – obwohl es oft ein gezieltes Hardening oder ein Fix mit Nebenwirkung ist.
Secure Boot ist 2026 kein Randthema: Zertifikatswechsel + stufenweiser Rollout heißt, dass „Update verschieben“ in manchen Flotten später zu Zeitdruck führen kann.

3) Bekannte Probleme nach Installation

Rund um KB5074109 verdichten sich Meldungen zu mehreren Problemclustern. Wichtig: Nicht jedes System ist betroffen – aber wer in den „Trefferbereich“ fällt, merkt es sofort. Besonders häufig tauchen diese Kategorien auf:

Problemfeld	Typische Symptome	Betroffen (häufig)	Pragmatischer Erst-Ansatz
Cloud-Speicher / Dateien	Apps reagieren nicht mehr beim Öffnen/Speichern auf Cloud-Laufwerken, unerwartete Fehler	OneDrive/Dropbox-Nutzer, Office/Creative-Apps, gemischte Arbeitsordner	Datei lokal speichern/verschieben, Sync pausieren, Verhalten testen
Remote Desktop / Windows App	Credential-Prompt/Anmeldung schlägt fehl, Sessions brechen ab	Remote-Work, Azure Virtual Desktop, Windows 365, bestimmte Builds	Gezielt OOB-Fix je Version einspielen, Reboot, Login-Test
Grafik / Black-Screen	Kurzzeitige Blackscreens, Ruckler, UI-Lag	Ein Teil der Systeme mit NVIDIA/AMD (hardware-/treiberabhängig)	GPU-Treiber aktualisieren, Monitor/DP-Modus testen, Reboots
Shutdown / Sleep	Herunterfahren/Standby verhält sich ungewöhnlich (z.B. Neustart statt Aus)	Spezielle Security-/Enterprise-Konfigurationen	Nachpatchen, Policies prüfen, Eventlog auswerten
Login-UI (Sperrbildschirm)	Kennwortsymbol fehlt in Anmeldeoptionen, „Platzhalter“ ist aber klickbar	Vor allem verwaltete Unternehmensumgebungen	Known Issue Rollback (KIR) via Gruppenrichtlinie ausrollen

Die wichtigste Erkenntnis aus der Praxis: Ein Workaround ist selten genug. Wer z.B. Outlook + OneDrive + PST nutzt, kann gleichzeitig Cloud-Hänger und Outlook-Profileffekte sehen – und muss dann an der Ursache ansetzen (Dateipfad/Sync/Profil), nicht nur am Symptom. Genau deshalb lohnt es sich, Updates im Unternehmen als Paket zu denken: Update + Testfälle + Fixpfad + Rückfallplan (Rollback/KIR/Deinstallation) – statt „irgendwie wird’s schon“.

4) Outlook-Alarm: POP3, PST & OneDrive

Ein besonders gut dokumentierter Problembereich betrifft Classic Outlook in Kombination mit POP-Konten und/oder PST-Dateien – vor allem dann, wenn PSTs in OneDrive liegen. Das kann sich so äußern: Outlook hängt auf „Keine Rückmeldung“, schließt nicht sauber, lässt sich nur über den Task-Manager beenden, lädt Mails erneut herunter oder zeigt gesendete Nachrichten nicht zuverlässig im Ordner „Gesendet“ an. Microsoft beschreibt den Outlook-Spezialfall explizit: In bestimmten Konfigurationen mit PSTs auf OneDrive kann Outlook so hängen, dass es erst nach Prozessende oder Neustart wieder startet.

Wenn du davon betroffen bist, sind diese Schritte in der Praxis am zielführendsten – in genau dieser Reihenfolge (weil sie am wenigsten invasiv starten):

PSTs aus OneDrive herausnehmen: PST-Dateien lokal ablegen (z.B. auf C:\) und Outlook-Profil darauf umstellen. Das ist der schnellste Hebel, weil er den sensiblen Mix aus Dateisperren, Sync und großen Containerdateien entschärft.
Sync-Strategie aufräumen: Arbeitsordner, in denen Outlook- oder Office-Dateien permanent geschrieben werden, sollten nicht „nebenbei“ durch aggressive Sync-Clients beobachtet werden. Lieber klare Trennung: lokal arbeiten → danach bewusst synchronisieren.
Webmail als temporärer Fallback: Für geschäftskritische Postfächer kurzfristig über Weboberfläche arbeiten, bis Stabilität wiederhergestellt ist (damit dein Mailfluss nicht am Client hängt).
Update-Entscheidung pro Gerät: Wenn Outlook der Kernprozess ist (z.B. Vertrieb/Support), kann eine temporäre Deinstallation als Notmaßnahme sinnvoll sein – aber nur mit klarer Risikoabwägung und zusätzlichen Schutzmaßnahmen.

⚠️ Wichtig: POP3 ist „Legacy“, aber nicht „tot“

Viele nutzen POP3 bewusst (lokale Archivierung, geringe Serverabhängigkeit, bestimmte Datenschutz-/Compliance-Workflows).
Genau deshalb ist der Effekt so heftig: Wenn POP3-Profile hängen, steht der komplette Mailfluss still.
Langfristig sinnvoll: Wo möglich auf IMAP/Exchange umstellen – aber nicht hektisch „unter Feuer“ migrieren. Erst Stabilität herstellen, dann geplant umstellen.

5) Notfall-Updates (Out-of-Band): Welche KBs sind relevant?

Microsoft hat für bestimmte Fehlerbilder außerplanmäßige Updates bereitgestellt, die je nach Windows-Version unterschiedliche KB-Nummern tragen. Entscheidend ist: Die passende KB hängt an deiner Windows-Version/Build. Wer im Unternehmen verwaltet, sollte diese Updates nicht „blind“ ausrollen, sondern zielgerichtet dort einsetzen, wo Remote-Work oder Authentifizierung betroffen ist.

Zweck	Typische Zielsysteme	Relevante Fix-Info
AVD/Windows 365 Credential-Probleme	Windows-Clients mit Windows App, Azure Virtual Desktop, Windows 365	Problem wird gezielt in KB5077744 behoben (versions-/buildabhängig)
RDP/Remote-Fixes je Plattform	Je nach Windows-Version (auch Windows 10/Server in gemischten Umgebungen)	Passende OOB-Updates je Release einplanen, danach Reboot + Funktionscheck

Für die Praxis gilt: Wenn Remote Desktop geschäftskritisch ist, sollten OOB-Fixes als Teil des Rollout-Pakets betrachtet werden – also Patchday-Update + OOB in einem Wartungsfenster, inklusive Reboot und kurzer Funktionsprüfung (Login, Sessionaufbau, MFA/SSO, Drucker/Clipboard, Policies). Und: OOB-Fixes sind häufig nicht „bei allen“ nötig – aber dort, wo sie nötig sind, sind sie nicht optional.

6) So installierst du sicher (Privat & Business)

Wer jetzt einfach auf „Installieren“ klickt, spielt Patchday-Roulette. Wer sauber vorgeht, minimiert Ausfälle – ohne Sicherheitslücken unnötig offen zu lassen. Hier ist die robuste Vorgehensweise, die sich in der Praxis bewährt:

✅ Safe-Install-Plan (funktioniert für die meisten Setups)

1) Backup/Restore-Punkt: Wichtige Daten sichern, idealerweise zusätzlich ein Systemabbild oder Unternehmens-Backup-Job prüfen.
2) Treiber-Check: Besonders bei NVIDIA/AMD/Intel-Grafik vorab Treiber aktualisieren (reduziert Black-Screen-/UI-Lag-Risiko).
3) Cloud-Workflows prüfen: Teste vorab Öffnen/Speichern in OneDrive/Dropbox-Ordnern mit den wichtigsten Apps (Office, Browser-Downloads, DMS/ERP, Creative-Tools).
4) Outlook-Setup prüfen: Liegen PST-Dateien in OneDrive? Dann vorher lokal verschieben und Profil prüfen.
5) Update installieren: KB5074109 regulär einspielen, Reboot durchführen.
6) Funktionsprüfung: Öffnen/Speichern (lokal & cloudbasiert), Outlook Start/Shutdown, Remote Desktop (falls relevant), Sleep/Shutdown testen.
7) Nachpatchen (falls nötig): Bei AVD/Windows-365-Credential-Problemen KB5077744 einplanen und danach erneut testen.

Für Unternehmen ist der wichtigste Hebel ein phasenweiser Rollout: Pilotgruppe (IT + Poweruser), dann produktive Abteilungen, dann der Rest. Entscheidend ist nicht nur „Rollout in Wellen“, sondern die Wahl der Testfälle: Wer OneDrive/Dropbox nutzt, muss genau diese Dateiwege testen. Wer Outlook Classic nutzt, muss genau diese Profile testen. Wer AVD/Windows 365 nutzt, muss genau diese Auth-Flows testen. Klingt banal – verhindert aber den typischen Fehler, dass man nur „Windows startet noch“ prüft und die echte Produktivität erst am nächsten Morgen implodiert.

🧠 Admin-Hinweis: Deinstallation & kombinierte Pakete

Wichtig: Wenn SSU und LCU kombiniert sind, funktioniert die klassische Deinstallation per „wusa /uninstall“ nicht immer wie erwartet, weil das Paket den Wartungsstapel enthält.
Praxis: In verwalteten Umgebungen ist der sauberste Weg oft die Paketverwaltung per DISM (Paketname ermitteln, dann gezielt entfernen) – und vorher unbedingt Recovery/Backups prüfen.

7) Workarounds & Troubleshooting (Checkliste)

Wenn nach dem Update Probleme auftreten, hilft eine klare Diagnosekette. Diese Checkliste ist bewusst „low drama“: Erst die einfachen Schritte, dann die invasiven.

Cloud-Hänger: Sync pausieren → Datei lokal speichern → App neu starten → testweise anderen Speicherort nutzen → betroffene App-Version prüfen/aktualisieren.
Outlook hängt: PST-Pfad prüfen (OneDrive vermeiden) → Profil testweise ohne PST starten → Webmail als Fallback → erst danach über Deinstallation nachdenken.
AVD/Windows 365 Login scheitert: Prüfen, ob Credential-Prompt-Fehler vorliegt → passende Fixes (u.a. KB5077744) einspielen → Reboot → erneuter Login-Test.
Passwortsymbol fehlt am Sperrbildschirm: In Enterprise-Umgebungen KIR-Rollback via Gruppenrichtlinie ausrollen (nach Reboot prüfen).
Black-Screen/Ruckler: GPU-Treiber aktualisieren → Monitor/DisplayPort-Modus testen → Windows-Grafikeinstellungen prüfen → optional Clean-Install des Treibers.
Shutdown/Sleep seltsam: Energieoptionen prüfen → Ereignisanzeige (System) auf Hinweise → Policies/Hardening-Konfigurationen prüfen → nachgelagerte Fixes evaluieren.

🧯 Notfall-Schritt (wenn Produktivität brennt)

Wenn ein Kernprozess komplett ausfällt (z.B. Outlook im Support-Team oder Remote-Work im Betrieb): temporäre Deinstallation des Updates kann stabilisieren.
Wichtig: Danach Security-Risiko aktiv managen (z.B. Angriffsfläche reduzieren, restriktivere Policies, erhöhte Aufmerksamkeit bei Mail/Web, priorisierte Nachpatch-Planung), bis ein Fix verfügbar ist.

8) FAQ

Soll ich KB5074109 sofort installieren?

Für die meisten Systeme lautet die Empfehlung: ja, aber kontrolliert. Privat: Backup + Treibercheck + Cloud-Ordner testen + Outlook-PST prüfen. Business: phasenweiser Rollout, definierte Testfälle (Cloud/Outlook/Remote), klare Fix- und Rollback-Optionen.

Warum betrifft das plötzlich OneDrive/Dropbox und das Speichern?

Cloudbasierte Ordner sind technisch kein „normaler Ordner“: Sync, Dateisperren, Versionierung, Hintergrund-Uploads und teils spezielle File-System-Hooks treffen auf Änderungen in Windows-Komponenten rund um Storage und Sicherheit. Wenn genau diese Schnittstelle sensibel reagiert, wirkt es wie „App hängt“, obwohl der Trigger oft im Zusammenspiel aus Sync-Client, Dateipfad und App-Schreibvorgang liegt.

Outlook hängt – muss ich POP3 sofort aufgeben?

Nicht panisch. Erst Stabilität herstellen (PST lokal, Sync-Ordner entkoppeln, Webmail-Fallback). Danach kann eine geplante Migration auf IMAP/Exchange sinnvoll sein – aber bitte nicht unter Zeitdruck und ohne sauberes Testen.

Welche außerplanmäßigen Updates brauche ich?

Das hängt von deiner Windows-Version/Build und deinem Problem ab. Für Credential-/Anmeldeprobleme in Azure Virtual Desktop/Windows 365 über die Windows App ist KB5077744 als Fix benannt. In gemischten Umgebungen gibt es je Plattform eigene OOB-Updates – entscheidend ist der gezielte Einsatz dort, wo der Remote-Workflow betroffen ist.

Was hat es mit Secure Boot und Juni 2026 auf sich?

Ein Teil der Secure-Boot-Zertifikate, die viele Geräte nutzen, kann ab Juni 2026 auslaufen. Damit Geräte weiterhin sicher starten können, müssen Zertifikate rechtzeitig aktualisiert werden. Ab KB5074109 startet ein stufenweiser Mechanismus, der geeignete Geräte für neue Zertifikate identifiziert und diese kontrolliert bereitstellt. Für IT-Teams heißt das: Thema nicht vertagen, sondern in Update-Planung und Geräte-Compliance einbauen.

9) Fazit

KB5074109 ist ein Sicherheitsupdate, das man ernst nehmen muss – aber es ist gleichzeitig eines dieser Releases, bei denen „Installieren“ nicht das Ende, sondern der Anfang ist. Wer Cloud-Speicher-Workflows, Outlook Classic (POP/PST) oder Remote Desktop/Windows App im Alltag nutzt, sollte das Update nicht blind, sondern mit Plan einspielen: Backup, Treiber, Cloud-Testfälle, Outlook-Pfade, Reboot, Funktionsprüfung – und bei Bedarf gezielt nachpatchen (z.B. bei AVD/Windows-365-Credential-Problemen). Wer so vorgeht, hält die Security-Position stark, ohne dass Stabilität und Produktivität unnötig leiden.

Zurück zum Inhaltsverzeichnis ⬆️

🔗 Weiterführende Informationen

Microsoft Support – Überblick (KB/Build-Infos): Support-Übersicht (KB/Build-Infos)
Microsoft Support – Outlook POP/PST Problem: Offizielle Statusseite
Windows 11 – Updateverlauf & Release-Integrität: Release Health Dashboard
Microsoft Update Catalog: Catalog (OOB-Updates gezielt laden)
Servicing Stack Updates (SSU) – Hintergrund & FAQ: SSU erklärt