Zurück zur Startseite

Kontosperrung VeraCrypt WireGuard Microsoft

Microsoft hat die Entwicklerkonten von VeraCrypt, WireGuard und anderen im Windows Hardware Program wegen nicht verifizierter Profile gesperrt. Dies hat Treiber-Updates lahmgelegt, besonders kritisch für Systemverschlüsselung VeraCrypt vor CA-2011-Widerruf. Analyse von Risiken, Abwägungen und Empfehlungen für Entwickler.

Microsoft hat VeraCrypt und WireGuard eingefroren: was erwartet Windows
Advertisement 728x90

Microsoft blockt Open-Source-Entwickler: VeraCrypt und WireGuard auf Windows in Gefahr

Microsoft hat plötzlich die Entwicklerkonten für wichtige Open-Source-Tools – VeraCrypt, WireGuard, MemTest86 und Windscribe – im Windows Hardware Program suspendiert. Ohne gültige digitale Signatur können Treiber-Updates für Windows nicht veröffentlicht werden, was die Sicherheit von Millionen Nutzern gefährdet. Besonders betroffen ist VeraCrypt, da sein Root-Zertifikat aus dem Jahr 2011 bald widerrufen wird.

Zeitstrahl des Vorfalls

Am 30. März 2026 stellte der VeraCrypt-Entwickler Munir Idrassi fest, dass sein Konto im Microsoft Partner Center gesperrt war. Der Einspruch wurde ohne Begründung abgelehnt. Ähnlich verlief es für den WireGuard-Verwalter Jason Donenfeld, der ein Update nicht veröffentlichen konnte – sein Konto war gesperrt und löste einen 60-tägigen Einspruchsprozess aus.

Die Entwickler betonen, dass keine vorherigen Warnungen erfolgt waren. Microsoft hatte ab dem 16. Oktober 2025 eine obligatorische Partner-Verifizierung eingeführt – 30 Tage zur Einhaltung, danach automatische Suspendierung. Obwohl angeblich E-Mails versandt wurden, erreichten sie laut Empfängern nie ihr Ziel.

Google AdInline article slot

Nach Medienberichten kontaktierte Microsoft-VP Scott Hanselman persönlich und versprach eine Lösung. Bis heute bleiben die betroffenen Konten jedoch inaktiv.

Technische Folgen für die Projekte

VeraCrypt: Version 1.26.24 nutzt noch das Microsoft Root Certificate Authority 2011-Zertifikat, das 2026 widerrufen wird. Ohne einen neuen signierten Bootloader funktioniert die Vollverschlüsselung (FDE) unter SecureBoot nicht mehr. Nicht-systembezogene Volumes (Container, Partitionen) sind weniger betroffen.

WireGuard und Windscribe: Die Sperrung verhindert Windows-Patches – dort laufen die meisten Nutzer diese Tools. Eine kritische RCE-Lücke benötigt 60 Tage zur Behebung; Linux- und macOS-Updates sind bereits verfügbar.

Google AdInline article slot

MemTest86: RAM-Diagnose-Tools sind gefährdet – unsigned Tools starten nicht auf Systemen mit SecureBoot.

  • Hauptrisiken:

- Sicherheitspatches verzögern sich um mehr als 60 Tage

- Ausfall der VeraCrypt-Systemverschlüsselung

Google AdInline article slot

- Übermäßige Abhängigkeit von Microsofts Treibersignatur-Hoheit

- Fehlende Benachrichtigungen über Verifizierungsanforderungen

Warum SecureBoot und Signatur wichtig sind

Das Windows Hardware Program stellt EV-Code-Signaturzertifikate für Treiber und Bootloader aus. Ohne solch ein Zertifikat scheitern Software-Updates an SecureBoot-Checks – der Standard auf allen modernen PCs. Microsoft kontrolliert die Root-Schlüssel, wodurch Open-Source-Projekte anfällig für administrative Fehler werden.

Kompromiss: SecureBoot-Nutzen vs. Flexibilität. Entwickler müssen sich auf einen Anbieter verlassen, dessen Prozesse vollautomatisiert sind und keiner menschlichen Kontrolle unterliegen. Dies schafft Spannung zwischen Lieferketten-Sicherheit und zeitnahen Updates.

Für erfahrene Entwickler: Dies unterstreicht die Notwendigkeit multiplattformiger Strategien. Testen Sie Treiber in WSL2 oder virtuellen Maschinen; überwachen Sie Zertifikatswiderruf via Microsoft Docs.

Empfehlungen für Nutzer und DevOps-Teams

  • Status prüfen: Bei VeraCrypt führen Sie veracrypt --version aus. Zeigt er 1.26.24 an, handelt es sich um die letzte signierte Version.
  • Updates beobachten: Achten Sie auf offizielle Ankündigungen in SourceForge und GitHub.
  • Alternativen nutzen: Für Systemverschlüsselung auf Windows verwenden Sie BitLocker (nativ). Für VPNs empfehlen sich OpenVPN mit selbstsignierten Zertifikaten – aber verstehen Sie die Risiken.
  • Entwicklungsstrategie: Implementieren Sie CI/CD-Pipelines mit Fallback auf unsigned Treiber für Tests; migrieren Sie kritische Workloads auf Linux.
  • Langfristige Planung: Erwägen Sie Hardware ohne SecureBoot oder benutzerdefinierte UEFI-Firmware für Produktionsumgebungen.

Aktuelle Versionen funktionieren weiterhin, doch unpatchte Schwachstellen erhöhen das Risiko. Für VeraCrypt-Nutzer, die auf Systemverschlüsselung angewiesen sind, ist aktive Überwachung essenziell.

Was zählt

  • Automatische Kontosperren ohne Warnung störten die Update-Ketten für vier oder mehr Projekte.
  • VeraCrypt steht unter ernsthafter Bedrohung: Die Widerrufung des CA-2011-Zertifikats wird SecureBoot-Verschlüsselung ohne schnelle Lösung brechen.
  • Die Abhängigkeit von Microsofts Signierprozess für Open-Source-Projekte birgt systemische Risiken im Windows-Ökosystem.
  • Mediendruck führte zu Handlungen, aber die Verifizierungsworkflows brauchen dringende Verbesserung.
  • Best Practice: Plattformvielfalt und aktive Überwachung von Zertifikatswiderruf.

Weitere Lehren für die IT-Branche

Dieser Vorfall offenbart die Abwägungen bei monopolartigen Code-Signaturen: Sicherheit gegen Zugänglichkeit. Open-Source-Projekte mit Millionen Nutzern (VeraCrypt hat über 10 Mio. Downloads) sollten nicht auf undurchsichtige Prozesse eines einzelnen Anbieters angewiesen sein. Ähnliche Risiken bestehen bei Apples Notarisation und Google Play-Richtlinien.

Für mittlere bis erfahrene Entwickler: Setzen Sie Alarme für Zertifikatswiderrufslisten (CRL/OCSP). In Produktion verwenden Sie Dual-Boot-Systeme oder containerisierte Alternativen.

— Editorial Team

Advertisement 728x90

Weiterlesen