Der Konflikt zwischen Microsoft und dem Sicherheitsforscher Chaotic Eclipse eskaliert weiter. Der Forscher wirft Microsoft vor, seine Anfragen zur koordinierten Schwachstellenmeldung ignoriert und ihn öffentlich herabgewürdigt zu haben. Daraufhin entschied er sich, die Schwachstellen ohne vorherige Benachrichtigung des Unternehmens öffentlich zu machen – ein drastischer Schritt, der in der Sicherheitscommunity höchst umstritten ist.
Microsofts Reaktion fällt deutlich aus: Der Konzern betont, dass die öffentliche Offenlegung ungedeckter Sicherheitslücken “echte Konsequenzen” hat, wenn Exploit-Code in die Hände von Cyberkriminellen gelangt. Tatsächlich werden BlueHammer, RedSun und UnDefend bereits in der freien Wildbahn ausgenutzt – ein hohes Risiko für Millionen Windows-Nutzer weltweit. Microsoft-Teams arbeiten nach eigenen Angaben rund um die Uhr an Patches und zum Schutz der Kunden.
Die technische Dimension ist gravierend: BitLocker und Windows Defender gehören zu den wichtigsten Sicherheitsmechanismen von Windows. Lücken in diesen Systemen können schwerwiegende Konsequenzen haben. Deutsche Behörden und kritische Infrastrukturen, die auf Windows und BitLocker setzen, müssen mit erhöhter Vorsicht rechnen.
Doch auch Microsofts Umgang mit dem Forscher wird hinterfragt. Die Sperrung seines GitHub-Accounts und die nachfolgende Blockade auf GitLab wirken wie Zensur – was die Debatte über Forscherrechte und Disclosure-Prozesse neu anfacht. Der Forscher hat angekündigt, am 14. Juli 2026 etwas zu veröffentlichen, das weitere Konsequenzen haben könnte.
Aus Perspektive der deutschen Sicherheitslandschaft ist dieser Fall ein Weckruf: Das BSI sollte die Entwicklung genau beobachten und ggf. Unternehmen zu schnelleren Patch-Prozessen mahnen. Auch die DSGVO-Meldepflicht könnte relevant werden, sollten personenbezogene Daten durch diese Lücken kompromittiert werden. Der Fall zeigt: Ohne transparente und faire Kommunikation zwischen Herstellern und Forschern leiden letztlich alle – vor allem die Nutzer.