Mit dem Sicherheitsupdate vom Oktober 2025 deaktiviert Microsoft in Windows den Datei-Explorer-Vorschaubereich für Dateien, die aus dem Internet heruntergeladen oder aus unsicheren Quellen stammen. Beim Versuch, eine solche Datei im Vorschaufenster anzuzeigen, erscheint nun eine Warnmeldung: „The file you are attempting to preview could harm your computer“. Ziel ist es, eine Sicherheitslücke zu schließen, die es Angreifern ermöglichte, über manipulierte Dokumente NTLM-Authentifizierungsdaten zu stehlen. Die Änderung wurde für Windows 10, Windows 11 und entsprechende Server-Versionen ausgerollt.

Inhaltsverzeichnis

Warum diese Änderung – Gefährdung durch NTLM-Hashes

Im Kern geht es um eine Angriffsmethode, bei der speziell präparierte Dateien bereits durch die Vorschaufunktion des Explorers eine Netzwerkverbindung zu Servern der Angreifer herstellen konnten. Dabei konnten NTLM-Hashes – also Authentifizierungsdaten, die Windows im lokalen Netzwerk verwendet – abgegriffen werden. Diese Daten lassen sich später für sogenannte „Relay-Angriffe“ einsetzen, mit denen sich ein Angreifer als legitimer Nutzer ausgeben kann.

Betroffen waren insbesondere Dateien, die mit dem „Mark of the Web“ versehen sind. Diese Kennzeichnung wird automatisch gesetzt, wenn eine Datei aus dem Internet heruntergeladen wird. Der Explorer zeigt solche Dateien nun nicht mehr automatisch an, um das unbemerkte Auslösen potenziell gefährlicher Code-Ausführungen in der Vorschau zu verhindern.

Wer ist betroffen und was ändert sich?

Die Änderung betrifft alle Systeme, auf denen die aktuellen Sicherheitsupdates installiert wurden. Nutzer bemerken die Änderung vor allem daran, dass die Vorschau für heruntergeladene PDFs, Word- oder Excel-Dokumente nicht mehr angezeigt wird. Stattdessen erscheint die Warnmeldung. Die Dateien können jedoch weiterhin geöffnet werden – nur die automatische Vorschau ist deaktiviert.

Das wirkt sich vor allem auf Anwender aus, die häufig mit heruntergeladenen Dokumenten arbeiten, etwa in Buchhaltung, Verwaltung oder Redaktion. Der bisher gewohnte schnelle Blick in den Dateiinhalt über das Vorschaufenster ist nun nicht mehr ohne weiteres möglich.

Was können Nutzer und Administratoren tun?

Microsoft bietet Möglichkeiten, die Vorschaufunktion für einzelne Dateien wieder freizuschalten. Dazu genügt ein Rechtsklick auf die betreffende Datei, dann „Eigenschaften“ wählen und am unteren Rand den Haken bei „Blockierung aufheben“ („Unblock“) setzen. Danach lässt sich die Datei wieder normal im Explorer anzeigen.

Für Administratoren und größere Organisationen gibt es weitere Optionen. Mit PowerShell lässt sich der Befehl Unblock-File verwenden, um mehrere Dateien gleichzeitig freizuschalten. Alternativ können Gruppenrichtlinien so angepasst werden, dass bestimmte vertrauenswürdige Dateipfade oder Server von der Blockierung ausgenommen werden. Microsoft rät jedoch davon ab, diese Schutzmaßnahme pauschal zu deaktivieren, da sie ein wichtiges Sicherheitsrisiko adressiert.

Die Deaktivierung der Dateivorschau für Downloads ist ein klarer Schritt in Richtung „Secure by Default“. Zwar schränkt die Maßnahme den Komfort im Alltag ein, verhindert aber effektiv, dass Schadcode über unbedarfte Vorschauaktionen ausgeführt wird. Microsoft hat damit eine potenziell kritische Sicherheitslücke geschlossen, bevor sie in großem Umfang ausgenutzt werden konnte.

Unternehmen und Privatanwender sollten sich auf den neuen Standard einstellen und gegebenenfalls Schulungen oder Hinweise für Mitarbeiter einführen. Wer häufig mit externen Dateien arbeitet, sollte lernen, wann und wie man eine Datei sicher freigibt. Die Balance zwischen Komfort und Sicherheit bleibt dabei wie so oft eine Frage bewusster Abwägung.