Die Zeiten, in denen Windows Notepad als harmloser Texteditor galt, sind vorbei. Microsoft hat eine gravierende Sicherheitslücke in seinem altbekannten Editor bestätigt, die Angreifer nutzen können, um Schadsoftware auf deinem Computer auszuführen. Die Schwachstelle steht in direktem Zusammenhang mit der neuen Markdown-Funktion, die Microsoft erst im Mai 2025 implementiert hat. Was du jetzt wissen musst und wie du dich schützen kannst, erfährst du in diesem Artikel.
Was ist passiert? Die CVE-2026-20841 Sicherheitslücke erklärt
Microsoft hat am 10. Februar 2026 im Rahmen des monatlichen Patch Tuesday eine kritische Sicherheitslücke in Windows Notepad geschlossen. Die Schwachstelle trägt die Bezeichnung CVE-2026-20841 und erhält einen CVSS-Score von 8,8 von 10 möglichen Punkten. Damit gilt sie als hohes Sicherheitsrisiko.
Das Problem liegt in der Art und Weise, wie Notepad mit Markdown-Dateien umgeht. Seit Microsoft dem Editor die Fähigkeit verliehen hat, Markdown-formatierte Texte darzustellen, können Links in solchen Dateien direkt angeklickt werden. Genau diese Funktion öffnet Cyberkriminellen Tür und Tor.
Die Schwachstelle basiert auf einer Command Injection. Das bedeutet, dass speziell präparierte Befehle in Markdown-Dateien nicht korrekt gefiltert werden und stattdessen als ausführbare Anweisungen interpretiert werden können. Angreifer können diese Lücke ausnutzen, um externe Programme zu laden und auszuführen, ohne dass du davon etwas mitbekommst.
So läuft ein Angriff ab
Der Angriffsvektor ist erschreckend einfach und erfordert lediglich ein wenig Social Engineering. Ein Hacker erstellt eine manipulierte Markdown-Datei mit einem bösartigen Link. Diese Datei könnte dir per E-Mail zugeschickt werden, als Download auf einer Website angeboten werden oder über andere Kanäle zu dir gelangen.
Sobald du diese Datei in Notepad öffnest, erscheint der eingebettete Link wie ein normaler Hyperlink. Dank der Markdown-Unterstützung wird er sogar farblich hervorgehoben und sieht vollkommen vertrauenswürdig aus. Die meisten Nutzer würden erwarten, dass dieser Link zu einer Webseite führt.
Tatsächlich kann der Link jedoch so präpariert sein, dass er beim Anklicken nicht verifizierte Protokolle startet. Diese laden dann ferngesteuert Schadcode herunter und führen ihn direkt auf deinem System aus. Der Code erhält dabei dieselben Berechtigungen wie dein Windows-Benutzerkonto. Wenn du mit Administrator-Rechten angemeldet bist, hat der Angreifer sogar vollständigen Zugriff auf deinen Computer.
Microsoft warnt in seinem Sicherheitsbulletin ausdrücklich davor, dass Angreifer Nutzer gezielt dazu verleiten können, auf solche manipulierten Links zu klicken. Der ausgeführte Schadcode läuft im Sicherheitskontext des Benutzers, der die Markdown-Datei geöffnet hat. Dadurch erhält der Angreifer Zugang zu lokalen Dateien, Netzwerkfreigaben und allen Tools, auf die auch du Zugriff hast.
Warum ist ausgerechnet Notepad betroffen?
Jahrelang war Windows Notepad der Inbegriff eines minimalistischen Texteditors. Das Programm konnte kaum mehr als Text öffnen, bearbeiten und speichern. Genau diese Einfachheit machte es so sicher. Komplexe Angriffsvektoren wie Remote Code Execution waren schlichtweg nicht möglich.
Doch seit Microsoft 2022 begonnen hat, Notepad grundlegend zu überarbeiten, hat sich das geändert. Die Integration von Copilot, erweiterte Formatierungsoptionen und eben die Markdown-Unterstützung haben den Editor deutlich komplexer gemacht. Mit jeder neuen Funktion wächst die potenzielle Angriffsfläche.
Die Markdown-Funktion wurde im Mai 2025 hinzugefügt, um die Lücke zu füllen, die die Einstellung von WordPad hinterlassen hatte. Während viele Nutzer diese Modernisierung begrüßten, kritisierten andere die Abkehr von der ursprünglichen Philosophie eines schlanken, schnellen Editors ohne überflüssige Features.
Die aktuelle Sicherheitslücke zeigt, dass diese Kritik berechtigt war. Ein Editor, der früher zu simpel für ernsthafte Sicherheitsprobleme war, kann nun als Einfallstor für Cyberangriffe d�ienen.
Welche Versionen sind betroffen?
Wichtig zu wissen ist, dass nicht alle Notepad-Versionen von der Schwachstelle betroffen sind. CVE-2026-20841 betrifft ausschließlich die moderne Microsoft Store-Version von Notepad. Konkret sind alle Versionen von 11.0.0 bis vor Version 11.2510 anfällig.
Die klassische Notepad.exe, die fest in Windows integriert ist und seit Jahrzehnten existiert, ist von dieser Sicherheitslücke nicht betroffen. Sie verfügt schlichtweg nicht über die Markdown-Funktionalität, die das Problem erst ermöglicht.
Das bedeutet aber nicht, dass du in Sicherheit bist, wenn du glaubst, die alte Version zu nutzen. Auf den meisten modernen Windows-10- und Windows-11-Systemen ist standardmäßig die Store-Version installiert und als Standard-Editor festgelegt.
So schützt du dich vor der Schwachstelle
Die gute Nachricht ist, dass Microsoft bereits einen Sicherheitspatch veröffentlicht hat. Der Fix wurde am 10. Februar 2026 als Teil der regulären Patch-Tuesday-Updates ausgerollt. Um dich zu schützen, solltest du folgende Schritte durchführen.
Stelle zunächst sicher, dass dein Windows-System auf dem neuesten Stand ist. Öffne die Windows-Einstellungen, navigiere zu Windows Update und installiere alle verfügbaren Updates. Der Sicherheitspatch für Notepad wird über diese Updates automatisch installiert.
Da Notepad eine Microsoft Store-App ist, solltest du außerdem den Store öffnen und nach App-Updates suchen. Gehe dazu in den Microsoft Store, klicke auf Bibliothek und dann auf Updates abrufen. Stelle sicher, dass Notepad mindestens in Version 11.2510 oder höher vorliegt.
Aktiviere am besten die automatischen Updates für Store-Apps, damit du in Zukunft nicht manuell nach Updates suchen musst. Du findest diese Option in den Windows-Einstellungen unter Apps und dann unter Erweiterte App-Einstellungen.
Zusätzlich zum technischen Schutz ist gesunder Menschenverstand deine beste Verteidigung. Lade keine Dateien aus nicht vertrauenswürdigen Quellen herunter. Sei besonders vorsichtig bei E-Mail-Anhängen, selbst wenn sie von bekannten Absendern zu stammen scheinen. Markdown-Dateien mit der Endung .md galten bisher als harmlos, doch diese Schwachstelle zeigt, dass auch sie als Angriffsvektor dienen können.
Wenn du eine Markdown-Datei öffnen musst, deren Herkunft du nicht zu 100 Prozent verifizieren kannst, sei extrem vorsichtig mit eingebetteten Links. Klicke sie im Zweifelsfall nicht an, sondern kopiere die URL und öffne sie manuell in deinem Browser, nachdem du sie geprüft hast.
Microsofts Lösung: Warnung statt Blockierung
Interessanterweise hat sich Microsoft bei der Behebung der Schwachstelle für einen moderaten Ansatz entschieden. Anstatt Links mit nicht-standardisierten Protokollen komplett zu blockieren, zeigt Notepad nun eine Warnung an, wenn ein Link nicht die gängigen http:// oder https:// Protokolle verwendet.
Die Warnung lautet: „Dieser Link könnte unsicher sein“. Der Nutzer kann dann selbst entscheiden, ob er den Link trotzdem öffnen möchte. Diese Lösung hat zwei Seiten. Einerseits ermöglicht sie weiterhin die Nutzung legitimer alternativer Protokolle. Andererseits stellt sie eine Hürde dar, die durch cleveres Social Engineering überwunden werden kann.
Kritiker merken an, dass eine solche Warnung nicht ausreicht, wenn ein Angreifer seine Opfer geschickt manipuliert. Ein gut formulierter Text in der manipulierten Markdown-Datei könnte Nutzer dazu bringen, die Warnung zu ignorieren und den Link trotzdem anzuklicken.
Nicht verwechseln: Notepad vs. Notepad++
An dieser Stelle ist eine wichtige Klarstellung notwendig. Die beschriebene Sicherheitslücke CVE-2026-20841 betrifft ausschließlich Microsofts Windows Notepad. Sie hat nichts mit Notepad++ zu tun, dem beliebten Open-Source-Texteditor.
Allerdings gab es zeitgleich auch bei Notepad++ schwerwiegende Sicherheitsprobleme. Im Februar 2026 wurde bekannt, dass der Update-Mechanismus von Notepad++ seit Juni 2025 von staatlich unterstützten Hackern kompromittiert worden war. Die Angreifergruppe Lotus Blossom, auch bekannt als Raspberry Typhoon, hatte es geschafft, Malware über gefälschte Updates zu verteilen.
Dieser Angriff betraf die Update-Infrastruktur und nicht den Code von Notepad++ selbst. Die Kompromittierung erfolgte auf Ebene des Hosting-Anbieters. Betroffene Nutzer sollten auf Version 8.9.1 oder höher aktualisieren, die XML-Signaturvalidierung für Updates enthält.
Trotz der zeitlichen Nähe der Sicherheitsprobleme handelt es sich um zwei völlig unterschiedliche Programme und separate Sicherheitslücken. Beide verdienen aber Aufmerksamkeit, wenn du einen der beiden Editoren nutzt.
Die Debatte um überladene Software
Die Notepad-Sicherheitslücke hat eine grundsätzliche Diskussion über Softwareentwicklung neu entfacht. Viele Nutzer und Sicherheitsexperten fragen sich, ob es wirklich notwendig war, einen simplen Texteditor mit Features wie Markdown-Rendering, Copilot-Integration und Netzwerkfunktionalität auszustatten.
Die Kritik richtet sich gegen einen Trend, den Microsoft und andere Softwarehersteller seit Jahren verfolgen: Jedes Programm wird mit immer mehr Funktionen vollgepackt, selbst wenn diese für die Kernaufgabe nicht nötig sind. Was früher als Feature-Creep verspottet wurde, ist heute gängige Praxis.
Das Problem dabei ist offensichtlich: Jede zusätzliche Funktion erhöht die Komplexität der Software und damit die Wahrscheinlichkeit von Sicherheitslücken. Ein Texteditor, der nur Text öffnet und speichert, kann kaum anfällig für Remote Code Execution sein. Ein Texteditor mit Markdown-Rendering, aktiven Links und Internetanbindung bietet deutlich mehr Angriffsfläche.
Einige Nutzer haben bereits mit Sarkasmus auf die Meldung reagiert. Der Tenor: „Das ist das, was passiert, wenn man aus einem simplen Texteditor ein Feature-Monster macht.“ Andere gehen noch weiter und fordern, dass Microsoft Notepad wieder auf seine ursprüngliche Funktion zurückstutzt.
Statistiken und Bewertungen zur Sicherheitslücke
Die Sicherheitsforschergemeinde hat CVE-2026-20841 genau analysiert. Die Schwachstelle wurde von drei unabhängigen Sicherheitsexperten entdeckt: Cristian Papa, einem Application Security Engineer, Alasdair Gorniak, einem Sicherheitsforscher, sowie einem Researcher mit dem Pseudonym „Chen“.
Das Common Vulnerability Scoring System (CVSS) bewertet die Schwachstelle mit 8,8 von 10 Punkten. Diese hohe Bewertung ergibt sich aus verschiedenen Faktoren. Die Ausnutzung ist über das Netzwerk möglich, erfordert jedoch Nutzerinteraktion. Die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit werden jeweils als hoch eingestuft.
Microsoft klassifiziert die Schwachstelle als „Important“ (Wichtig), nicht als „Critical“ (Kritisch). Der Grund dafür ist, dass ein erfolgreicher Angriff Nutzerinteraktion erfordert. Ein Opfer muss aktiv eine Datei öffnen und auf einen Link klicken. Automatische Angriffe ohne Zutun des Nutzers sind nicht möglich.
Zum Zeitpunkt der Veröffentlichung gab es nach Angaben von Microsoft keine Hinweise darauf, dass die Schwachstelle bereits von Cyberkriminellen aktiv ausgenutzt wurde. Sie wurde auch nicht öffentlich bekannt, bevor der Patch verfügbar war. Das reduziert das unmittelbare Risiko für Nutzer, die zeitnah das Update installieren.
Dennoch ist Vorsicht geboten. Nun, da die Schwachstelle öffentlich dokumentiert ist, werden Angreifer sehr wahrscheinlich versuchen, sie gegen Systeme einzusetzen, die noch nicht gepatcht wurden. Die Zeitspanne zwischen der Veröffentlichung eines Sicherheitspatches und der ersten aktiven Ausnutzung wird in der Cybersecurity-Branche als „Patch-Window“ bezeichnet und beträgt oft nur wenige Tage.
Weitere Sicherheitsprobleme im Februar 2026 Patch Tuesday
Die Notepad-Schwachstelle war nicht die einzige Sicherheitslücke, die Microsoft im Februar 2026 geschlossen hat. Der Patch Tuesday umfasste insgesamt 54 behobene Sicherheitslücken in verschiedenen Microsoft-Produkten.
Besonders brisant: Sechs dieser Schwachstellen wurden bereits aktiv von Angreifern ausgenutzt, bevor der Patch verfügbar war. Diese Zero-Day-Exploits stellten ein akutes Risiko dar. Drei weitere Schwachstellen waren bereits öffentlich bekannt, bevor Microsoft einen Fix bereitstellen konnte.
Zu den weiteren kritischen Problemen gehören Schwachstellen in Microsoft Azure, verschiedenen GitHub Copilot-Komponenten und Hyper-V. Auch Windows Shell und das MSHTML Framework waren von Sicherheitslücken betroffen, die es Angreifern ermöglichten, Sicherheitsfunktionen zu umgehen.
Die schiere Anzahl an Sicherheitslücken verdeutlicht, vor welchen Herausforderungen Softwarehersteller und Nutzer stehen. Laut einer Analyse von Tenable hat Microsoft im gesamten Jahr 2025 insgesamt 1.130 Sicherheitslücken geschlossen. Remote Code Execution-Schwachstellen machten dabei 30,8 Prozent aller Fixes aus.
Langfristige Empfehlungen für mehr Sicherheit
Über das unmittelbare Patchen hinaus gibt es mehrere Maßnahmen, die du ergreifen kannst, um deine Sicherheit langfristig zu erhöhen. Aktiviere die automatischen Windows-Updates, damit du zukünftige Sicherheitspatches sofort erhältst. Auch wenn automatische Updates manchmal lästig sein können, sind sie deine erste Verteidigungslinie gegen bekannte Schwachstellen.
Arbeite nach Möglichkeit nicht mit Administrator-Rechten. Nutze für den täglichen Gebrauch ein Benutzerkonto mit eingeschränkten Rechten. Selbst wenn ein Angreifer Code in deinem Sicherheitskontext ausführt, sind seine Möglichkeiten dann deutlich begrenzter.
Sensibilisiere dich selbst und andere Nutzer in deinem Umfeld für Social Engineering. Die meisten erfolgreichen Angriffe beginnen nicht mit technischer Raffinesse, sondern mit psychologischer Manipulation. Wenn du weißt, worauf du achten musst, kannst du viele Angriffe bereits im Ansatz erkennen.
Überlege dir, ob du alle Features wirklich benötigst, die moderne Software bietet. Wenn du die Markdown-Funktionalität in Notepad nicht nutzt, kannst du sie in den Einstellungen deaktivieren. Weniger aktive Features bedeuten weniger potenzielle Sicherheitslücken.
Für professionelle Anwender empfiehlt sich der Einsatz von Endpoint Detection and Response (EDR) Lösungen. Diese können verdächtige Aktivitäten wie den unerwarteten Start von Prozessen durch Notepad erkennen und blockieren. Auch Application Whitelisting kann helfen, indem es nur explizit erlaubte Programme zur Ausführung zulässt.
Fazit: Alte Tugenden neu schätzen lernen
Die CVE-2026-20841 Sicherheitslücke in Windows Notepad ist mehr als nur ein weiterer Patch-Tuesday-Eintrag. Sie ist ein Weckruf und eine Erinnerung daran, dass Einfachheit nicht nur ein nostalgisches Ideal ist, sondern einen echten Sicherheitsvorteil darstellen kann.
Die Ironie der Situation liegt auf der Hand: Ein Programm, das jahrzehntelang als zu simpel galt, um interessant zu sein, wurde durch seine Modernisierung anfällig für Angriffe, die früher undenkbar gewesen wären. Die Integration von Features, die niemand wirklich gebraucht hat, hat eine Lücke geschaffen, die nun Millionen von Nutzern gefährdet.
Die gute Nachricht ist, dass Microsoft schnell reagiert und einen Patch bereitgestellt hat. Wenn du dein System auf dem neuesten Stand hältst und beim Öffnen fremder Dateien vorsichtig bist, ist das Risiko überschaubar. Die schlechte Nachricht ist, dass dies vermutlich nicht die letzte Sicherheitslücke sein wird, die aus der zunehmenden Komplexität von Notepad resultiert.
Für die Zukunft bleibt zu hoffen, dass Softwarehersteller wieder stärker über die Balance zwischen Features und Sicherheit nachdenken. Nicht jedes Programm muss mit künstlicher Intelligenz und Cloud-Anbindung ausgestattet werden. Manchmal ist weniger tatsächlich mehr – besonders wenn es um deine Sicherheit geht.
