Microsoft blockt Open-Source-Entwickler: VeraCrypt und WireGuard auf Windows in Gefahr
Microsoft hat plötzlich die Entwicklerkonten für wichtige Open-Source-Tools – VeraCrypt, WireGuard, MemTest86 und Windscribe – im Windows Hardware Program suspendiert. Ohne gültige digitale Signatur können Treiber-Updates für Windows nicht veröffentlicht werden, was die Sicherheit von Millionen Nutzern gefährdet. Besonders betroffen ist VeraCrypt, da sein Root-Zertifikat aus dem Jahr 2011 bald widerrufen wird.
Zeitstrahl des Vorfalls
Am 30. März 2026 stellte der VeraCrypt-Entwickler Munir Idrassi fest, dass sein Konto im Microsoft Partner Center gesperrt war. Der Einspruch wurde ohne Begründung abgelehnt. Ähnlich verlief es für den WireGuard-Verwalter Jason Donenfeld, der ein Update nicht veröffentlichen konnte – sein Konto war gesperrt und löste einen 60-tägigen Einspruchsprozess aus.
Die Entwickler betonen, dass keine vorherigen Warnungen erfolgt waren. Microsoft hatte ab dem 16. Oktober 2025 eine obligatorische Partner-Verifizierung eingeführt – 30 Tage zur Einhaltung, danach automatische Suspendierung. Obwohl angeblich E-Mails versandt wurden, erreichten sie laut Empfängern nie ihr Ziel.
Nach Medienberichten kontaktierte Microsoft-VP Scott Hanselman persönlich und versprach eine Lösung. Bis heute bleiben die betroffenen Konten jedoch inaktiv.
Technische Folgen für die Projekte
VeraCrypt: Version 1.26.24 nutzt noch das Microsoft Root Certificate Authority 2011-Zertifikat, das 2026 widerrufen wird. Ohne einen neuen signierten Bootloader funktioniert die Vollverschlüsselung (FDE) unter SecureBoot nicht mehr. Nicht-systembezogene Volumes (Container, Partitionen) sind weniger betroffen.
WireGuard und Windscribe: Die Sperrung verhindert Windows-Patches – dort laufen die meisten Nutzer diese Tools. Eine kritische RCE-Lücke benötigt 60 Tage zur Behebung; Linux- und macOS-Updates sind bereits verfügbar.
MemTest86: RAM-Diagnose-Tools sind gefährdet – unsigned Tools starten nicht auf Systemen mit SecureBoot.
- Hauptrisiken:
- Sicherheitspatches verzögern sich um mehr als 60 Tage
- Ausfall der VeraCrypt-Systemverschlüsselung
- Übermäßige Abhängigkeit von Microsofts Treibersignatur-Hoheit
- Fehlende Benachrichtigungen über Verifizierungsanforderungen
Warum SecureBoot und Signatur wichtig sind
Das Windows Hardware Program stellt EV-Code-Signaturzertifikate für Treiber und Bootloader aus. Ohne solch ein Zertifikat scheitern Software-Updates an SecureBoot-Checks – der Standard auf allen modernen PCs. Microsoft kontrolliert die Root-Schlüssel, wodurch Open-Source-Projekte anfällig für administrative Fehler werden.
Kompromiss: SecureBoot-Nutzen vs. Flexibilität. Entwickler müssen sich auf einen Anbieter verlassen, dessen Prozesse vollautomatisiert sind und keiner menschlichen Kontrolle unterliegen. Dies schafft Spannung zwischen Lieferketten-Sicherheit und zeitnahen Updates.
Für erfahrene Entwickler: Dies unterstreicht die Notwendigkeit multiplattformiger Strategien. Testen Sie Treiber in WSL2 oder virtuellen Maschinen; überwachen Sie Zertifikatswiderruf via Microsoft Docs.
Empfehlungen für Nutzer und DevOps-Teams
- Status prüfen: Bei VeraCrypt führen Sie
veracrypt --versionaus. Zeigt er 1.26.24 an, handelt es sich um die letzte signierte Version. - Updates beobachten: Achten Sie auf offizielle Ankündigungen in SourceForge und GitHub.
- Alternativen nutzen: Für Systemverschlüsselung auf Windows verwenden Sie BitLocker (nativ). Für VPNs empfehlen sich OpenVPN mit selbstsignierten Zertifikaten – aber verstehen Sie die Risiken.
- Entwicklungsstrategie: Implementieren Sie CI/CD-Pipelines mit Fallback auf unsigned Treiber für Tests; migrieren Sie kritische Workloads auf Linux.
- Langfristige Planung: Erwägen Sie Hardware ohne SecureBoot oder benutzerdefinierte UEFI-Firmware für Produktionsumgebungen.
Aktuelle Versionen funktionieren weiterhin, doch unpatchte Schwachstellen erhöhen das Risiko. Für VeraCrypt-Nutzer, die auf Systemverschlüsselung angewiesen sind, ist aktive Überwachung essenziell.
Was zählt
- Automatische Kontosperren ohne Warnung störten die Update-Ketten für vier oder mehr Projekte.
- VeraCrypt steht unter ernsthafter Bedrohung: Die Widerrufung des CA-2011-Zertifikats wird SecureBoot-Verschlüsselung ohne schnelle Lösung brechen.
- Die Abhängigkeit von Microsofts Signierprozess für Open-Source-Projekte birgt systemische Risiken im Windows-Ökosystem.
- Mediendruck führte zu Handlungen, aber die Verifizierungsworkflows brauchen dringende Verbesserung.
- Best Practice: Plattformvielfalt und aktive Überwachung von Zertifikatswiderruf.
Weitere Lehren für die IT-Branche
Dieser Vorfall offenbart die Abwägungen bei monopolartigen Code-Signaturen: Sicherheit gegen Zugänglichkeit. Open-Source-Projekte mit Millionen Nutzern (VeraCrypt hat über 10 Mio. Downloads) sollten nicht auf undurchsichtige Prozesse eines einzelnen Anbieters angewiesen sein. Ähnliche Risiken bestehen bei Apples Notarisation und Google Play-Richtlinien.
Für mittlere bis erfahrene Entwickler: Setzen Sie Alarme für Zertifikatswiderrufslisten (CRL/OCSP). In Produktion verwenden Sie Dual-Boot-Systeme oder containerisierte Alternativen.
— Editorial Team
Noch keine Kommentare.