Ab dem Windows-Sicherheitsupdate im Mai 2026 schaltet Microsoft Hotpatch-Updates für alle berechtigten Endpoints in Windows Autopatch automatisch ein. Die Änderung betrifft Rechner, die über Microsoft Intune verwaltet werden, sowie solche, die via Microsoft Graph API auf den Dienst zugreifen. Hotpatch-Updates spielen Sicherheits-Patches direkt ein, ohne dass ein Neustart erforderlich ist. Fixes werden also sofort wirksam, sobald sie installiert sind.

Sicherheitslücken schneller geschlossen

Das klingt nach einem technischen Detail, hat in der Praxis aber spürbare Auswirkungen: Normalerweise warten IT-Administratoren nach der Installation von Sicherheitsupdates drei bis fünf Tage, bevor sie einen erzwungenen Neustart einleiten. Hotpatch-Updates umgehen dieses Zeitfenster komplett. Microsoft verweist auf Daten aus vier Unternehmen mit jeweils 30.000 bis 70.000 verwalteten Systemen, die alle berichteten, 90 Prozent Patch-Compliance in der Hälfte der bisherigen Zeit erreicht zu haben – ohne zusätzliche Konfigurationsänderungen.

Aktuell sind nach Angaben des Unternehmens mehr als zehn Millionen Produktivrechner für Hotpatch-Updates registriert. Technisch setzt das Verfahren voraus, dass ein Client zunächst das jeweils aktuelle Baseline-Update eingespielt hat, was einmalig einen Neustart erfordert. Erst danach lassen sich Folge-Updates ohne Neustart einspielen. Welche Maschinen für Hotpatch-Updates bereit sind, lässt sich über den Hotpatch Quality Updates Report im Intune Admin Center einsehen.

Op-out möglich

Für Unternehmen, die den Wechsel nicht unmittelbar mitgehen wollen, kündigt Microsoft Opt-out-Optionen an. Ab dem 1. April 2026 stehen entsprechende Einstellungen im Intune Admin Center zur Verfügung - sowohl auf Mandantenebene als auch für einzelne Gerätegruppen. Da der April zugleich ein Baseline-Monat für Hotpatch ist, bleibt Organisationen bis zum 11. Mai 2026 Zeit, bevor tatsächlich Hotpatch-Updates ausgerollt werden. Wer die Funktion für bestimmte Gruppen gezielt steuern möchte, kann das über Quality-Update-Richtlinien in Intune tun. Diese haben Vorrang vor der mandantenweiten Standardeinstellung.

Die Umstellung folgt einem erkennbaren Muster: Microsoft versucht, sicherheitsrelevante Änderungen stärker in den Standardzustand zu integrieren und den Handlungsdruck auf IT-Teams zu reduzieren. Organisationen, die Hotpatch bereits nutzen, müssen nichts weiter tun. Alle anderen sollten bis April prüfen, ob ihre Endpoints die technischen Voraussetzungen erfüllen und ob die neue Standardeinstellung mit ihren Update-Richtlinien vereinbar ist.