Microsoft hat mit einer Klage gegen einen Sicherheitsforscher namens Nightmare Eclipse gedroht und sich dafür harsche Kritik eingefangen, wie "Techcrunch"
berichtet. Hintergrund ist die Veröffentlichung mehrerer Sicherheitslücken für Bitlocker und Defender durch den Hacker namens Nightmare Eclipse, die Microsoft als unverantwortlich verurteilt. Denn normalerweise werden Sicherheitslücken erst dem Hersteller gemeldet und nicht auf eigene Faust veröffentlicht. Dem Forscher wurde nach der Publikation daher auch sein Github-Account gesperrt ("Swiss IT Magazine"
berichtete).
Man erwäge deshalb rechtliche Schritte gegen den Security-Spezialisten, so
Microsoft. Die Community reagierte erbost: Microsofts Umgang mit Meldungen zu Sicherheitslücken wird schliesslich immer wieder kritisiert (unlängst
etwa hier). Nun einen Sicherheitsforscher anzuklagen, wäre alles andere als konstruktiv, so offenbar der Konsens unter den Security-Forschern.
Microsoft wiederum ruderte daraufhin recht schnell zurück. Man sehe von der Klage ab, wie es vonseiten Redmond heisst. Das Verhalten des Forschers wird dennoch als "unverantwortlich" eingeordnet.
Nightmare Eclipse gab laut dem Bericht an, dass er sehr wohl den offiziellen Weg einer Meldung über das Microsoft Security Response Center und das branchenübliche Vorgehen (Responsible Disclosure) gegangen sei. Microsoft habe ihn aber so schlecht behandelt, dass ihm kein anderer Weg geblieben sei, als die Lücken einfach publik zu machen. In Folge veröffentlichten eine Reihe anderer Forscherinnen und Forscher ihre stark durchzogenen Erfahrungen mit Microsofts Responsible-Disclosure-Programm. Der Prozess werde ohnehin schon mehr zum Schutz der Hersteller anstatt der User genutzt. Ihn nun als Grundlage für eine Klage zu nutzen, sei ein neues Tief für
Microsoft, wie der Sicherheitsforscher und Ex-Microsoft-Angestellte Kevin Beaumont
auf seinem Blog schreibt.
(win)
