Windows Drucker-Bluescreen: Update KB5000802 legte Drucker weltweit lahm

Am 9. März 2021 verteilte Microsoft das kumulative Update KB5000802 als Teil des regulären Patch Tuesday. Was als Sicherheitsupdate gedacht war, verursachte einen der bizarrsten Windows-Fehler der letzten Jahre: Beim Versuch, ein Dokument zu drucken, stürzte der gesamte Rechner mit einem Bluescreen ab. Weltweit standen Drucker still – in Unternehmen, Behörden, Arztpraxen und Privathaushalten.

Der Vorfall

Am Dienstag, dem 9. März 2021, lieferte Microsoft im Rahmen des monatlichen Patch Tuesday das Sicherheitsupdate KB5000802 für Windows 10 aus. Das Update sollte unter anderem eine Sicherheitslücke im Windows-Druckerspooler beheben – eine Komponente, die in den folgenden Monaten noch für erhebliche Probleme sorgen sollte (Stichwort „PrintNightmare").

Bereits wenige Stunden nach der Installation begannen Nutzer weltweit, ein ungewöhnliches Problem zu melden: Beim Versuch, ein Dokument zu drucken, stürzte Windows mit dem Bluescreen-Fehlercode „APC_INDEX_MISMATCH" im Treiber „win32kfull.sys" ab. Der Fehler trat nicht bei allen Druckern auf, aber er betraf ein breites Spektrum an Modellen von Kyocera, Ricoh, Zebra, Dymo und anderen Herstellern.

Die Situation war besonders kritisch für Unternehmen, die auf das Drucken angewiesen waren: Logistikunternehmen konnten keine Versandetiketten mehr drucken. Arztpraxen konnten keine Rezepte ausdrucken. Einzelhändler konnten keine Kassenbons erstellen. Die IT-Hotlines bei Druckerherstellern und Microsoft liefen heiß.

Microsoft bestätigte das Problem am 11. März und veröffentlichte am 15. März ein außerplanmäßiges Notfall-Update (KB5001567), das den Fehler behob. In der Zwischenzeit rieten IT-Experten dazu, das Update KB5000802 manuell zu deinstallieren – was allerdings die Sicherheitslücken wieder öffnete, die das Update eigentlich schließen sollte.

Wie der Angriff funktionierte

Der Drucker-Bluescreen folgte einem klar nachvollziehbaren mehrstufigen Ablauf:

Stufe 1 – Das automatische Update: Windows Update lud KB5000802 herunter und installierte es beim nächsten Neustart. Die meisten Nutzer hatten automatische Updates aktiviert und bemerkten die Installation nicht einmal.

Stufe 2 – Die fehlerhafte Kernel-Komponente wird aktiv: Das Update ersetzte die Systemdatei „win32kfull.sys" – eine zentrale Kernel-Komponente, die für die Grafikverarbeitung zuständig ist. Die neue Version enthielt einen Fehler in der Art, wie bestimmte Druckertreiber mit dem Grafik-Subsystem kommunizierten.

Stufe 3 – Der Druckbefehl als Auslöser: Sobald ein Nutzer einen Druckauftrag an einen betroffenen Drucker schickte, versuchte der Druckerspooler, die Druckdaten über den Kernel-Grafiktreiber zu verarbeiten. Die fehlerhafte win32kfull.sys-Datei verursachte dabei eine Inkonsistenz im APC-Index (Asynchronous Procedure Call), die zu einem sofortigen Kernelabsturz führte.

Stufe 4 – Der Bluescreen und der Datenverlust: Der Rechner zeigte den berüchtigten Blue Screen of Death mit dem Fehlercode APC_INDEX_MISMATCH. Alle nicht gespeicherten Arbeiten gingen verloren. Nach dem Neustart funktionierte der Rechner zwar wieder – bis zum nächsten Druckversuch.

Warum Virenscanner versagten

Die Drucker-BSOD-Krise macht deutlich, warum Virenscanner gegen fehlerhafte Systemupdates machtlos sind:

• Signierte Microsoft-Updates sind über jeden Verdacht erhaben. KB5000802 war ein offizielles, digital signiertes Microsoft-Update. Jeder Virenscanner auf dem Markt behandelt solche Updates als absolut vertrauenswürdig. Eine Blockade wäre undenkbar.
• Die fehlerhafte Datei war kein Schadcode. win32kfull.sys ist eine legitime Windows-Systemdatei. Die neue Version unterschied sich nur in wenigen Bytes von der vorherigen – und zwar in Bytes, die keiner Malware-Signatur entsprachen.
• Verhaltensanalyse erkennt den Fehler nicht rechtzeitig. Der APC_INDEX_MISMATCH-Fehler tritt im Kernel-Modus auf, wo kein Virenscanner schnell genug reagieren kann. Zwischen dem fehlerhaften Funktionsaufruf und dem Bluescreen vergehen Mikrosekunden.
• Die Ironie des Patch-Zyklus: Das Update sollte Sicherheitslücken schließen. Wer es deinstallierte, war wieder anfällig für die ursprünglichen Schwachstellen. Nutzer standen vor der Wahl: Sicherheitslücken oder Bluescreen beim Drucken.

So hätte Deep Freeze geschützt

Deep Freeze hätte das Drucker-BSOD-Problem auf die einfachste denkbare Weise gelöst:

1. Das Update wäre installiert worden – Deep Freeze verhindert keine Installationen während der laufenden Sitzung. KB5000802 wäre wie auf jedem anderen Rechner eingespielt worden.
2. Der erste Druckversuch hätte den Bluescreen ausgelöst – auch mit Deep Freeze. Der Kernel-Fehler wäre aufgetreten.
3. Der erzwungene Neustart durch den Bluescreen hätte Deep Freeze aktiviert. Die eingefrorene Systempartition wäre auf den Zustand vor dem Update zurückgesetzt worden. Die fehlerhafte win32kfull.sys-Datei wäre durch die vorherige, funktionierende Version ersetzt worden.
4. Nach dem Neustart hätte der Rechner normal funktioniert – einschließlich Drucken. Das fehlerhafte Update wäre komplett entfernt.
5. Du hättest Windows Update pausieren können, bis Microsoft das Problem behoben hat, und dann gezielt das korrigierte Update KB5001567 installiert.

Der entscheidende Unterschied: Ohne Deep Freeze mussten IT-Administratoren entweder das Update manuell deinstallieren (und Sicherheitslücken akzeptieren) oder auf das Notfall-Update warten (und tagelang nicht drucken können). Mit Deep Freeze genügte ein einziger Neustart.

Die Lehre

• Sicherheitsupdates können neue Probleme schaffen. Das Update KB5000802 sollte Sicherheitslücken schließen und machte stattdessen das Drucken unmöglich. Ein Tausch von einem Problem gegen ein anderes.
• Kernel-Fehler sind von Virenscannern nicht abfangbar. Wenn eine fehlerhafte Systemdatei im Kernel-Modus abstürzt, kann keine Sicherheitssoftware schnell genug reagieren.
• Unternehmen brauchen eine Rollback-Strategie. Ohne die Möglichkeit, ein fehlerhaftes Update schnell rückgängig zu machen, stehen ganze Abteilungen still.
• Deep Freeze ist der schnellste Rollback-Mechanismus. Ein Neustart genügt – keine manuelle Deinstallation, keine Registry-Eingriffe, kein Risiko. Die eingefrorene Systempartition stellt den funktionierenden Zustand automatisch wieder her.
• Kombiniere Deep Freeze mit einem Update-Management: Teste Updates erst auf einem nicht eingefrorenen Testrechner. Wenn alles funktioniert, tausche das Freeze-Image. So hast Du immer ein sicheres, aktuelles System.