{"id":326546,"date":"2026-06-18T00:01:26","date_gmt":"2026-06-17T22:01:26","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=326546"},"modified":"2026-06-17T15:36:38","modified_gmt":"2026-06-17T13:36:38","slug":"von-blaster-bis-bluehammer-wiederholt-sich-die-geschichte-bei-microsoft","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/06\/18\/von-blaster-bis-bluehammer-wiederholt-sich-die-geschichte-bei-microsoft\/","title":{"rendered":"Von Blaster bis BlueHammer: Wiederholt sich die Geschichte bei Microsoft?"},"content":{"rendered":"

\"SicherheitSeit einigen Wochen gibt es ja einen ziemlichen Disput zwischen einem Sicherheitsforscher mit dem Alias Nightmare Eclipse und dem Microsoft Security Response\u00a0 Center-Team (MSRC-Team). Es geht um die Art, wie Sicherheitsl\u00fccken gemeldet, bewerte und behoben werden. Und es geht um die Frage, welche Priorit\u00e4t Sicherheit bei Microsoft heute noch – abseits von sch\u00f6nen \"Sonntags-Papieren\" wirklich hat.\u00a0 Von einem Leser sind mir einige Gedanken und Erinnerungen zugegangen, die die Frage aufwerfen, ob sich eine schlechte Geschichte aus den 2000er Jahren derzeit bei Microsoft wiederholt.<\/p>\n

<\/p>\n

R\u00fcckblick: Microsoft und seine Sicherheitskultur<\/h2>\n

\"\"Wir erleben in den letzten 3-4 Jahren ja wiederholt, dass Microsoft als Unternehmen und mit seinen Produkten \"keine gute Figur macht\", wenn es um Sicherheitsfragen geht. Ich erinnere an den Fall, wo die mutma\u00dflich chinesische Gruppe Storm-0558 Microsofts Cloud- und Outlook-Online-Konten hacken und in der Microsoft Cloud-Infrastruktur auf beliebige Konten zugreifen konnte. Den Fall hatte ich 2023 im Beitrag\u00a0China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> angesprochen.<\/p>\n

Sicherheitsfails bei Microsoft<\/h3>\n

Dann gab es kurz danach den Fall eines Angriffs der mutma\u00dflich russischen Gruppe Midnight Blizzard, die ebenfalls in der Microsoft-Cloud \u00fcber Monate unbemerkt \"umher spazieren\" konnten. Ich hatte dies 2024 im Beitrag Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a> aufgegriffen. In diesen zwei herausgepickten F\u00e4llen kristallisierten sich im Nachgang haarstr\u00e4ubende Vers\u00e4umnisse Microsofts heraus. Was macht Microsoft – man k\u00fcndigt Verbesserungen an (siehe Microsoft Ank\u00fcndigung einer Secure Future Initiative<\/a>). Alles wird besser?<\/p>\n

Nightmare Eclipse und das \u00d6l ins Feuer gegossen<\/h3>\n

Springen wir ins Jahr 2026 und dem Fall Nightmare Eclipse. Die betreffende Person meldete wohl Schwachstellen an das Microsoft Security Response Center (MSRC). Dabei muss etwas vorgefallen sein, was derzeit nicht \u00f6ffentlich bekannt ist, aber zu einem Zerw\u00fcrfnis f\u00fchrte. Unter dem Strich f\u00fchrte dies dazu, dass Nightmare Eclipse seit M\u00e4rz 2026 in sch\u00f6ner Regelm\u00e4\u00dfigkeit Schwachstellen in Microsofts Produkten als 0-days mit Exploit ver\u00f6ffentlicht.<\/p>\n

Der letzte Artikel hier im Blog ist\u00a0Windows Defender-Schwachstelle RoguePlanet durch Nightmare Eclipse offengelegt<\/a> – aber ich habe am Beitragsende die thematisch zugeh\u00f6rdenen Artikeln verlinkt, so dass die Themen Storm-0558, Midnight Blizzard als auch Nightmare Eclipse mit allen Ver\u00e4stelungen nachlesbar sind.<\/p>\n

Statt den mit den Ver\u00f6ffentlichungen ins Spielfeld geworfenen Ball aufzugreifen, zu deeskalieren und zu handeln, verstieg sich das Management des MSRC zu Vorw\u00fcrfen gegen\u00fcber Nightmare Eclipse, sperrte dessen GitHub-Konto, und lie\u00df ein GitLab-Konto und mutma\u00dflich auch Konten auf Blogger.com offline nehmen. Gipfel war ein Post eines MSRC-Verantwortlichen, der Nightmare Eclipse ein \"unverantwortliches Handeln\" durch die unkoordinierte Offenlegung vorwarf und mit der Rechtsabteilung samt Strafverfolgung drohte (siehe Nightmare Eclipse auf GitLab gebannt; Microsoft nimmt Stellung<\/a>).<\/p>\n

In der Sicherheitscommunity war Microsoft in diesem Augenblick \"unten durch\", alles, was vielleicht \u00fcber Jahre an Vertrauen aufgebaut worden war, war binnen Sekunden pulverisiert. heise hatte das die Tage in einem Beitrag mit dem Titel \"Warum Microsofts Umgang mit Zero-Day-Ver\u00f6ffentlichungen Vertrauen zerst\u00f6rt\" aufgegriffen (leider Paywall, daher nicht verlinkt). Im Artikel wurde die Entwicklung um Nightmare Eclipse nachgezeichnet.<\/p>\n

\"Responsible<\/a><\/p>\n

Der Tenor des heise-Beitrags war ebenfalls: \"Microsoft begibt sich in einen wenig rational wirkenden Zwist mit einem Sicherheitsforscher und verspielt dabei das restliche Vertrauen der Security-Community.\" Im Artikel wurde auch auf obigen BlueSky-Post<\/a> von Katie Moussouris<\/a> verwiesen. Moussouris ist Gr\u00fcnderin von LutaSecurity und hatte bei Microsoft das Bug Bounty-Programm etabliert. Sie schrieb, dass Microsoft nicht wieder den \"Responsible Disclosure-Schei\u00df\" hervorkramen solle.<\/p>\n

Kein Anbieter verwende diesen Begriff, es sei denn, er will jemanden als unverantwortlich bezeichnen. Selbst wenn jemand einen 0-Day ver\u00f6ffentlicht: Patch installieren und weitermachen, war die Botschaft. Einen Sicherheitsforscher zu verfolgen sei ein toller Weg, um aus einer schlechten Beziehung viele schreckliche Beziehungen zu machen.<\/p>\n

Moussuris spielt wohl auch auf den Beitrag Coordinated Vulnerability Disclosure: Bringing Balance to the Force<\/a> von Microsoft aus dem Jahr 2010 an, wo es hei\u00dft: \"Responsible Disclosure\" sollte zugunsten eines Ansatzes aufgegeben werden, bei dem es darum geht, das eigentliche Ziel zu erreichen, n\u00e4mlich die Sicherheit zu verbessern und Nutzer sowie Systeme zu sch\u00fctzen.\u00a0<\/em>Und damit sind wir beim Kern – das MSRC hat dieses Ziel wohl verlernt oder aus den Augen verloren, weil die falschen Leute an den relevanten Stellen sitzen.<\/p>\n

Wiederholt sich die Geschichte bei Microsoft?<\/h2>\n

Kommen wir zu den Gedanken, die mir Blog-Leser Thomas Bittner k\u00fcrzlich geschickt hat.\u00a0Thomas ist Ex-MVP-Kollege und bezeichnet sich als \"Retired IT Expert and former Investment Banker\". Wir tauschen uns seit Jahren, manchmal auch mit Ex-MVP Mark Heitbrink oder MVP Frank Carius, hinter den Kulissen \u00fcber Blog-Themen aus, obwohl wir beiden uns niemals (zumindest mir nicht erinnerlich) auf einem der MVP-Treffen bei Microsoft Deutschland begegnet sind.<\/p>\n

Thomas Bittner hat die Entwicklung bei Microsoft aus Sicht eines IT-Experten seit 2000 wesentlich intensiver als meine Wenigkeit verfolgt. W\u00e4hrend ich B\u00fccher \u00fcber Windows als \"Anwendersicht\" geschrieben habe, musste er sich mit dem Einsatz der Produkte in Unternehmensumgebungen herumschlagen. Aus dieser Zeit sind ihm Dinge erinnerlich, die ich vergessen habe oder nie auf dem Radar hatte. Daher freut es mich, dass Thomas Bittner mir seine Zustimmung erteilt hat, seinen nachfolgenden Beitrag, den er auf LinkedIn ver\u00f6ffentlicht hat (hier nicht verlinkt, da nicht ohne Konto abrufbar), hier im Blog als Gastbeitrag einstellen zu d\u00fcrfen. Nachfolgend sein Text.<\/p>\n

\n

Retired IT Expert and former Investment Banker
\nJune 1, 2026<\/p>\n

Von Blaster bis BlueHammer: Wiederholt sich die Geschichte bei Microsoft?<\/strong>
\nWarum die aktuelle Zero-Day-Debatte erstaunliche Parallelen zur Sicherheitskrise Anfang der 2000er Jahre aufweist<\/strong><\/p>\n

Wer die aktuelle Auseinandersetzung zwischen Microsoft und Sicherheitsforschern rund um \u00f6ffentlich diskutierte Zero-Days verfolgt, k\u00f6nnte den Eindruck gewinnen, es handele sich um ein modernes Problem der KI-\u00c4ra.<\/p>\n

Tats\u00e4chlich zeigen sich jedoch bemerkenswerte Parallelen zu einer Zeit, die viele Administratoren, MVPs, IT-Profis und Sicherheitsforscher noch sehr gut in Erinnerung haben: die Sicherheitskrise von Microsoft Anfang der 2000er Jahre.<\/p>\n

Damals wie heute steht nicht nur die Frage im Raum, ob einzelne Schwachstellen existieren. Vielmehr geht es um Verantwortung, Sicherheitskultur, organisatorische Prozesse und das Verh\u00e4ltnis zwischen Hersteller, Forschern und Kunden.<\/p>\n

Der Unterschied: Vor zwanzig Jahren f\u00fchrte diese Debatte zu einer der gr\u00f6\u00dften sicherheitskulturellen Transformationen der IT-Geschichte. Die Frage ist, ob heute erneut ein solcher Wendepunkt bevorsteht.<\/p>\n

Die Zeit vor \"Trustworthy Computing\"<\/h2>\n

Anfang der 2000er Jahre war Microsoft der dominierende Anbieter von Desktop-Betriebssystemen und Unternehmenssoftware. Gleichzeitig galt Windows als bevorzugtes Angriffsziel f\u00fcr Malware. W\u00fcrmer wie:<\/p>\n