Ein schwerwiegender Vorfall erschüttert die Open-Source-Community: Microsoft hat ohne jegliche Vorankündigung oder Erklärung Entwickler-Accounts gesperrt, über die wichtige Sicherheits- und Systemprogramme für Windows signiert und veröffentlicht wurden. Betroffen sind unter anderem die VPN-Lösung WireGuard, das Verschlüsselungstool VeraCrypt, das RAM-Diagnoseprogramm MemTest86 sowie die VPN-Software Windscribe – allesamt Werkzeuge, auf die Millionen von Windows-Nutzern weltweit angewiesen sind.
Keine Warnung, keine Erklärung
Besonders brisant ist die Art und Weise, wie Microsoft vorgegangen ist. Entwickler berichten, dass ihre Accounts einfach deaktiviert wurden – ohne vorherige E-Mail, ohne Warnung, ohne nachvollziehbare Begründung. Ein betroffener Entwickler schildert, dass Microsoft den Account, den er jahrelang für die Signierung von Windows-Treibern und Bootloadern genutzt hatte, einfach gekündigt hat. Die Folge: Keine neuen Software-Builds können veröffentlicht werden, und was noch kritischer ist – Sicherheits-Patches können nicht mehr an Windows-Nutzer ausgeliefert werden. Ein schneller Weg zur Wiederherstellung der Accounts existiert offenbar nicht.
Warum Codesignierung so wichtig ist
Um den Vorfall richtig einzuordnen, muss man verstehen, welche Rolle die Codesignierung unter Windows spielt. Microsoft verlangt, dass Treiber und bestimmte Systemprogramme mit einem gültigen Zertifikat signiert sind, das über das Microsoft-Ökosystem ausgestellt wurde. Ohne diese Signierung verweigert Windows die Ausführung der Software oder zeigt zumindest drastische Sicherheitswarnungen. Open-Source-Projekte sind damit strukturell abhängig von Microsofts Wohlwollen – eine Abhängigkeit, die mit dieser Sperrwelle nun offen zutage tritt.
Das trifft die betroffenen Projekte besonders hart, weil es sich nicht um obskure Nischentools handelt. VeraCrypt gilt als De-facto-Standard für On-the-fly-Festplattenverschlüsselung und wird von Sicherheitsforschern, Journalisten und Unternehmen gleichermaßen genutzt. WireGuard ist ein modernes VPN-Protokoll, das für seine Effizienz und Sicherheit gelobt wird und mittlerweile in zahlreiche Betriebssysteme und Router-Firmware integriert wurde. MemTest86 ist ein unverzichtbares Diagnosewerkzeug für Hardware-Techniker. Sicherheitslücken in diesen Projekten könnten also nicht zeitnah gepatcht werden – ein erhebliches Risiko für die gesamte Windows-Nutzerbasis.
Strukturelles Problem: Abhängigkeit von Plattformwächtern
Der Vorfall wirft grundlegende Fragen über die Machtstellung großer Plattformanbieter auf. Wenn ein einzelnes Unternehmen durch eine administrative Entscheidung – ohne Transparenz oder Rechtsweg – die Weiterentwicklung kritischer Sicherheitssoftware blockieren kann, zeigt das eine gefährliche Zentralisierung im Software-Ökosystem. Dies geschieht ausgerechnet zu einem Zeitpunkt, an dem Frankreich gerade eine Regierungsinitiative gestartet hat, um die Abhängigkeit von außereuropäischen Tech-Konzernen zu reduzieren und auf Linux-basierte Lösungen umzusteigen – ein Schritt, der vor dem Hintergrund solcher Vorfälle noch nachvollziehbarer wirkt.
Für Nutzer der betroffenen Software bedeutet der Vorfall zunächst: Installierte Versionen funktionieren weiterhin, neue Updates oder Patches können jedoch vorerst nicht über die offiziellen Windows-Kanäle verteilt werden. Die Open-Source-Community und Sicherheitsexperten fordern von Microsoft umgehend Transparenz sowie die sofortige Wiederherstellung der betroffenen Accounts. Wie Microsoft auf den wachsenden Druck reagiert, bleibt abzuwarten.
Quellen: Hacker News