Microsoft versucht nach seinem Blog-Post des MSRC-Teams, dass man eine unkoordinierte Offenlegung von Schwachstellen juristisch verfolge, und dem ausgelösten Shitsturm in der Community der Sicherheitsforscher etwas zurück zu rudern. Im Clinch mit dem Sicherheitsforscher Nightmare Eclipse gibt es aber wohl keine Entspannung.
Der eskalierte Konflikt und der Porzellanladen
Die Entwicklung des Clinchs zwischen dem Sicherheitsforscher mit dem Alias Nightmare Eclipse, der seit März 2026 sechs 0-Day-Schwachstellen mit Exploits in Microsoft-Produkten veröffentlichte, und Microsoft lässt sich in den am Beitragsende verlinkten Blog-Beiträgen nachlesen.
Vorige Woche hat Microsoft dann nochmals eine Stufe eskaliert. Erst wurde der Sicherheitsforscher auf den Plattformen GitHub und GitLab gebannt. Und dann verstieg das Team vom Microsoft Security Response Center sich in einem Blog-Beitrag A shared responsibility: Protecting customers through Coordinated Vulnerability Disclosure vom 27. Mai 2026 zur Drohung, dass Microsofts Digital Crimes Unit "weiterhin Verfahren gegen diese Akteure und diejenigen einleiten werde, die ihre kriminellen Aktivitäten ermöglichen" – und dabei bei Bedarf mit Strafverfolgungsbehörden auf der ganzen Welt zusammenzuarbeiten. Muss man so lesen, dass jeder, der 0-day-Schwachstellen veröffentlicht, von Microsoft über Strafverfolger bedroht wird.
Ich hatte im Beitrag Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung berichtet und geschrieben, dass es von Microsoft eigentlich kaum noch dämlicher gehe – der Elefant im Porzellanladen. Inzwischen gibt es eine Solidarisierung der Security-Szene mit dem Sicherheitsforscher, dem Microsoft-Mitarbeiter die "Vernichtung" angedroht haben (siehe meinen Beitrag Microsoft versus Nightmare Eclipse: Wir haben jetzt "Bitskrieg").
Vermeintliche Entspannung durch Microsoft
Nach dem die Sicherheits-Community sich nicht auf Microsofts Seite geschlagen, sondern mit dem Sicherheitsforscher solidarisiert hat, ist jemandem bei Microsoft wohl ein Licht aufgegangen, dass die Aktionen mit dem MSRT-Blog-Post nicht wirklich klug war.
In obigem Tweet vom 1. Juni 2026 versucht das Team vom Microsoft Security Response Center (MSRC) zumindest verbal zu deeskalieren. In den letzten Tagen habe Microsoft die Diskussionen rund um die koordinierte Offenlegung und die Beziehung zwischen Sicherheitsforschern und Anbietern aufmerksam verfolgt, heißt es. Man sei sich bewusst, dass diese Beziehung sowohl von entscheidender Bedeutung als auch mitunter fragil sei. Man schätze die Sicherheits-Community sehr und werde ihr Feedback auch weiterhin ernst nehmen.
Bei den Gebrüdern Grimm war das dann die Stelle im Märchen, wo der Wolf viel Kreide gefressen hat. Dann stellt der Microsoft-Autor des Posts auf X die Haltung in rechtlichen Angelegenheiten klar: Microsoft habe nicht die Absicht, rechtliche Schritte gegen Personen einzuleiten, die Sicherheitsforschung betreiben oder deren Ergebnisse veröffentlichen.
Aber wenn eine Person gegen das Gesetz verstößt und böswillige Aktivitäten ausübt, die Microsofts Kunden tatsächlichen Schaden zufügen, werden man gegebenenfalls mit den Strafverfolgungsbehörden zusammenarbeiten. Und dann heißt es weiter im O-Ton:
Wir wissen, wie viel Arbeit in der Erforschung und Meldung einer Sicherheitslücke steckt. Wir verpflichten uns, jede Interaktion mit Transparenz, klarer Kommunikation und Professionalität anzugehen. Wir glauben weiterhin fest an die koordinierte Offenlegung von Sicherheitslücken als Grundlage für den Schutz unserer Kunden und die Verbesserung unserer Produkte. Jedes Jahr bearbeiten wir eine große Anzahl von Sicherheitslückenmeldungen. Diese Zahl wächst weiter und wird mit dem Aufkommen KI-gestützter Forschung weiter zunehmen. Wir erkennen an, dass einige Interaktionen nicht den Erwartungen entsprochen haben, und arbeiten daran, daraus zu lernen.
Es ist zumindest das Eingeständnis im letzten Satz, dass es nicht immer optimal abgelaufen sei. Der Post endet mit der Aussage, dass die Gemeinschaft der Sicherheitsforscher eine entscheidende Rolle dabei spielt, Microsoft beim Schutz seiner Kunden zu unterstützen. Microsoft sei bestrebt, eine konstruktive und respektvolle Beziehung zu pflegen und gemeinsam zu wachsen, heißt es. Man sei sich bewusst, dass es angesichts der Natur dieser Arbeit gelegentlich zu Missverständnissen kommen kann. Man sei aber weiterhin bestrebt, in gutem Glauben zu handeln und allen Forschern eine respektvolle und professionelle Zusammenarbeit zu bieten, unabhängig von früheren Interaktionen.
Die Reaktionen der Sicherheits-Community
Mir ging sofort "hört die Schalmeienklänge" durch den Kopf, als ich diese Zeilen las. Wer die Antworten auf Microsofts Tweet liest, kommt, positiv ausgedrückt, zum Schluss, dass einige Leute "skeptisch bleiben" . Direkter ausgedrückt: Die sind angepisst und glauben kein Wort, was dort im Tweet verzapft wurde. Den Text haben Juristen und PR-Leute geschliffen, es kommt nicht aus der Praxis des MSRC-Teams. Andrew Dorman schreibt in einer Antwort:
My Idp instant Azure access research goes public tomorrow since you guys said it was "moderate risk/customer problem" don't worry I saved the videos so everyone can see the truth.
Und ergänzt:
Screwed my team out of a second CVE and instead created nobody. Used our 5 binary patches and sh UnDefend hardening as well. No credit on that one but used every bit of what my team developed for you. Kept us in develop since like April 20th and still called us duplicate.
Das hört sich nicht gar nicht nach Friede, Freude, Eierkuchen an, sondern nach einem ziemlich vergrätzten Sicherheitsforscher. Ein anderer Teilnehmer schrieb als Antwort "Leere Worte, ohne jegliche Bedeutung".
Markus Vervier schildert in diesem Tweet seine Erfahrungen mit dem MSRC. Die wenigen Male, bei denen er mit dem MSRC zu tun hatte, zeigten jedoch ein Muster: Jedes Gespräch und jede Interaktion habe immer auch eine politische und unternehmenskommunikative Komponente gehabt, viel ausgeprägter als bei jedem anderen der vielen Unternehmen, mit denen er im Laufe der Jahre zu tun hatte. Während bei anderen Anbietern die technischen Details und Auswirkungen immer an erster Stelle standen, hatte er das Gefühl, dass es bei seinen Interaktionen einen Filter gab, der die Kommunikation verzögerte. Er erhielt nicht einmal eine Benachrichtigung, wenn etwas behoben wurde. Hinzu kam, dass nie transparent war, wer sich tatsächlich mit den Schwachstellen befasste.
Seine finalen Worte: Er habe in den letzten Jahren auf Konferenzen einige Mitarbeiter des MSRC kennengelernt, und alle waren super nett und kompetent! Daraus lässt sich folgern: "Der Fisch stinkt vom Kopf her." Microsoft sollte den Prozess einfach an Leute übergeben, die ihn gut managen und als Unternehmen auf angemessene Weise zu ihren Fehlern stehen. Barbara Steisand at it's best. Kann man aber noch steigern.
Wenn selbst Statements ausgelagert werden …
Dem X-Kanal vx-underground ist hier aufgefallen, dass der Post am Sonntag-Abend 23:00 Uhr US-Ostküstenzeit veröffentlicht wurde und fragt: "Warum veröffentlicht der Typ um 23 Uhr an einem Sonntag langatmige Erklärungen und startet eine philosophische Diskussion über ethische Offenlegung? Geh ins Bett, Microsoft, du bist verdammt noch mal betrunken."
Sicherheitsforscher Will Dormann merkt hier an, dass es in Indien bereits "Montag Morgen" sei. Der Post scheint per VPN unter dem MSRC-Konto von Microsoft auf X abgesetzt worden zu sein, wie vx-underground hier analysiert. Sicherheitsforscher Robert Graham zerlegt hier die MSRC-Abhandlung über "responsible disclosure" und schreibt:
Vuln finders have no responsibility. Dropping 0day is responsible. Responsible companies don't have so many bugs. We let industry subvert the disclosure process. Instead of working to secure their code, vendors have tricked people into believing in the myth of "responsible disclosure", that vendors should be given time to fix and patch their bugs so they are never to blame for the bugs to begin with.
Diejenigen, die Schwachstellen aufdecken, tragen keine Verantwortung. Die Veröffentlichung von Zero-Day-Exploits ist das Problem, verantwortungsbewusste Unternehmen haben nicht so viele Fehler. Man habe zugelassen, dass die Industrie den Offenlegungsprozess untergräbt. Anstatt daran zu arbeiten, ihren Code sicher zu machen, hätten die Anbieter den Mythos der "verantwortungsvollen Offenlegung" in die Welt gesetzt – um den Anbietern Zeit zu gegeben, ihre Fehler zu beheben und zu patchen, damit sie von vornherein nie für die Fehler verantwortlich gemacht werden können.
Und die Realität hinter dem Vorhang?
Florian Roth, Forschungschef bei Nextron hatte zum 31. Mai 2025 in diesem Tweet einen Vorschlag gemacht, wie Microsoft deeskalieren könne. Hier sein Textvorschlag, ein wenig als Satire gemeint und mit dem Hinweis, Microsoft könne den als Vorlage übernehmen.
Der Text endete mit "This screenshot is fake", aber so könnte Microsoft abrüsten. Aber es war ja nur eine "Fake-Vorlage". Nun, wie es in der Praxis ausschaut, hat Nightmare Eclipse in einem Tweet ausgedrückt:
Microsoft ist laut Nightmare Eclipse weiter hinter ihm her und versucht das wohl auch juristisch vor Gericht durchzuziehen. Ich denke, das wird aufmerksam von der Szene beobachtet, die ihre Schlüsse ziehen dürfte. Da helfen dann auch keine geschliffenen Texte.
Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse
Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung
Microsoft versus Nightmare Eclipse: Wir haben jetzt "Bitskrieg"
MVP: 2013 – 2016
An dieser Stelle empfohlen, die Lektüre von Gunter Dueck "Schwarmdummheit", wo er genau seziert, wie Unternehmen durch Maximierungs- und Optimierungswahn verdummen. Microsoft als AI-Vorzeigeunternehmen setzt hier ein bemerkenswertes Beispiel:
https://campus.de/wirtschaft-gesellschaft/wirtschaftssachbuch/schwarmdumm/CAM52135
Sehr lesenswert – klare Empfehlung.
Der Klappentext klingt gut – aber ich fürchte, es wird mich zu sehr an die Arbeit erinnern ;)
"wo der Wolf viel Kreide gefressen hat"
Herrlich!
Ja, nur versteht die Gen X,Y,Z den Bezug leider nicht mehr, die klsssischen Märchen finden kaum noch einen Weg ins Allgemeinwissen.
Als GenXer fühl' ich mich jetzt aber diffamiert. 😉
Wir Gen Xer sind doch auch schon uralt – und kennen daher Grimms Märchen noch.
Für den einen oder anderen Wolf ist es in den Märchen ja nicht ganz so gut gelaufen.
Ja, die Stelle mit dem Wolf und der Kreide ist echt passend… Ich dachte mir auch nur, was für ein verlogener Verein.
"wenn eine Person gegen das Gesetz verstößt und böswillige Aktivitäten ausübt"
Also muss sich Microschrott selbst verklagen!
Hat sechs 0 Days bzw Backdoors und sagt dann, ne da gibt es nichts zu sehen.
Aufgrund der Reaktionen von Microschrott gehe ich davon aus, dass es sechs Backdoors sind und es genau sechs Backdoors sind die dort eingebaut wurden.
Wenn ich eine Sicherheitslücke finden würde, würde ich die nie und nimmer veröffentlichen, schon gar nicht gegenüber dem Betreiber der Software. Wie das hier in Deutschland ablaufen kann und offenbar auch darf haben wir die letzten Jahre alle gelernt. Wurde ja quasi durch Ablehnung auch höchst richterlich geklärt. https://www.heise.de/news/Bundesverfassungsgericht-lehnt-Beschwerde-im-Fall-Modern-Solution-ab-10663649.html
https://unverantwortli.ch/
Ich brauch das nicht. Sollen sich die Russen, Chinesen und Amerikaner daran erfreuen, wenn sie Lücken finden. #lernendurchschmerz
War aber eine anderer Sachverhalt und es wurden noch Fehler gemacht – obwohl der Ausgang für beide Parteien nicht gut war – Modern Solution hat es geschmissen. Als Blogger werden mir von Lesern ja Sicherheitslücken zugetragen – ich spiele dann über Bande und nehme das BSI (selten), meist die Landesdatenschutzbeauftragten, ins Boot. Gerade wieder einen Fall, wo jemand ins Schwitzen gekommen ist – ich warte noch auf eine Rückmeldung des LfDI, um das im Blog öffentlich bringen zu können.
Das spielt für mich alles keine Rolle. Ich brauche kein Rollkomando, dass mir als Dankschön, dass ich ein Unternehmen auf eine Schwachstelle aufmerksam mache die Bude stürmt und alles einkassiert. Dazu dann der Stress mit der Justiz und und und.
Ich schätze vielen geht es nicht anders. Warum sich der Gefahr aussetzen?
Wenn die Bundesregierung die entsprechenden Gesetze geschaffen hat das Melder nicht juristisch angegangen werden können sehen wir weiter. Das sehe ich aber noch lange nicht kommen.
Über Dritte würde ich es auch nicht melden, weil warum sollte man? Wenn man sich als Entdecker verstecken muss, dann hat es das betroffene Unternehmen , bzw. das Land das entsprechende Gesetze erlassen hat und Gerichte die "im Namen des Volkes" entsprechend urteilen schlichtweg nicht verdient, dass man darauf aufmerksam macht, sondern lässt sie ins offene Messer rennen.
Bedanken könne können sich Betroffene dann bei den Unternehmen die erst dafür gesorgt haben, dass es zu dieser Situation kam und bei der Politik, die gegen den ausdrücklichen Rat von Experten den "Hackerparagraphen", ohne entsprechende Ausnahmen, verabschiedet haben.
Schade nur, dass man, wenn bekannt wird, dass eine Lücke bösartig ausgenutzt wurde, man dann nicht beweisen sollte, dass man schon lange vorher Bescheid wusste, aber eben aufgrund der Gefahr geschwiegen hat. Würde man sich sonnst ja auch wieder angreifbar machen. Deswegen wird man leider nie erfahren, welche Hacks und Datenlecks vermieden hätten werden können und daher wird auch niemand ernsthaft Anlass sehen an der Situation was zu ändern.
Man kann sich hier auch an den Chaos-Computer-Club wenden, die haben auch so ihre Kanäle, um es verantwortungsvoll an den Hersteller zu senden.
Nun ja, ich sag's mal so: Der Leser hat den CCC und Zerforschung kontaktiert. Nachdem das Black Hole nichts von sich gab, flatterte mir die Mail ins Postfach. Das Problem ist zumindest beseitigt, und es läuft eine Prüfung einer Behörde.
Nochmal: Wenn man sich als Entdecker verstecken muss, warum sollte man es überhaupt melden? Der Sicherheit wegen? Vielleicht, nur bin ich dann doch so eitel, dass ich gerne ein Dankschön, zumindest im Wortlaut , vom Betreiber hätte und keine Strafanzeige und solange man damit in diesem Land rechnen muss heißt es schlichtweg "Klappe halten". Nichts anderes ist ohnehin gewollt.
Ich Teile den Ansatz teilwese von MS… aus Sicherheitsgründen nicht die Lücken öffentlich zu machen und wenn man es macht dann auch bitte workarounds oder Maßnahmen sich zu schützen angeben. Ansonsten ist das auch nur eine art Erpressung an Microsoft, dass die nicht alles richtig machen ist richtig und bekannt. Es ist aber kein Grund so umzugehen und die intimen Emails an Microsoft von den Sicherheitsforschern kennen wir auch nicht. Es gehört auch nicht zum guten Ton private Unterhaltungen öffentlich zu machen, es sei denn es ist ein Verstoß gegen irgend ein Gesetz.
Ich wundere mich das die Sicherheitsvorscher sich nicht an die CISA, BSI oder ähnliches wenden. Das Verhalten ist wie von einem kleinen Kind, wenn du mir jetzt nicht zuhören willst mach ich dir ne Szene und genau das ist passiert.
Ich hatte es nicht überall thematisiert – zwei Schwachstellen, die Nightmare Eclipse mit PoC veröffentlicht hat, waren seit Jahren bekannt, öffentlich einsehbar und nicht von Microsoft gepatcht. Nur mal angemerkt …
Das ist egal. Hat halt seit Jahren keiner mehr probiert, ob die noch funktionieren. Keiner rechnete vielleicht damit, dass die noch oder wieder funktionieren.
Woher willst Du das wissen, dass "seit Jahren keiner mehr probiert hat" oder ob im Dauereinsatz durch diverse Dienste? Wilde Behauptungen ohne Substanz da.
In der heutigen Zeit, in der quasi jeder mittels KI solche Lücken finden kann, ist es nicht hilfreich, wenn MS da mit den Leuten so rumhampelt, die Lücken tatsächlich melden. In der Zeit haben vermutlich hunderte andere gleichzeitig den selben Fund gemacht und da werden auch genug "böse Buben" dabei sein, die das dann ausnutzen bzw. weiterverkaufen.
Anstatt mit dem Melder zu streiten hätten sie sich besser mal direkt ans Patchschreiben gemacht, die Zeit wäre sinnvoller investiert gewesen.
Dieses armselige Theater zwischen einem selbsternannten Chaoten und einem Chaotenverein möchte ich mir gar nicht ansehen. Ich möchte eher die große Schau sehen, wenn jemand den Mut hat und Microsoft öffentlich zur Rede stellt, wieso diese Yellowkey-Lücke frappant nach Backdoor aussieht und sie bittet, das plausibel zu entkräften. Das könnte lustig werden.
Bei YellowKey stimme ich dir zu. Bei den anderen fehlt uns allen die Kompetenz und/oder Einsicht in den Quellcode um das zu beurteilen.
Aber keine Sorge, auch in Opensource wurden schon Backdoors absichtlich eingeschleust, die trotz Einsichtmöglichkeit in den Quellcode und Kompetenz der Einsehenden lange nicht entdeckt wurden, oder nur zufällig gefunden werden, Laufzeitauffälligkeit in xz, reproduzierbare elyptische Kurven in Verschlüsselungsalgorythmen mutmaßlich von der NSA eingeschleust, etc.