![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Microsoft versucht nach seinem Blog-Post des MSRC-Teams, dass man eine unkoordinierte Offenlegung von Schwachstellen juristisch verfolge, und dem ausgel\u00f6sten Shitsturm in der Community der Sicherheitsforscher etwas zur\u00fcck zu rudern. Im Clinch mit dem Sicherheitsforscher Nightmare Eclipse gibt es aber wohl keine Entspannung.<\/p>\n
<\/p>\n
Die Entwicklung des Clinchs zwischen dem Sicherheitsforscher mit dem Alias Nightmare Eclipse, der seit M\u00e4rz 2026 sechs 0-Day-Schwachstellen mit Exploits in Microsoft-Produkten ver\u00f6ffentlichte, und Microsoft l\u00e4sst sich in den am Beitragsende verlinkten Blog-Beitr\u00e4gen nachlesen.<\/p>\n
![\"Microsoft](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/05\/MS-Chaotic-Eclipse03.jpg\")
<\/p>\n
Vorige Woche hat Microsoft dann\u00a0nochmals eine Stufe eskaliert. Erst wurde der Sicherheitsforscher auf den Plattformen GitHub und GitLab gebannt. Und dann verstieg das Team vom Microsoft Security Response Center sich in einem Blog-Beitrag\u00a0A shared responsibility: Protecting customers through Coordinated Vulnerability Disclosure<\/a> vom 27. Mai 2026 zur Drohung, dass Microsofts Digital Crimes Unit \"weiterhin Verfahren gegen diese Akteure und diejenigen einleiten werde, die ihre kriminellen Aktivit\u00e4ten erm\u00f6glichen\" \u2013 und dabei bei Bedarf mit Strafverfolgungsbeh\u00f6rden auf der ganzen Welt zusammenzuarbeiten. Muss man so lesen, dass jeder, der 0-day-Schwachstellen ver\u00f6ffentlicht, von Microsoft \u00fcber Strafverfolger bedroht wird.<\/p>\n Ich hatte im Beitrag Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung<\/a> berichtet und geschrieben, dass es von Microsoft eigentlich kaum noch d\u00e4mlicher gehe – der Elefant im Porzellanladen. Inzwischen gibt es eine Solidarisierung der Security-Szene mit dem Sicherheitsforscher, dem Microsoft-Mitarbeiter die \"Vernichtung\" angedroht haben (siehe meinen Beitrag Microsoft versus Nightmare Eclipse: Wir haben jetzt \"Bitskrieg\"<\/a>).<\/p>\n Nach dem die Sicherheits-Community sich nicht auf Microsofts Seite geschlagen, sondern mit dem Sicherheitsforscher solidarisiert hat, ist jemandem bei Microsoft wohl ein Licht aufgegangen, dass die Aktionen mit dem MSRT-Blog-Post nicht wirklich klug war.<\/p>\n In obigem Tweet<\/a> vom 1. Juni 2026 versucht das Team vom Microsoft Security Response Center (MSRC) zumindest verbal zu deeskalieren. In den letzten Tagen habe Microsoft die Diskussionen rund um die koordinierte Offenlegung und die Beziehung zwischen Sicherheitsforschern und Anbietern aufmerksam verfolgt, hei\u00dft es. Man sei sich bewusst, dass diese Beziehung sowohl von entscheidender Bedeutung als auch mitunter fragil sei. Man sch\u00e4tze die Sicherheits-Community sehr und werde ihr Feedback auch weiterhin ernst nehmen.<\/p>\n Bei den Gebr\u00fcdern Grimm war das dann die Stelle im M\u00e4rchen, wo der Wolf viel Kreide gefressen hat. Dann stellt der Microsoft-Autor des Posts auf X die Haltung in rechtlichen Angelegenheiten klar: Microsoft habe nicht die Absicht, rechtliche Schritte gegen Personen einzuleiten, die Sicherheitsforschung betreiben oder deren Ergebnisse ver\u00f6ffentlichen.<\/p>\n Aber wenn eine Person gegen das Gesetz verst\u00f6\u00dft und b\u00f6swillige Aktivit\u00e4ten aus\u00fcbt, die Microsofts Kunden tats\u00e4chlichen Schaden zuf\u00fcgen, werden man gegebenenfalls mit den Strafverfolgungsbeh\u00f6rden zusammenarbeiten. Und dann hei\u00dft es weiter im O-Ton:<\/p>\n Wir wissen, wie viel Arbeit in der Erforschung und Meldung einer Sicherheitsl\u00fccke steckt. Wir verpflichten uns, jede Interaktion mit Transparenz, klarer Kommunikation und Professionalit\u00e4t anzugehen. Wir glauben weiterhin fest an die koordinierte Offenlegung von Sicherheitsl\u00fccken als Grundlage f\u00fcr den Schutz unserer Kunden und die Verbesserung unserer Produkte. Jedes Jahr bearbeiten wir eine gro\u00dfe Anzahl von Sicherheitsl\u00fcckenmeldungen. Diese Zahl w\u00e4chst weiter und wird mit dem Aufkommen KI-gest\u00fctzter Forschung weiter zunehmen. Wir erkennen an, dass einige Interaktionen nicht den Erwartungen entsprochen haben, und arbeiten daran, daraus zu lernen.<\/p><\/blockquote>\n Es ist zumindest das Eingest\u00e4ndnis im letzten Satz, dass es nicht immer optimal abgelaufen sei. Der Post endet mit der Aussage, dass die Gemeinschaft der Sicherheitsforscher eine entscheidende Rolle dabei spielt, Microsoft beim Schutz seiner Kunden zu unterst\u00fctzen. Microsoft sei bestrebt, eine konstruktive und respektvolle Beziehung zu pflegen und gemeinsam zu wachsen, hei\u00dft es. Man sei sich bewusst, dass es angesichts der Natur dieser Arbeit gelegentlich zu Missverst\u00e4ndnissen kommen kann. Man sei aber weiterhin bestrebt, in gutem Glauben zu handeln und allen Forschern eine respektvolle und professionelle Zusammenarbeit zu bieten, unabh\u00e4ngig von fr\u00fcheren Interaktionen.<\/p>\n Mir ging sofort \"h\u00f6rt die Schalmeienkl\u00e4nge<\/a>\" durch den Kopf, als ich diese Zeilen las. Wer die Antworten auf Microsofts Tweet liest, kommt, positiv ausgedr\u00fcckt, zum Schluss, dass einige Leute \"skeptisch bleiben\" . Direkter ausgedr\u00fcckt: Die sind angepisst und glauben kein Wort, was dort im Tweet verzapft wurde. Den Text haben Juristen und PR-Leute geschliffen, es kommt nicht aus der Praxis des MSRC-Teams. Andrew Dorman schreibt in einer Antwort<\/a>:<\/p>\n My Idp instant Azure access research goes public tomorrow since you guys said it was \"moderate risk\/customer problem\" don't worry I saved the videos so everyone can see the truth.<\/p><\/blockquote>\n Und erg\u00e4nzt:<\/p>\n Screwed my team out of a second CVE and instead created nobody. Used our 5 binary patches and sh UnDefend hardening as well. No credit on that one but used every bit of what my team developed for you. Kept us in develop since like April 20th and still called us duplicate.<\/p><\/blockquote>\n Das h\u00f6rt sich nicht gar nicht nach Friede, Freude, Eierkuchen an, sondern nach einem ziemlich vergr\u00e4tzten Sicherheitsforscher. Ein anderer Teilnehmer schrieb als Antwort \"Leere Worte, ohne jegliche Bedeutung\".<\/p>\n Markus Vervier schildert in diesem Tweet<\/a> seine Erfahrungen mit dem MSRC.\u00a0Die wenigen Male, bei denen er mit dem MSRC zu tun hatte, zeigten jedoch ein Muster: Jedes Gespr\u00e4ch und jede Interaktion habe immer auch eine politische und unternehmenskommunikative Komponente gehabt, viel ausgepr\u00e4gter als bei jedem anderen der vielen Unternehmen, mit denen er im Laufe der Jahre zu tun hatte. W\u00e4hrend bei anderen Anbietern die technischen Details und Auswirkungen immer an erster Stelle standen, hatte er das Gef\u00fchl, dass es bei seinen Interaktionen einen Filter gab, der die Kommunikation verz\u00f6gerte. Er erhielt nicht einmal eine Benachrichtigung, wenn etwas behoben wurde.\u00a0Hinzu kam, dass nie transparent war, wer sich tats\u00e4chlich mit den Schwachstellen befasste.<\/p>\n Seine finalen Worte: Er habe in den letzten Jahren auf Konferenzen einige Mitarbeiter des MSRC kennengelernt, und alle waren super nett und kompetent! Daraus l\u00e4sst sich folgern: \"Der Fisch stinkt vom Kopf her.\"\u00a0Microsoft sollte den Prozess einfach an Leute \u00fcbergeben, die ihn gut managen und als Unternehmen auf angemessene Weise zu ihren Fehlern stehen.\u00a0Barbara Steisand at it's best. Kann man aber noch steigern.<\/p>\n Dem X-Kanal vx-underground ist hier<\/a> aufgefallen, dass der Post am Sonntag-Abend 23:00 Uhr US-Ostk\u00fcstenzeit ver\u00f6ffentlicht wurde und fragt: \"Warum ver\u00f6ffentlicht der Typ um 23 Uhr an einem Sonntag langatmige Erkl\u00e4rungen und startet eine philosophische Diskussion \u00fcber ethische Offenlegung?\u00a0Geh ins Bett, Microsoft, du bist verdammt noch mal betrunken.\"<\/p>\n Sicherheitsforscher Will Dormann merkt hier<\/a> an, dass es in Indien bereits \"Montag Morgen\" sei. Der Post scheint per VPN unter dem MSRC-Konto von Microsoft auf X abgesetzt worden zu sein, wie vx-underground hier analysiert<\/a>. Sicherheitsforscher Robert Graham zerlegt hier<\/a> die MSRC-Abhandlung \u00fcber \"responsible disclosure\" und schreibt:<\/p>\n Vuln finders have no responsibility. Dropping 0day is responsible. Responsible companies don't have so many bugs. We let industry subvert the disclosure process. Instead of working to secure their code, vendors have tricked people into believing in the myth of \"responsible disclosure\", that vendors should be given time to fix and patch their bugs so they are never to blame for the bugs to begin with.<\/p><\/blockquote>\n Diejenigen, die Schwachstellen aufdecken, tragen keine Verantwortung. Die Ver\u00f6ffentlichung von Zero-Day-Exploits ist das Problem, verantwortungsbewusste Unternehmen haben nicht so viele Fehler. Man habe zugelassen, dass die Industrie den Offenlegungsprozess untergr\u00e4bt. Anstatt daran zu arbeiten, ihren Code sicher zu machen, h\u00e4tten die Anbieter den Mythos der \"verantwortungsvollen Offenlegung\" in die Welt gesetzt \u2013 um den Anbietern Zeit zu gegeben, ihre Fehler zu beheben und zu patchen, damit sie von vornherein nie f\u00fcr die Fehler verantwortlich gemacht werden k\u00f6nnen.<\/p>\n Florian Roth, Forschungschef bei Nextron hatte zum 31. Mai 2025 in diesem Tweet<\/a> einen Vorschlag gemacht, wie Microsoft deeskalieren k\u00f6nne. Hier sein Textvorschlag, ein wenig als Satire gemeint und mit dem Hinweis, Microsoft k\u00f6nne den als Vorlage \u00fcbernehmen.<\/p>\n Der Text endete mit \"This screenshot is fake\", aber so k\u00f6nnte Microsoft abr\u00fcsten. Aber es war ja nur eine \"Fake-Vorlage\". Nun, wie es in der Praxis ausschaut, hat Nightmare Eclipse in einem Tweet<\/a> ausgedr\u00fcckt:<\/p>\n Microsoft ist laut Nightmare Eclipse weiter hinter ihm her und versucht das wohl auch juristisch vor Gericht durchzuziehen. Ich denke, das wird aufmerksam von der Szene beobachtet, die ihre Schl\u00fcsse ziehen d\u00fcrfte. Da helfen dann auch keine geschliffenen Texte.<\/p>\n \u00c4hnliche Artikel: Microsoft versucht nach seinem Blog-Post des MSRC-Teams, dass man eine unkoordinierte Offenlegung von Schwachstellen juristisch verfolge, und dem ausgel\u00f6sten Shitsturm in der Community der Sicherheitsforscher etwas zur\u00fcck zu rudern. Im Clinch mit dem Sicherheitsforscher Nightmare Eclipse gibt es aber wohl … Weiterlesen Vermeintliche Entspannung durch Microsoft<\/h2>\n
![\"MSRC-Post\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/MSRC-Post.jpg\")
<\/a><\/p>\nDie Reaktionen der Sicherheits-Community<\/h2>\n
Wenn selbst Statements ausgelagert werden …<\/h2>\n
![\"MSRC-Post\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/image-1.png\")
<\/a><\/p>\nUnd die Realit\u00e4t hinter dem Vorhang?<\/h2>\n
![\"Florian](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/MS-Roth.jpg\")
<\/p>\n![\"Microsoft](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/06\/MS-Chaotic-Eclipse05.jpg\")
<\/a><\/p>\n
\n<\/strong>BlueHammer: Windows 0-day-Schwachstelle<\/a>
\nBlueHammer-Nachlese: Defender-Patch vom 14.4.2026 und Analyse von Fortra<\/a>
\nRedSun: N\u00e4chste Windows Defender 0-Day-Schwachstelle<\/a>
\nChaotic Eclipse zwei 0-Day-Windows Schwachstellen (YellowKey, GreenPlasma), eine in MS Teams<\/a>
\nNightmare Eclipse ver\u00f6ffentlicht MiniPlasma-Schwachstelle CVE-2020-17103<\/a>
\nZoff und Schwarze-Peter-Spiel zwischen 'Microslop' und Chaotic Eclipse<\/a>
\nNightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung<\/a>
\nMicrosoft versus Nightmare Eclipse: Wir haben jetzt \"Bitskrieg\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"