Microsoft steht wegen seines Umgangs mit einem Sicherheitsforscher in der Kritik: Nachdem dieser auf mehrere Zero-Day-Schwachstellen in Windows hingewiesen hatte, soll der Konzern Konten gesperrt und rechtliche Schritte angedeutet haben. Der Fall verschärft die Debatte über Responsible Disclosure, Herstellerverantwortung und den Umgang mit externen Sicherheitsmeldungen.

Mehrere öffentlich dokumentierte Zero-Day-Schwachstellen in Windows sorgen für Streit zwischen Microsoft und Teilen der Security-Community. Nach Darstellung von Microsoft wurden technische Details zu mehreren ungepatchten Sicherheitslücken veröffentlicht, ohne dass der Konzern zuvor ausreichend eingebunden gewesen sei. Der Anbieter verweist auf Coordinated Vulnerability Disclosure (CVD). Dabei melden Sicherheitsforscher Schwachstellen zunächst vertraulich, damit der Hersteller Fehler analysieren, Gegenmaßnahmen vorbereiten und Kunden informieren kann.

Microsoft sieht durch unkoordinierte Veröffentlichungen ein erhöhtes Risiko für Anwender, weil Proof-of-Concept-Code oder technische Details Angreifern die Ausnutzung erleichtern können. In diesem Zusammenhang nennt der Konzern mehrere Schwachstellen, darunter RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma und MiniPlasma. Die Security-Teams untersuchen laut Microsoft die Auswirkungen und arbeiten an Updates. Zugleich macht das Unternehmen deutlich, dass es Veröffentlichungen außerhalb abgestimmter Verfahren kritisch bewertet.

Besonders umstritten ist die Reaktion auf den Sicherheitsforscher, der unter dem Pseudonym »Nightmare Eclipse« auftritt. In der Security-Szene wird Microsoft vorgeworfen, nicht auf die gemeldeten Hinweise reagiert, ein GitHub-Konto gesperrt und mit rechtlichen Schritten gedroht zu haben. Microsoft selbst verwies auf Anfrage von Heise offenbar nur auf die Aussage: »Nichts mitzuteilen.« Damit bleibt offen, wie der genaue Ablauf der Meldungen und internen Reaktionen tatsächlich war.

Anzeige

Die Kritik im Netz ist natürlich groß: Allgemeiner Tenor der Internet- und Security-Gemeinde, das Kernproblem liege nicht in der Veröffentlichung der Schwachstellen, sondern in Microsofts Security-Qualitätssicherung und im Umgang mit externen Forschern. Besonders die mutmaßlich umgehbare BitLocker-Festplattenverschlüsselung über die Windows-Wiederherstellungsumgebung werden als brisant bewertet. CVD sei kein Anspruch, den ein Hersteller einfach einfordern könne, sondern setze Vertrauen, Erreichbarkeit und nachvollziehbare Prozesse voraus. Drohungen, Sperrungen oder ausbleibende Antworten seien dafür kaum geeignet.

Der Fall zeigt zudem, wie empfindlich das Verhältnis zwischen Herstellern und Sicherheitsforschern ist. Coordinated Vulnerability Disclosure kann Risiken senken, funktioniert aber nur bei belastbarer Kommunikation auf beiden Seiten. Wenn dieser Austausch durch juristische Drohkulissen oder öffentliche Eskalation ersetzt wird, wird Sicherheitsforschung nicht einfacher.