Mit den April-Updates für Windows hat Microsoft bei der Anmeldung per Kamera über Windows Hello einige Probleme verursacht. Während ein Teil davon mit nachfolgenden Updates gefixt wurde, besteht eines dieser Probleme noch immer: Die Gesichtserkennung funktioniert nicht mehr, wenn es dunkel ist. Und einem Bericht von Windows Central zufolge scheint dies kein Bug, sondern Absicht zu sein.
Im Netz sind zahlreiche Beschwerden von Nutzern zu finden, bei denen der Log-in per Gesichtsscan an Windows-Geräten seit einiger Zeit gerade bei schlechten Lichtverhältnissen nicht mehr zuverlässig funktioniert. Auch die Golem.de-Redaktion konnte das Verhalten an einem Lenovo-Notebook nachvollziehen. Dort fragt Windows Hello seit April bei Dunkelheit regelmäßig die Pin ab, weil die Gesichtserkennung versagt.
Wie ein Blick in die Support-Beiträge zu den April-Updates (etwa KB5055523 für Windows 11 oder KB5055518 für Windows 10) verrät, erfordert die Anmeldung per Gesichtsscan bei Windows Hello neuerdings ein sichtbares Gesicht vor der regulären aber lichtabhängigen Webcam. Dass nur die IR-Kamera, die auch bei Dunkelheit funktioniert, ein Gesicht erkennt, reicht seit April nicht mehr aus.
Fix gegen Spoofing-Schwachstelle
Als Grund für diese Änderung gibt Microsoft eine "verbesserte Sicherheit" an und verweist auf die Sicherheitslücke CVE-2025-26644. Dabei handelt es sich um eine Spoofing-Schwachstelle mit mittlerem Schweregrad (CVSS: 5,1) in Windows Hello. Wie genau ein Angreifer die Lücke ausnutzen kann, ist unklar. Offenkundig reicht sie aber aus, Windows Hello bei der Gesichtserkennung über den IR-Sensor zu täuschen. Neben Windows 10 und 11 scheinen auch Windows Server 2019 und 2025 von dem Problem betroffen zu sein. Zumindest haben diese vier Systeme im April Patches gegen CVE-2025-26644 erhalten.
Im Netz kursiert bereits ein Workaround, durch den die Anmeldung bei Dunkelheit wieder funktioniert. Dafür reicht es aus, die reguläre Webcam im Gerätemanager zu deaktivieren. Dadurch wird Windows Hello zur Verwendung der IR-Kamera gezwungen, da keine Alternative mehr zur Verfügung steht. Für Anwender, die ihre Webcam häufig verwenden, ist das aber wahrscheinlich keine gute Option.
Die Golem.de-Redaktion kann bestätigen, dass der Log-in bei schlechten Lichtverhältnissen mit dem Workaround wieder funktioniert. Zudem gelingt die Erkennung auch bei Tageslicht spürbar schneller und zuverlässiger. Unklar bleibt jedoch, ob das System dadurch auch wieder für CVE-2025-26644 anfällig wird oder ob sich die Lücke nur ausnutzen lässt, wenn das System neben dem IR-Sensor auch Zugriff auf eine normale Farbkamera hat.
