Nach der öffentlich ausgetragenen Auseinandersetzung zwischen dem Microsoft Security Response Center (MSRC) und einem Sicherheitsforscher mit dem Alias Nightmare Eclipse hat Microsoft es sich mit Sicherheitscommunity ziemlich verscherzt. Man versucht zwar nun wenigstens partiell zurückzurudern. Aber für mich sieht es so aus, dass ein Team-Mitglied des MSRC im Vorfeld der BlackHat 2026-Sicherheitskonferenz in Las Vegas zielsicher in das nächste Fettnäpfchen getreten ist.
Es gibt ein Bonmot aus den 80 Jahren, dass ein Kollege seinerzeit mal die Runde warf: Er fragte "Was ist ein Bangemann?" und gab die selbst die Antwort "Der Abstand zwischen zwei Fettnäpfchen". Für die Youngster unter den Lesern die Aufklärung: Martin Bangemann (FDP) war in den 1980er und 90er Jahren ein Schwergewicht der deutschen FDP und EU-Politik. Der Begriff "Bangemann-Fettnäpfchen" steht sinnbildlich für seine Neigung, in seiner aktiven Zeit als Wirtschaftsminister und EU-Kommissar mit unbedachten, oft polternden Aussagen mediale Fauxpas zu begehen. Das Ganze fiel mir spontan bei der aktuellen Geschichte ein.
Rückblick auf den Nightmare Eclipse-Zoff
Nightmare Eclipse ist ein Sicherheitsforscher, der seit März 2026 sechs ungepatchte Schwachstellen in Microsoft-Produkten mit Proof of Concept veröffentlicht hat, weil er bei Microsoft im MSRC kein Gehör fand und mutmaßlich auch keine Bug Bounty-Prämie bekam. Der Fall eskalierte, weil Microsoft unter Zugzwang kam, und teilweise seit Jahren ungepatchte Schwachstellen auf die Schnelle nachbessern musste. In Folge wurden Nightmare Eclipse seine Konten bei GitHub (gehört zu Microsoft) und GitLab gesperrt.
Und Microsoft grätscht dem Sicherheitsforscher ziemlich hinterher. Er wurde öffentlich in den Senkel gestellt, dass er durch die unkoordinierte Veröffentlichung Microsoft Kunden gefährde – und es gibt wohl eine juristische Auseinandersetzung, die mutmaßlich vor Gericht geht. Zu den Details kann ich wenig sagen, da ich die Konversation zwischen dem MSRC und Nightmare Eclipse nicht kenne. Die Entwicklung ist aber in den am Beitragsende verlinkten Blog-Beiträgen nachlesbar.
Zum Eklat kam es, als das MSRC am späten Pfingstsonntag eine Erklärung veröffentlichte, in der mal Personen, die 0-days unkoordiniert offen legt, durch die Blume mit Strafverfolgung drohte (siehe Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung). Nach einem Aufschrei der Sicherheits-Community, die sich kriminalisiert sah und in denen einige Personen ähnliche Erfahrungen bei der Offenlegung von Schwachstellen wie Nightmare Eclipse öffentlich schilderten (die fühlten sich über den Tisch gezogen), versuchte Microsoft zu deeskalieren. Ich hatte im Beitrag Neues im Nightmare Eclipse-Clash: Microsoft rudert ein wenig zurück einiges dazu geschrieben.
Schnell das nächste Fettnäpfchen mitnehmen
Angesichts des obigen Sachverhalts gilt das Verhältnis der meisten Sicherheitsforscher zu Microsofts MSRC als "zerrüttet". Im Beitrag GitHub-Drama 1: Sicherheitsforscher veröffentlicht 0-Day-Schwachstelle hatte ich bereits berichtet, dass ein weiterer Sicherheitsforscher genervt eine 0-Day-Schwachstelle in GitHub öffentlich machte. Er weigert sich, mit dem MSRC zu kommunizieren, nachdem er sozusagen einmal über den Tisch gezogen wurde.
Nun findet vom 1. bis 6. August 2026 die Black Hat USA 2026-Konferenz im Mandalay Bay Convention Center in Las Vegas, Nevada, statt. Das ist die führende US-Veranstaltung für Cybersicherheit für dieses Jahr, in der auch viele Vorträge gehalten werden. Die Tage sind mir dann Tweets auf X untergekommen, wo Sicherheitsforscherinnen und Sicherheitsforscher eine Nachricht des MSRC gepostet haben.
Beim ersten Post, der mir unterkam, habe ich erst gar nicht richtig gerafft, was abgeht. Dort beschwerte sich jemand – übersetztes Zitat:
Der Typ ist echt ätzend. Bei meinem ersten Pwn2Own hat er mich immer wieder gefragt, ob das meine erste CVE sei. Ich habe verneint, aber er hat vor allen Leuten darauf bestanden, dass er meinen Namen noch nie in den Credits gesehen habe. Es stellte sich heraus, dass er mich mit einer anderen Frau aus der Infosec verwechselt hatte. Die ist übrigens für die Sicherheitsforschung beim MSRC zuständig.
Es war SO demütigend, dass ich seinem Chef erzählt habe, was passiert ist. Er musste sich bei mir entschuldigen … aber es war furchtbar. Seine Ausrede? Er sei "nicht technisch versiert" und habe daher nicht verstanden, wovon er sprach. Warum zum Teufel arbeitet er dann für das MSRC?
Mit obigem Tweet von Dr. Wesley McGrew wurde mir dann der Kontext plötzlich klar. Der Mitarbeiter des MSRC hat im Auftrag Microsofts (die sind wohl an der Konferenzausrichtung beteiligt) alle Vortragenden der BlackHat 2026 in Las Vegas angeschrieben. Er gratuliert und fragt, ob der Vortragende gedenkt, irgend etwas zu "MSRC Cases" öffentlich zu sagen. Falls ja, möge der Betreffende den Case beim MSRC oder den CVE mitteilen.
Dr. Wesley McGrew schreibt in obigem Tweet, dass das MSRC von Microsoft nur ein begrenztes Zeitfenster habe, um die Community der Sicherheitsforscher und Vortragenden vor der Veranstaltung in Las Vegas (BlackHat 2026) zu beeindrucken, bevor es für Microsoft richtig unangenehm werde.
Automatisierte E-Mails an alle Referenten, in denen sie nach Schwachstellen in MS-Produkten gefragt werden, würden dafür nicht ausreichen. Als regelmäßiger Referent meint McGrew: "Wenn ich einen Vortrag halte, in dem ich eine Schwachstelle in Ihrem Produkt anspreche, und Sie davon noch nichts wissen, bevor die Zusammenfassung online ist, dann liegt das daran, dass ich wirklich nicht das Gefühl hatte, dass ich Spaß daran hätte, mit Ihnen darüber zu diskutieren."
Ist eine nette Umschreibung für "Wenn ihr euren Softladen nicht im Griff und keinen Plan habt, was auf der BlackHat 2026 abgeht", liegt das nicht an den Sicherheitsforschern bzw. Vortragenden, sondern an eurem Saftladen. Die Tweets und Antworten, die ich so um diese Nachricht gesehen habe, waren nicht "sehr nett" in Bezug auf das MSRC und sprachen von einem neuen "Low". Spontan fiel mir dann "ein Bangemann" dazu ein – weiß auch nicht wieso.
Ähnliche Artikel:
BlueHammer: Windows 0-day-Schwachstelle
BlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra
RedSun: Nächste Windows Defender 0-Day-Schwachstelle
Chaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams
Nightmare Eclipse veröffentlicht MiniPlasma-Schwachstelle CVE-2020-17103
Zoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse
Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung
Microsoft versus Nightmare Eclipse: Wir haben jetzt "Bitskrieg"
Neues im Nightmare Eclipse-Clash: Microsoft rudert ein wenig zurück
MVP: 2013 – 2016
Denen geht wohl der A… auf Grundeis. Entweder fürchten sie noch viele unbekannte Sicherheitslücken oder die Aufdeckung vieler Hintertüren.
Es bleibt spannend.
Ärgerlich für die, die durch die Lücken evtl. Schaden nehmen, aber hoffentlich der Start für ein ordentliches Ausbessern/Verbessern seitens MS.
Poppcorn… mehr Poppcorn… was muss alles noch passieren, bis auch die Letzten merken, der Laden ist fertig?
Schlimm ja, aber sicher nicht "fertig". Wir werden es sehen, es wird einfach so weiter gehen, und die meisten Leute werden MS-Produkte einfach weiter benutzen. "Et het jo bessher alles jooht jejange"
Ich teste seit Anfang 2025 Linux in diversen "Geschmacksrichtungen", aber solange meine vorhandene Software (Drittanbieter)/Hardware dort nicht vernünftig funktioniert, bleibe ich bei Windows (kastriert, ohne Cloud/KI). Es läuft einfach.
Lasset die Spiele beginnen, 73 Microsoft eigene Repos könnten compromised sein, diese wurden gerade aus GitHub entfernt:
https://opensourcemalware.com/blog/miasma-reaches-azure
Microsoft hat es über Jahrzehnte geschafft, Standard in Wirtschaft und Verwaltung zu sein, mit riesigen Abhängigkeiten von- und miteinander. Das wisst ihr aber doch.
Genauso wie ihr wisst, dass die Entscheider weder etwas davon mitbekommen (es sei denn, sie stoßen mal zufällig auf irgendeinen Bericht irgendwo im Netz – denn bei Tagesschau und Heute-Journal wird sowas ja nicht thematisiert), noch dass sie gewillt sind, etwas zu ändern. Änderungen, Umdenken, Nachsteuern sind erstens aufgrund der umfassenden Abhängigkeiten und zweitens der (Un)Bequemlichkeit schwierig bis unmöglich geworden (jaja, ich weiß: ein kleiner Handwerksbetrieb, Laden, Software- oder Grafikschmiede kann seine Systeme freilich ohne größere Komplikationen umstellen; bei einem vielleicht weltweit agierenden Mittelständler oder gar Großkonzern, geschweige der Verwaltung mit 1000 Köpfen, die alle was zu sagen haben (wollen)).
Und genau deshalb wird sich nichts ändern und MS kann wurschteln wie bisher auch.
Ich frage mich schon lange, wieso Softwarehersteller für Schäden, die Fehler in ihrer Software verursacht haben nicht haftbar gemacht werden können, so wie es bei anderen Brachen auch üblich ist. Müsste z.B. Microsoft für alle Schäden aufkommen, hätte sich hier schon vor langer Zeit einiges geändert und Sicherheitsforscher wären immer willkommen, auch bei geringeren Lücken und Problemen.
Software fällt mittlerweile auch unter Produkthaftung. Es muss nur jemand die Zeit und das Geld das auch einzuklagen.
Große Softwarehersteller verklagen? Könnte schwierig werden. Eine Sammelklage möglicherweise. Wenn 100 Million Kläger gegen einen Hersteller vorgehen würden. Könnte spannend werden.
Nach dem lesen des Blogs von Nightmare Eclipse kann ich mit 100% Sicherheit sagen, dass er/sie Franzose ist, selbst wenn er auf Englisch schreibt. Ich habe lange Zeit in Frankreich verbracht und kenne die kleinen Nuancen die Muttersprachler selbst bei perfektem Englisch schwer unterbinden können.
Naja gut, das haben schon ein Paar andere in den Vorbeiträgen kommentiert. Finde es jedoch immer wieder enttäuschend, was eine schlechte OPSEC "Sicherheitsforscher" an den Tag legen. Wollen wir mal hoffen er veröffentlicht noch was, bevor er einsitzt. Das Windows sicherer wird sollte im Interesse von jedem denkenden Individuum sein. Also her mit den CVEs.
Dann setzen wir halt den nächsten Exploit direkt per X Lautsprecher oben drauf:
https://x.com/jonasLyk/status/2062768028090007773
It's bitskrieg MSRC. Isn't it?