Hintergrund des Streits
Im Frühjahr 2026 sorgte ein Konflikt rund um die Offenlegung von Sicherheitslücken für Aufsehen. Der in der Sicherheits‑Community unter dem Namen „Nightmare Eclipse“ agierende Forscher veröffentlichte mehrere ungepatchte Schwachstellen in Microsoft‑Produkten, darunter die Antiviren‑Komponente Defender und das Verschlüsselungswerkzeug BitLocker. Gleichzeitig stellte er Quellcode bereit, der die Ausnutzung dieser Fehler ermöglichte.
Microsofts Reaktion
Das Unternehmen reagierte mit einem Blogbeitrag, in dem es den Forscher dafür kritisierte, dass er die Lücken nicht zuvor über das offizielle Microsoft Security Response Center gemeldet habe. Microsoft argumentierte, dass die öffentliche Bekanntmachung ohne Vorab‑Patch Hackern „eine goldene Nase“ biete und bereits zu realen Angriffen geführt habe – eine These, die auch die US‑Cyber‑Behörde CISA unterstütze.
Darüber hinaus kündigte die Digital Crimes Unit von Microsoft an, rechtliche Schritte gegen Personen einzuleiten, die die Schwachstellen ausnutzen oder deren Verbreitung unterstützen. In diesem Zusammenhang wurde dem Forscher mitgeteilt, dass eine Strafanzeige wegen „Erleichterung krimineller Handlungen“ erwogen werde.
Die Sicht des Forschers
Laut den eigenen Blogeinträgen sei Nightmare Eclipse bereits mehrfach versucht haben, Microsoft zu kontaktieren. Stattdessen sei sein Zugang zum Microsoft Security Response Center gesperrt worden, und seine Konten auf den Plattformen GitHub und GitLab – beide im Besitz von Microsoft – wurden gelöscht. Ohne einen Kanal zur verantwortungsvollen Meldung sah er sich gezwungen, die Angaben offen zu legen, wodurch die Lücken zu sogenannten Zero‑Days wurden.
Reaktionen aus der Branche
Der Vorfall wirft ein altes, immer noch kontroverses Thema auf: Welche Pflichten haben unabhängige Sicherheitsforscher beim Umgang mit entdeckten Schwachstellen? Während seit der „No More Free Bugs“-Kampagne von 2009 das Prinzip etabliert ist, dass Unternehmen Bug‑Bounty‑Prämien zahlen, bleibt die Frage, inwieweit ein Forscher verpflichtet ist, zuerst intern zu melden, bevor er Details veröffentlicht.
Viele Fachleute äußern Bedenken, dass solch harte Drohungen einen abschreckenden Effekt haben könnten. Zahlreiche Kolleg*innen berichteten bereits von negativen Erfahrungen beim Melden von Bugs an Microsoft, was das Vertrauen in die etablierte Kooperationsplattform erschüttert.
Ausblick und offene Fragen
Der Konflikt steht exemplarisch für die Spannung zwischen Unternehmensinteressen, öffentlicher Sicherheit und der Freiheit von Forschenden. Ob Microsoft seine Haltung in Zukunft lockern oder die Branche zu neuen Standards für die Meldung von Schwachstellen findet, bleibt abzuwarten. Für die Gemeinschaft bedeutet der Vorfall jedoch, dass die Debatte um Transparenz, Vergütung und rechtliche Rahmenbedingungen weiter an Schärfe gewinnt.