Ein Sicherheitsforscher macht ungepatchte Windows-Lücken publik — und Microsoft antwortet nicht mit beschleunigten Patches, sondern mit der Drohung, ihn strafrechtlich verfolgen zu lassen. Die Geschichte spielt sich im Jahr 2026 ab. Und sie berührt eine Frage, die für die gesamte IT-Sicherheitsbranche gilt: Was passiert, wenn Konzerne anfangen, Forscher einzuschüchtern statt mit ihnen zusammenzuarbeiten?
Sechs Lücken in Windows Defender und BitLocker — drei davon bereits aktiv ausgenutzt
Der Forscher, der unter den Aliasen Chaotic Eclipse und Nightmare Eclipse aktiv ist, veröffentlichte Details zu sechs Zero-Day-Schwachstellen in Windows-Komponenten — betroffen sind Windows Defender und BitLocker. Die Lücken tragen die internen Bezeichnungen BlueHammer (CVE-2026-33825), RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498), YellowKey (CVE-2026-45585) sowie GreenPlasma und MiniPlasma. Zusammen mit den technischen Details stellte er Exploit-Code öffentlich bereit — ohne Microsoft vorher zu informieren.
Drei dieser Schwachstellen — BlueHammer, RedSun und UnDefend — werden laut CISA bereits aktiv in Angriffen eingesetzt. Das ist der Punkt, an dem die Geschichte für alle relevant wird, die Windows-Infrastruktur betreiben. Kein akademisches Richtlinien-Thema mehr, sondern ein reales Exposure-Problem.
Microsofts Reaktion: Der GitHub-Account des Forschers wurde gelöscht, der neu erstellte GitLab-Account kurz darauf ebenfalls. Der Konzern ließ über seine Digital Crimes Unit ausrichten, man werde gegen solche Akteure rechtlich vorgehen — inklusive Strafanzeige. Der Forscher schildert, er habe versucht, Microsoft zu kontaktieren, sei dabei auf Ablehnung gestoßen; sein Zugang zum Microsoft Security Response Center wurde entzogen, was seine Entscheidung zur öffentlichen Veröffentlichung erst ausgelöst habe.
Microsoft predigt Coordinated Vulnerability Disclosure — und unterläuft sie gerade
Coordinated Vulnerability Disclosure (CVD) ist seit Jahren der Industriestandard: Forscher melden eine Lücke zuerst dem Hersteller, geben ihm eine angemessene Frist zum Patchen — üblich sind 90 Tage —, und veröffentlichen danach. Microsoft gehörte zu den frühen Verfechtern dieses Modells.
Das aktuelle Vorgehen sendet das Gegenteil. Wer Microsoft-Bugs meldet oder öffentlich macht, riskiert gesperrte Konten und eine Strafverfolgungsdrohung. TechCrunch berichtet, dass Katie Moussouris — früher selbst bei Microsoft, heute bei Luta Security — vor dem absehbaren Effekt warnte: Forscher werden Microsoft schlicht meiden. Kevin Beaumont, langjähriger Security-Kommentator, bezeichnete Microsofts Position als Desaster und fragte, ob das Erstellen von Proof-of-Concept-Exploits nun als „kriminelle Aktivität“ gelte.
Microsofts offizielles Statement — man wolle „Kunden vor unnötigem Risiko schützen“ — klingt im ersten Moment verständlich. Schwer zu halten ist es, wenn drei der betroffenen Lücken aktiv für Angriffe genutzt werden. Die öffentliche Disclosure hat sie nicht erst riskant gemacht.
Wer profitiert, wenn Sicherheitsforscher schweigen?
Ich betreue Windows-Infrastruktur für KMU-Kunden — schnelle Patches sind für mich keine theoretische Forderung. Wenn eine bekannte Lücke wochenlang offen bleibt, weil der Forscher, der sie gefunden hat, schweigt, um keine Strafanzeige zu riskieren, ist das ein reales Angriffsfenster. Die Sicherheitsforschergemeinde ist das Frühwarnsystem, auf das Hersteller wie Endanwender angewiesen sind. Wer dieses System mit Drohungen schwächt, hilft niemandem außer denen, die Lücken ohnehin ausnutzen wollen.
Der Forscher kündigte an, am 14. Juli 2026 eine weitere Veröffentlichung folgen zu lassen — als Reaktion auf das, was er als Schlechterstellung erlebt hat. Microsoft hat damit das Ergebnis herbeigeführt, das es zu verhindern behauptet.
