Nachdem ein Sicherheitsforscher ungepatchte Fehler in Microsoft-Produkten veröffentlichte – komplett mit Exploit-Code – reagierte das Unternehmen nicht mit Fehlerbehebungen, sondern mit der Drohung, die Polizei einzuschalten. Microsofts verschleierte rechtliche Drohung hat die seit langem geführte Debatte neu entfacht, ob Sicherheitsforscher etwas Billionen-Dollar-Tech-Giganten schulden, die sich nicht die Mühe machen, ihre eigene Software zu patchen.

Am Mittwoch veröffentlichte Microsoft einen Blogbeitrag, der den Forscher namens „Nightmare Eclipse“ dafür kritisierte, eine Reihe von Fehlern mit Namen wie BlueHammer, RedSun UnDefend und YellowKey öffentlich gemacht zu haben – klingt weniger nach Sicherheitslücken und mehr nach abgelehnten Power-Rangers-Bösewichten. Die Fehler betrafen Produkte wie die in Windows integrierte Antiviren-Engine Defender und das Festplattenverschlüsselungstool BitLocker.

Microsofts Hauptkritikpunkt ist, dass der Forscher die Fehler nicht privat gemeldet hat, damit das Unternehmen sie zuerst beheben konnte. Das wäre laut Microsoft das „Verantwortungsvolle“ gewesen. Das Unternehmen argumentiert auch, dass die Veröffentlichung von Exploit-Details vor einem Patch böswilligen Hackern geholfen haben könnte – und tatsächlich wurden einige der Schwachstellen seitdem in realen Angriffen genutzt, so Microsoft und die US-Cybersicherheitsbehörde CISA.

„Unsere Digital Crimes Unit wird weiterhin Fälle gegen diese Akteure und diejenigen verfolgen, die ihre kriminellen Aktivitäten ermöglichen – und dabei bei Bedarf mit Strafverfolgungsbehörden auf der ganzen Welt koordinieren“, schrieb Microsoft. Die Mission der Digital Crimes Unit umfasst laut ihrer Website „zivilrechtliche Klagen, technische Gegenmaßnahmen, Strafanzeigen und öffentlich-private Partnerschaften.“ Also im Grunde die Unternehmensversion davon, Papa zu rufen, weil jemand gemein zu dir war.

In einer Reihe von Blogs, die in den letzten Wochen veröffentlicht wurden, behauptete Nightmare Eclipse, sie hätten Kontakt mit Microsoft gehabt, seien aber angeblich schlecht behandelt worden – einschließlich der Sperrung ihres Microsoft Security Response Center-Kontos. Ihre Andeutung war, dass sie keine andere Wahl hatten, als die Schwachstellen öffentlich zu machen, und sie damit effektiv in Zero-Days verwandelten: Sicherheitslücken, die dem betroffenen Softwarehersteller zum Zeitpunkt der Offenlegung unbekannt waren.

Der Forscher veröffentlichte die Fehler auf GitHub und GitLab – beide Plattformen, auf denen ihre Konten inzwischen gesperrt wurden. Weder Nightmare Eclipse noch Microsoft reagierten auf Anfragen um Stellungnahme.

Dieser öffentliche Streit belebt eine immer noch kontroverse Debatte: Haben unabhängige Sicherheitsforscher die Pflicht, sicherzustellen, dass die von ihnen gefundenen Schwachstellen behoben werden? Und wie weit müssen sie gehen, um sicherzustellen, dass die Unternehmen, deren Produkte anfällig sind, sie tatsächlich beheben?

Ein Teil dieser Debatte ist geklärt: Forscher verdienen es, bezahlt zu werden. Es dauerte Jahre des Kampfes – teilweise festgehalten in der Kampagne „No More Free Bugs“ von 2009 – aber fast 20 Jahre später zahlen die meisten Unternehmen Bug-Bounties, die für private Offenlegungen sechsstellige Beträge oder mehr erreichen können.

Als Reaktion auf diese jüngste Kontroverse haben unzählige Forscher ihre schlechten Erfahrungen bei der Meldung von Fehlern an Microsoft geteilt. Die Cybersicherheits-Community ist lautstark unzufrieden. Dazu gehört auch Katie Moussouris, Gründerin von Luta Security, die Mitte der 2000er Jahre bei Microsoft arbeitete, Bug-Bounties einführte und das Unternehmen überzeugte, „koordinierte Offenlegung“ anstelle von „verantwortungsvoller Offenlegung“ zu übernehmen.

„Den Begriff ‚verantwortungsvolle‘ Offenlegung zu verwenden, war für mich der erste Schlag“, sagte Moussouris zu TechCrunch. „Die Androhung einer Strafverfolgung durch Erwähnung der [Digital Crimes Unit] war übertrieben und wird nur dazu führen, dass Sicherheitsforscher Microsoft misstrauen.“ Sie warnte, dass der Verlust des Vertrauens der Forscher einen abschreckenden Effekt haben könnte, der „es für uns alle unsicherer macht“.

Auch Sicherheitsforscher und ehemaliger Microsoft-Mitarbeiter Kevin Beaumont kritisierte das Unternehmen und bezeichnete seine Position als „Müllcontainerbrand eigener Machart“. „Proof-of-Concept-Exploit-Erstellung und -Verteilung für Zero-Days ist jetzt also ‚kriminelle Aktivität‘?“, schrieb Beaumont. „Verantwortungsvolle Offenlegung ziemlich offensichtlich...“