Microsoft rudert zurück: Keine Klagen gegen Sicherheitsforscher

Microsoft hat am Montag klargestellt, keine rechtlichen Schritte gegen Forscher einzuleiten, die Sicherheitslücken offenlegen. Die Kehrtwende folgt auf einen erbitterten Streit um mehrere ungepatchte Windows-Schwachstellen.

Angesichts der aktuellen Sicherheitswarnungen und Schwachstellen ist ein stabiles Betriebssystem wichtiger denn je. Dieser kostenlose PDF-Report zeigt Ihnen, wie Sie typische Windows-Probleme und Update-Fehler ganz ohne teuren IT-Service selbst beheben können. Kostenlosen Windows-Hilfe-Report jetzt herunterladen

Der Fall Nightmare-Eclipse

Auslöser der Kontroverse ist ein Forscher mit dem Pseudonym Nightmare-Eclipse. Zwischen April und Mai 2026 veröffentlichte er sechs Zero-Day-Exploits für Windows-Systeme – darunter Schwachstellen mit den Namen BlueHammer (CVE-2026-33825), RedSun, UnDefend, YellowKey (CVE-2026-45585), GreenPlasma und MiniPlasma. Der Forscher machte die Details öffentlich, nachdem Microsoft seiner Darstellung nach nicht auf seine Meldungen reagiert hatte.

Die Vorwürfe wiegen schwer: Microsoft habe seine Einsendungen ignoriert, Bug-Bounty-Zahlungen verweigert und schließlich sein Konto im Microsoft Security Response Center (MSRC) gelöscht. Zudem sei sein GitHub-Account gesperrt worden – offenbar um die Verbreitung der technischen Details zu unterdrücken.

Die US-Cybersicherheitsbehörde CISA hat inzwischen bestätigt, dass drei der sechs veröffentlichten Exploits bereits in realen Angriffen eingesetzt werden. Microsoft reagierte zunächst mit juristischen Drohungen – ein Schritt, der prominente Sicherheitsexperten wie Katie Moussouris, Casey Ellis und Kevin Beaumont auf den Plan rief.

Klarstellung und offene Fragen

In seiner Stellungnahme vom 1. Juni 2026 distanzierte sich Microsoft deutlich von den früheren Drohungen. Das Unternehmen werde nur dann mit Strafverfolgungsbehörden zusammenarbeiten, wenn es um eindeutig illegale Aktivitäten gehe. Microsoft bekräftigte sein Bekenntnis zum Coordinated Vulnerability Disclosure (CVD)-Rahmenwerk, kritisierte aber die Art und Weise, wie die Schwachstellen veröffentlicht wurden.

Die zunehmenden Cyber-Risiken und neuen Sicherheitslücken stellen Unternehmen vor immer größere Herausforderungen beim Schutz sensibler Daten. Erfahren Sie in diesem kostenlosen E-Book, wie Sie proaktiv Sicherheitslücken schließen und Ihre IT-Infrastruktur effektiv absichern. Gratis E-Book zur Cyber-Security anfordern

Der Fall hat eine grundsätzliche Debatte neu entfacht: Wie effektiv sind Bug-Bounty-Programme? Und wie gehen große Technologiekonzerne mit unabhängigen Sicherheitsanalysten um? Während Microsoft seinen juristischen Kurs geändert hat, bleibt die technische Bedrohung bestehen. Branchenbeobachter berichten, dass andere Forscher Nightmare-Eclipse inzwischen weitere Schwachstellen zur Veröffentlichung zuspielen.

Der Forscher selbst kündigt für den 14. Juli 2026 eine weitere Runde von Sicherheitslücken an – es sei denn, Microsoft behebt die grundlegenden Probleme in seinem Meldeverfahren.

Zusätzliche Gefahr: Kritische Netlogon-Lücke

Der Streit überschattet eine weitere, zeitgleich aufgetauchte Sicherheitswarnung. Die belgische Cybersicherheitsbehörde CCB hat am 1. Juni 2026 vor der aktiven Ausnutzung einer kritischen Sicherheitslücke in Windows Netlogon gewarnt. Die Schwachstelle mit der Kennung CVE-2026-41089 ermöglicht eine Remotecodeausführung und erreicht einen CVSS-Score von 9,8 – die höchste Risikostufe.

Betroffen sind alle unterstützten Versionen von Windows Server. Zwar hatte Microsoft das Problem bereits im Mai 2026 mit einem Patch behoben, doch nun wird die Lücke aktiv angegriffen. Für IT-Administratoren bedeutet das zusätzlichen Druck: Sie müssen nicht nur die Risiken aus den Nightmare-Eclipse-Enthüllungen managen, sondern auch diese kritische Schwachstelle im Blick behalten.

de | wissenschaft | 69469015 |