Windows 10 Oktober-Update 1809: Microsofts Update löschte persönliche Dateien

Am 2. Oktober 2018 veröffentlichte Microsoft das mit Spannung erwartete Windows 10 Oktober 2018 Update (Version 1809). Was als Routine-Funktionsupdate geplant war, entwickelte sich zum Albtraum für Tausende Nutzer: Das Update löschte ohne Vorwarnung persönliche Dateien aus dem Dokumente-Ordner, dem Bilder-Ordner und anderen bekannten Speicherorten. Microsoft sah sich gezwungen, das Update nach nur vier Tagen komplett zurückzuziehen.

Der Vorfall

Microsoft hatte Version 1809 am 2. Oktober 2018 über Windows Update an alle Nutzer ausgerollt, die das Update aktiv anforderten. Bereits am selben Abend häuften sich in den Microsoft-Community-Foren, auf Reddit und in Tech-Medien die Berichte: Nutzer stellten nach dem Update fest, dass ihre persönlichen Dateien verschwunden waren.

Betroffen waren insbesondere der Ordner „Dokumente" (Documents), der Ordner „Bilder" (Pictures), der Musik-Ordner und in einigen Fällen der gesamte Benutzerprofil-Ordner. Jahrelang gesammelte Fotos, wichtige Geschäftsdokumente, persönliche Projekte – alles war weg. Besonders bitter: Die Dateien befanden sich nicht im Papierkorb. Sie waren endgültig gelöscht worden.

Am 6. Oktober 2018 zog Microsoft das Update aus dem Windows Update-Katalog zurück. In einer offiziellen Stellungnahme räumte Microsoft den Fehler ein. Die Ursache lag in der Art, wie das Update mit der „Known Folder Redirection" (KFR) umging – einer Funktion, bei der bekannte Ordner wie „Dokumente" auf andere Speicherorte umgeleitet werden. Das Update löschte die alten Ordner, ohne zu prüfen, ob die Umleitung korrekt konfiguriert war.

Microsoft versuchte, betroffenen Nutzern mit Datenrettungstools zu helfen, aber für viele war es zu spät. Wenn der Speicherplatz der gelöschten Dateien bereits überschrieben war, gab es keine Rettung. Das Update wurde erst am 13. November 2018 erneut veröffentlicht – über fünf Wochen nach dem ursprünglichen Release.

Wie der Angriff funktionierte

Auch hier handelte es sich nicht um einen Hackerangriff, sondern um einen schwerwiegenden Softwarefehler von Microsoft selbst. Doch der Mechanismus, durch den der Schaden entstand, folgt dem gleichen mehrstufigen Muster wie bei Malware:

Stufe 1 – Das initiale Update wird heruntergeladen: Windows Update lud das mehrere Gigabyte große Funktionsupdate automatisch im Hintergrund herunter. Der Nutzer sah lediglich eine Benachrichtigung, dass ein Update bereitsteht.

Stufe 2 – Der Installationsprozess startet: Beim nächsten Neustart begann die Installation. Das Update-System erstellte zunächst ein Backup des alten Systems im Ordner „Windows.old" – allerdings nur für Systemdateien, nicht für die betroffenen Benutzerdaten.

Stufe 3 – Die Known Folder Redirection wird falsch verarbeitet: Das Update-System erkannte, dass der Nutzer irgendwann eine Ordnerumleitung eingerichtet hatte (teilweise durch frühere Windows-Versionen, OneDrive-Einrichtung oder manuelle Konfiguration). Statt die Umleitung beizubehalten, löschte das Update die Originaldaten in den bekannten Ordnern.

Stufe 4 – Der Schaden wird sichtbar: Nach dem Neustart waren die Ordner leer. Keine Fehlermeldung, keine Warnung, kein Protokoll. Die Dateien waren einfach weg. Viele Nutzer bemerkten den Verlust erst Tage später, wenn sie eine bestimmte Datei suchten.

Warum Virenscanner versagten

Dieser Fall illustriert eine fundamentale Schwäche jeder signatur- und verhaltensbasierten Sicherheitslösung:

• Windows Update genießt absolutes Vertrauen: Kein Virenscanner der Welt blockiert ein offizielles Microsoft-Update. Die Dateien sind digital signiert, der Update-Prozess wird vom Betriebssystem selbst gesteuert, und jede Sicherheitssoftware behandelt ihn als vertrauenswürdig.
• Dateilöschung ist kein Malware-Verhalten – für den Scanner. Während ein Mensch sofort erkennen würde, dass das massenhafte Löschen persönlicher Dateien ein Problem ist, sieht der Virenscanner lediglich einen Systemprozess, der Dateien verwaltet. Das ist normales Verhalten bei einem Update.
• Es gab keine Malware-Signatur. Der fehlerhafte Code war Teil eines legitimiten Microsoft-Updates. Keine Antivirensoftware hat eine Signatur für „fehlerhafter Microsoft-Code".
• Verhaltensbasierte Erkennung greift nicht bei Systemprozessen. Selbst moderne EDR-Lösungen (Endpoint Detection and Response) würden nicht eingreifen, wenn Windows Update Dateien verschiebt oder löscht – das gehört zu den erwarteten Aktivitäten dieses Prozesses.

So hätte Deep Freeze geschützt

Deep Freeze hätte dieses Szenario auf elegante Weise entschärft. Der entscheidende Punkt: Deep Freeze unterscheidet nicht zwischen „guten" und „schlechten" Änderungen. Es macht einfach alle Änderungen an der eingefrorenen Partition rückgängig.

So hätte das Szenario mit Deep Freeze ausgesehen:

1. Windows Update hätte das Update heruntergeladen und installiert – auf der eingefrorenen Partition. Der gesamte Installationsprozess hätte stattgefunden, einschließlich der fehlerhaften Löschung der Ordner.
2. Der Nutzer hätte den Verlust bemerkt – oder auch nicht, je nachdem wann er in seine Ordner geschaut hätte.
3. Beim nächsten geplanten Neustart hätte Deep Freeze die gesamte Systempartition zurückgesetzt. Das fehlerhafte Update wäre rückgängig gemacht worden. Die Systempartition wäre wieder im Zustand vor dem Update gewesen.
4. Wichtig für Dich: Persönliche Daten sollten bei einer Deep-Freeze-Konfiguration grundsätzlich auf einer separaten, nicht eingefrorenen Partition oder einem Netzlaufwerk liegen. So sind sie vom System getrennt und können weder durch fehlerhafte Updates noch durch Malware auf der Systempartition betroffen werden.

Das Ergebnis: Dein System wäre nach dem Neustart wieder voll funktionsfähig. Das fehlerhafte Update müsste natürlich nicht erneut installiert werden – Deep Freeze hätte es komplett eliminiert. Du hättest in Ruhe abwarten können, bis Microsoft das Problem behoben hat.

Die Lehre

• Auch offizielle Updates können Deine Daten zerstören. Microsoft ist der Hersteller des Betriebssystems – und trotzdem löschte ein offizielles Update persönliche Dateien. Blindes Vertrauen in Updates ist gefährlich.
• Virenscanner schützen nicht vor fehlerhaften Updates. Sie erkennen nur Malware, nicht fehlerhafte Logik in vertrauenswürdigen Systemprozessen.
• Datenrettung ist unzuverlässig. Wenn gelöschte Sektoren überschrieben werden, sind die Daten endgültig weg. Eine Strategie, die auf nachträgliche Reparatur setzt, ist grundsätzlich riskant.
• Deep Freeze und eine klare Partitionierung sind der beste Schutz: Systempartition einfrieren, persönliche Daten auf eine separate Partition. So kann weder ein fehlerhaftes Update noch Malware Deine Daten auf der Systempartition dauerhaft verändern.
• Die eingefrorene Systempartition macht Rollbacks überflüssig. Statt auf Microsofts Recovery-Mechanismen zu hoffen, setzt Deep Freeze das System zuverlässig zurück – ganz ohne manuellen Eingriff.