SchwachstellenHackerangriffeCyberkriminalität

Microsoft droht Sicherheitsforschern – und zieht das Versprechen schnell zurück

Von CyberDeutsch Redaktion
Microsoft droht Sicherheitsforschern – und zieht das Versprechen schnell zurück
Zusammenfassung

Microsofts drastische Drohung gegen einen Sicherheitsforscher, der Zero-Day-Exploits veröffentlicht hat, hat in der Cybersicherheits-Community massive Empörung ausgelöst. Der anonyme Researcher „Nightmare-Eclipse" publizierte seit April mehrere bislang ungepatchte Sicherheitslücken in Windows, darunter kritische Privilegien-Eskalations-Fehler. Microsoft kündigte daraufhin an, strafrechtliche Verfolgung gegen den Forscher und ähnliche Akteure einzuleiten. Diese aggressive Reaktion wird von renommierten Sicherheitsexperten heftig kritisiert, da sie Forschern eher schadet als nutzt und sie stattdessen zu Schwarzmarkt-Verkäufen oder Geheimhaltung treiben könnte. Für deutsche Nutzer und Unternehmen ist dieser Konflikt hochrelevant, da Windows weltweit dominant ist und die Sicherheitslücken auch hiesige Systeme gefährden. Gleichzeitig könnte Microsofts harte Linie die Zusammenarbeit mit Sicherheitsforschern nachhaltig beschädigen, was wiederum zu weniger verantwortungsvollen Offenlegungen und mehr wildem Exploit-Austausch führt. Das Unternehmen musste nach massivem Backlash bereits teilweise zurückrudern und verdeutlicht damit ein tieferes Problem: die zunehmende Frustration zwischen Sicherheitsanbietern und der Forschercommunity.

Das Drama begann im April, als der Forscher unter dem Namen Nightmare-Eclipse erstmals eine Proof-of-Concept für “BlueHammer” auf GitHub veröffentlichte – eine Schwachstelle in Windows Defender, die privilegierte Ausführung ermöglicht. Microsoft ignorierte zunächst die Meldung, woraufhin der Forscher seinem Wort Nachdruck verlieh und weitere Exploits folgen ließ. Bis Mitte Juli waren es insgesamt sechs Vulnerabilities: “BlueHammer”, “RedSun”, “Undefend”, “YellowKey”, “GreenPlasma” und “MiniPlasma”.

In einem Blog-Post beschuldigte Microsoft die Vorgänge als unverantwortliche Offenlegung und kündigte an, dass die Digital Crimes Unit gegen solche “Akteure und deren Unterstützer” vorgehen würde – eine Ankündigung, die in der Cybersecurity-Community sofort als Drohung mit strafrechtlicher Verfolgung verstanden wurde.

Der Rückschlag war prompt: Führende Sicherheitsexperten kritisierten Microsoft massiv. Katie Moussouris, Gründerin von Luta Security und Pionierin im Bereich Vulnerability Disclosure, warnte auf BlueSky, dass Drohungen von Herstellern Forscher genau dazu treiben, Lücken zu verschweigen oder an Broker und Cyberkriminelle zu verkaufen. Casey John Ellis, Gründer von BugCrowd, nannte Microsofts Vorgehen “myopisch”, zumal Microsoft gerade ein Jahrzehnt in ein Forscher-freundliches Image investiert hatte. Andrew Case von Volexity und die Malware-Community VX-Underground beschrieben das Verhalten als “Zerstörung von Vertrauenskapital”.

Auch andere Sicherheitsexperten berichteten von frustrierenden Erfahrungen mit Microsofts Sicherheitsteam (MSRC), etwa Gabriel Landau, der einen Device Guard Bypass meldete, den Microsoft zwar patchtete, dem aber keine CVE-Nummer zuordnete.

Am Sonntag ruderte Microsoft zurück und versprach auf X, Sicherheitsforscher nicht strafrechtlich zu verfolgen – nur bei illegalem Verhalten und echtem Kundenschaden werde man mit Behörden kooperieren.

Die Eskalation zeigt ein wachsendes Spannungsfeld: Einerseits überfluten AI-generierte Fehlberichte die Vendor-Teams mit “AI Slop”; andererseits werden Exploits leichter zu finden und Forscher ungeduldig. Nightmare-Eclipse kündigte bereits weitere Veröffentlichungen von anderen Forschern an.

Ähnliche Artikel