mac it Illustration

Windows 11 Juni-Update Boot-Probleme

Das Windows 11 Juni-Update KB5094126 (Patchday vom 9. Juni 2026) kann auf einzelnen Geräten zu Boot-Problemen führen – die Systeme starten mit einem Black Screen of Death (Fehlercode `0xc0430001`) oder landen in der BitLocker-Wiederherstellung.

Betroffen sind nach bisherigen Berichten vor allem HP- und Dell-Geräte aus dem Unternehmensumfeld. Ursache ist ein Zusammenspiel aus dem Secure-Boot-Zertifikatswechsel des Updates und einer zu klein dimensionierten EFI-Systempartition.

Microsoft hat die Boot-Probleme bislang nicht offiziell bestätigt. Sicherheitsupdates sollten dennoch nicht ausgelassen, sondern kontrolliert ausgerollt werden.

Was ist passiert?

Microsoft hat am 9. Juni 2026 das kumulative Update KB5094126 (OS-Builds 26200.8655 für Windows 11 25H2 und 26100.8655 für 24H2) verteilt. Es ist das umfangreichste Windows-Update des Jahres und schließt nach Herstellerangaben rund 200 Sicherheitslücken, darunter 33 als kritisch eingestufte Schwachstellen und fünf Zero-Day-Lücken. Gleichzeitig bringt es neue Funktionen wie das Low Latency Profile (CPU-Boost) und Shared Audio.

Kurz nach der Verteilung mehrten sich Berichte über Startprobleme. Das auf Windows-Themen spezialisierte Portal *Windows Latest* dokumentierte als erstes mehrere Fälle, in denen Geräte nach der Installation nicht mehr durchstarteten. Bestätigt wurden die Meldungen unter anderem auf Reddit und im Microsoft-Feedback-Hub. Da KB5094126 als Sicherheitsupdate automatisch installiert wird – sofern es nicht zuvor zurückgestellt wurde – betrifft das Thema potenziell jede verwaltete Windows-11-Flotte.

 

Welche Geräte sind von den Boot-Problemen betroffen?

Die Fehler treten nicht flächendeckend auf, sondern an bestimmten Modellen – und auch dort nicht zwingend auf jedem Gerät.
Nach bisherigem Stand häufen sich die Meldungen bei folgenden, überwiegend im Business-Umfeld eingesetzten Geräten:

  • HP EliteBook 840 G10 (das am häufigsten genannte Modell)
  • HP ProBook 460 G11 / HP 460 G11
  • HP Engage One Pro 15.6 G2 AiO POS
  • HP ZBook (Mobile Workstations)
  • Dell Precision sowie Dell Precision 7530

  

Auffällig ist die Konzentration auf HP-Geräte. In einer der ausgewerteten Meldungen berichtet ein Administrator, der mehrere Hundert HP-Geräte verwaltet, dass nach dem Rollout des Juni-Updates ein Großteil der Maschinen nicht mehr bootete. Geräte anderer Hersteller können ebenfalls von den Windows 11 Boot-Problemen betroffen sein, treten in den Berichten aber deutlich seltener auf.

 

Warum verursacht das Update Boot-Probleme?

Die wichtigste Erkenntnis vorweg: Das Problem ist kein reiner Windows-Bug, sondern entsteht aus dem Zusammenspiel von Update, Firmware und Partitionslayout.

KB5094126 verändert sicherheitsrelevante Bestandteile des Startvorgangs – konkret Secure-Boot-Dateien, Zertifikate, den Boot-Manager und Inhalte der EFI-Systempartition (ESP). Diese Schreibvorgänge benötigen Platz. Auf älteren Installations-Images ist die ESP jedoch häufig nur 100 MB groß, während aktuelle Empfehlungen bei 500 MB bis 1 GB liegen. Reicht der Platz nicht aus, kann Windows die erforderlichen Dateien nicht ablegen – der Startvorgang scheitert.

HP-Geräte sind besonders exponiert, weil HP Firmware- und BIOS-Wiederherstellungsdateien ebenfalls auf der EFI-Partition speichert, etwa im Pfad `EFI\HP\DEVFW`. Diese Dateien belegen zusätzlichen Speicher und verschärfen die ohnehin knappe Platzsituation. Der eigentliche Engpass liegt damit nicht im SSD-Speicher oder in der Windows-Installation, sondern in der zu kleinen beziehungsweise überfüllten Systempartition.

Die wichtigsten technischen Fakten zu KB5094126

  • Wer ein betroffenes System noch starten kann, findet im Ereignisanzeige-Protokoll typischerweise zahlreiche TPM-WMI-Fehler.
  • Sinngemäß meldet einer davon, dass die Aktualisierung des Boot-Managers (2023) wegen unzureichenden Speicherplatzes fehlgeschlagen sei.
  • Schlägt dieser Vorgang fehl, blockiert Secure Boot das Laden von Windows.
  • Die Folge ist entweder ein Black Screen of Death mit dem Fehlercode `0xc0430001` oder – bei aktiviertem BitLocker – der Sprung in den Wiederherstellungsmodus, in dem der Recovery-Schlüssel abgefragt wird.
  • In einzelnen Fällen wurde zusätzlich ein Bootloop mit der Fehlerprüfung `DPC_WATCHDOG_VIOLATION` beobachtet.
  • Als weiterer Mitauslöser gilt eine veraltete BIOS-/UEFI-Version, die nicht zum aktualisierten Secure-Boot-Status passt.

Ausblick: Der Secure-Boot-Zertifikatswechsel 2026

Die Boot-Probleme stehen in direktem Zusammenhang mit einem langfristigen Sicherheitsprojekt von Microsoft. Die ursprünglichen Secure-Boot-Zertifikate stammen aus dem Jahr 2011; das Zertifikat „Microsoft Windows Production PC 2011“ läuft am 17. Juni 2026 aus. Microsoft rollt deshalb seit Monaten die Nachfolgegeneration aus – die sogenannten Secure-Boot-2023-Zertifikate. KB5094126 weitet diese Verteilung auf die breite Masse der unterstützten Windows-11-PCs aus: Das Update trägt das Zertifikat „Windows UEFI CA 2023“ in die Secure-Boot-Datenbank (DB) ein und entzieht den veralteten Zertifikaten das Vertrauen.

 
Der entscheidende Punkt für die Risikobewertung: Secure-Boot-Zertifikate liegen nicht irgendwo unter `System32`, sondern in firmwareverwalteten Vertrauensdatenbanken. Ein fehlerhaftes Update auf dieser Ebene kann ein Gerät auf eine Weise unbootbar machen, die weit gravierender ist als ein gewöhnlich gescheitertes kumulatives Update. Ein vergleichbares Muster gab es bereits im August 2022, als das DBX-Update KB5012170 auf älterer Firmware ähnliche BitLocker- und Startprobleme auslöste.
 
Schutz von Benutzerkonten und ZugriffssicherheitIllustration eines Laptops mit Benutzersymbol, Schutzschild und Schlüssel. Das Bild steht für sicheren Benutzerzugang, Schutz von Konten, Zugriffskontrollen und die Absicherung digitaler Identitäten vor unbefugtem Zugriff.

Weitere bekannte Fehler in KB5094126

Neben den Boot-Problemen sind weitere Nebenwirkungen dokumentiert. Auf einigen Systemen lässt sich der **OneDrive-Ordner** (vereinzelt auch Dropbox und iCloud) nicht mehr über Explorer-Seitenleiste oder Taskleiste öffnen – der direkte Pfad funktioniert weiterhin; betroffen sind vor allem Systeme mit deaktivierter UAC und lokalen Administratorkonten. Anwendungen, die **Microsoft Word einbetten oder automatisieren** (etwa Dentrix, Softdent oder CCH ProSystem fx), können Fehler werfen, während Word selbst normal läuft. Zudem behandelt das Update **`desktop.ini`-Dateien** strenger und ignoriert benutzerdefinierte Ordnersymbole aus nicht vertrauenswürdiger Quelle – diesen Punkt hat Microsoft offiziell bestätigt, Abhilfe schafft das Cmdlet `Unblock-File`.

Was IT-Admins jetzt tun sollten

Das Sicherheitsupdate schließt kritische, aktiv ausgenutzte Lücken und sollte installiert werden – aber kontrolliert und abgestuft statt flächendeckend:

1. **Pilotgruppe zuerst** – an betroffenen Modellen (HP EliteBook/ProBook/ZBook, Dell Precision) testen.
2. **EFI-Partition prüfen** – Geräte mit nur 100 MB ESP zuerst, bei Bedarf vergrößern.
3. **BIOS/UEFI aktualisieren** – reduziert den Versatz zwischen Firmware und Secure-Boot-Status.
4. **BitLocker-Schlüssel sichern** – zentral oder im Microsoft-Konto, damit ein Recovery-Prompt kein Showstopper wird.
5. **Secure-Boot-Status verifizieren** – per `Confirm-SecureBootUEFI` bzw. Registry unter `HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot`.

**Startet ein Gerät nicht mehr**, hilft meist: ins BIOS (bei HP via Esc), Secure Boot temporär deaktivieren, Update vollständig installieren, neu starten, Secure Boot wieder aktivieren – plus EFI-Partition prüfen. Als letzte Option lässt sich KB5094126 über den Updateverlauf deinstallieren.

 

Fazit

Das Windows 11 Juni-Update bleibt sicherheitsrelevant und sollte installiert werden – aber kontrolliert.

Die Boot-Probleme rund um KB5094126 sind kein flächendeckender Ausfall, sondern treffen ein klar umrissenes Profil: HP- und Dell-Business-Geräte mit knapper EFI-Partition, veralteter Firmware und aktivem BitLocker.

Ein abgestufter Rollout, geprüfte Partitionsgrößen, aktuelle BIOS-Versionen und gesicherte Wiederherstellungsschlüssel sind die wirksamsten Hebel, um den Zertifikatswechsel auf Secure Boot 2023 ohne Startprobleme zu überstehen.

Weitere interessante Beiträge

Ein blaues Digitalmotiv mit Update-Symbol und einer Hand zeigt auf den Hinweis zum Sicherheitsupdate für Veeam Backup & Replication.
IT-News
Sicherheitsupdate für Veeam Backup & Replication: Kritische Systeme zeitnah aktualisieren
27. Mai 2026
Zum Blogbeitrag
Holzbuchstaben und Symbole, die ein E-Mail-Symbol, ein @-Symbol und ein Vorhängeschloss darstellen und im Hintergrund liegt ein DMARC Schriftzug.
IT-News
Mehr Sicherheit im E-Mail-Verkehr mit DMARC
30. Januar 2026
Zum Blogbeitrag
Zwei-Faktor-Authentisierung mit 2FA, Verifikation Code und Benutzername, dargestellt über ein digitales Authentifizierungs-Piktogramm in Blau und Weiß.
IT-News
Zwei-Faktor-Authentisierung
24. April 2026
Zum Blogbeitrag

Verpassen Sie keine IT-News mehr!

Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig aktuelle Updates aus der IT-Welt.