Die Suspendierungen waren das Ergebnis einer automatisierten Sicherheitsmaßnahme: Microsoft hatte im Oktober 2024 eine verpflichtende Kontoüberprüfung für alle Partner im Windows Hardware Program angekündigt, die ihre Verifizierung seit April 2024 nicht abgeschlossen hatten. Der Überprüfungsprozess begann am 16. Oktober 2024 und sollte nach 30 Tagen automatisch Konten sperren, deren Inhaber die Verifizierung nicht durchgeführt hatten. Im März 2025 bestätigte Microsoft dann die Suspendierungen.
Doch hier zeigt sich das zentrale Problem: Die betroffenen Entwickler erhielten nach eigener Aussage keine oder nur unzureichende Benachrichtigungen. Mounir Idrassi, Entwickler von VeraCrypt, berichtete: „Microsoft kündigte mein Konto, ohne mich vorher zu informieren. Ich habe keine Erklärung erhalten und die Nachricht zeigt an, dass keine Einspruchsmöglichkeit besteht.” Ähnlich erging es Jason A. Donenfeld von WireGuard und den Teams hinter Windscribe und MemTest86. Sie alle versuchten wochenlang, einen echten Microsoft-Support-Mitarbeiter zu erreichen – erfolglos.
Das Problem wird akut, wenn man an Sicherheitslücken denkt: Donenfeld warnte: „Was ist, wenn es einen kritischen Remote Code Execution-Bug in WireGuard gibt, der aktiv ausgenutzt wird? Ich könnte Nutzer nicht sofort aktualisieren.” Solche Szenarien sind in der Cybersicherheit keine Theorie, sondern ernsthafte Risiken.
Microsoft-Vizepräsident Scott Hanselman erklärte hinterher, dass die Unternehmen „wirklich viel getan” haben, um die Partner zu informieren – über E-Mails, Banner und Erinnerungen seit Oktober 2024. Das klingt wie eine Entschuldigung, die die Realität verkennt: Gerade bei sicherheitskritischen Infrastrukturen braucht es mehr als automatisierte Massenmails.
Immmerhin reagierte Microsoft schnell auf die mediale Aufmerksamkeit. Hanselman versprach Hilfe bei der Reaktivierung, und auch Pavan Davuluri, Microsofts Executive Vice President für Windows und Devices, räumte ein: „Wir wissen, dass Dinge übersehen werden. Wir nutzen dies als Gelegenheit, um zu überprüfen, wie wir Änderungen kommunizieren und es besser zu machen.” Die suspendierten Konten sollen nun wiederhergestellt werden.
Für die deutschsprachige Entwickler-Community und Nutzer bleibt eine wichtige Lektion: Selbst bei großen Technologiekonzernen können Kommunikationspannen zu Sicherheitsausfällen führen. Open-Source-Projekte müssen sich auf robuste, transparente Kommunikationsprozesse verlassen können – besonders wenn es um Sicherheitsupdates geht.