Microsoft Defender stuft DigiCert-Root-Zertifikate fälschlicherweise als Malware ein
Ein kürzlich aufgetretener Vorfall hat die Bedeutung präziser Sicherheitsupdates unterstrichen: Eine fehlerhafte Signaturaktualisierung von Microsoft Defender führte zu einer weitreichenden Falschmeldung, bei der zwei weit verbreitete und legitime DigiCert-Root-Zertifikate irrtümlicherweise als bösartig eingestuft wurden.
Details des Vorfalls und technische Hintergründe
Die betroffene Antimalware-Signatur, die um den 30. April 2026 veröffentlicht wurde, enthielt eine Erkennung namens Trojan:Win32/Cerdigent.A!dha. Diese identifizierte fälschlicherweise Registrierungseinträge der DigiCert Assured ID Root CA und der DigiCert Trusted Root G4 als hochgradige Malware-Bedrohungen.
Diese Root-Zertifikate sind entscheidend für die Vertrauenskette im Internet und befinden sich im Windows-Vertrauensspeicher unter dem Registrierungspfad HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates. Dort verwaltet Windows vertrauenswürdige Root- und Zwischenzertifizierungsstellen.
Auf den betroffenen Systemen reagierte Microsoft Defender automatisch, indem es die fälschlicherweise markierten Zertifikatseinträge unter Quarantäne stellte.
Potenzielle Auswirkungen auf Unternehmen und Sicherheit
Die Konsequenzen einer solchen Falschmeldung können erheblich sein. Die irrtümliche Quarantäne von Root-Zertifikaten kann die Validierung von SSL/TLS-Verbindungen (die für sichere Webkommunikation unerlässlich sind) sowie Code-Signierungsvorgänge in Unternehmensumgebungen weltweit stören.
Dies könnte zu Fehlern beim Zugriff auf sichere Websites, bei der Installation signierter Software oder bei der Nutzung anderer Dienste führen, die auf eine korrekte Zertifikatsprüfung angewiesen sind. Solche Störungen können nicht nur die Produktivität beeinträchtigen, sondern auch das Vertrauen in die IT-Infrastruktur untergraben.
Lehren für die Cybersicherheit
Dieser Vorfall verdeutlicht, dass selbst hochentwickelte Sicherheitssysteme wie Microsoft Defender anfällig für Fehler sein können. Er unterstreicht die Notwendigkeit robuster Testverfahren für Sicherheitsupdates und die Wichtigkeit, schnell auf Falschmeldungen zu reagieren, um weitreichende Störungen zu vermeiden.
Für Unternehmen ist es zudem ratsam, Mechanismen zur Überwachung ihrer IT-Infrastruktur zu implementieren, die auch ungewöhnliche Verhaltensweisen von Sicherheitstools erkennen können, um proaktiv auf solche Ereignisse reagieren zu können. Die kontinuierliche Überprüfung der Systemintegrität ist ein Schlüsselfaktor für eine widerstandsfähige Cybersecurity-Strategie.