Die Eclipse Foundation hat ihren jüngsten Sicherheitsvorfall rund um Open VSX – den Open-Source-Marktplatz für VS-Code-Erweiterungen – aufgearbeitet. In den vergangenen Wochen war bekannt geworden, dass Zugangstokens versehentlich in öffentlichen Repositories gelandet waren. Ein Teil davon wurde missbraucht, um manipulierte Erweiterungen einzuschleusen.

Entwicklerfehler führten zu Token-Leak

Wie die Stiftung mitteilt, hatte das Cloud‑Sicherheitsunternehmen Wiz mehrere offengelegte Tokens gemeldet, die von Entwicklern unbeabsichtigt veröffentlicht worden waren. Einige davon betrafen Konten auf Open VSX. Die Token wurden unmittelbar nach Bekanntwerden gesperrt. Ein Hack der Infrastruktur habe zu keinem Zeitpunkt stattgefunden – der Vorfall sei allein auf menschliche Fehler zurückzuführen.

Um ähnliche Probleme künftig schneller zu erkennen, führte das Team in Abstimmung mit Microsofts Security Response Center ein neues Präfix‑Format für Tokens ein, das automatisierte Scans erleichtert.

„GlassWorm“-Kampagne missbrauchte Tokens

Zeitgleich meldete der Sicherheitsdienstleister Koi Security eine Malware-Welle mit dem Namen „GlassWorm“. Sie nutzte einige der geleakten Tokens, um bösartige Open‑VSX‑Erweiterungen zu veröffentlichen. Dabei handelte es sich jedoch laut Eclipse Foundation nicht um einen klassischen Wurm, der sich selbst verbreitet, sondern um Schadcode, der gezielt Entwickleranmeldedaten stahl.

Alle betroffenen Erweiterungen wurden umgehend entfernt, und sämtliche kompromittierten Tokens widerrufen. Die Berichte über rund 35.800 Downloads seien laut Eclipse übertrieben, da viele Abrufe von Bots oder durch Sichtbarkeits-Tricks erzeugt worden seien.

Neue Sicherheitsroutinen und Kooperationen

Die Foundation erklärt nun, der Vorfall sei seit dem 21. Oktober 2025 offiziell abgeschlossen. Es gebe keine Hinweise auf weiterhin aktive oder schadhafte Erweiterungen. Das Team arbeite jedoch weiter mit Sicherheitsforschern und Projektpartnern zusammen, um Transparenz und Schutzmaßnahmen zu verbessern.

In Zukunft setzt die Eclipse Foundation auf mehrere strukturelle Änderungen: Tokens sollen kürzere Lebensdauern erhalten und sich einfacher sperren lassen. Außerdem wird bei jeder Veröffentlichung ein automatischer Sicherheitscheck durchgeführt, um Schadcode oder versehentlich veröffentlichte Secrets frühzeitig zu entdecken.

Zudem strebt Open VSX stärkere Vernetzung mit anderen Marktplatzbetreibern an, darunter das VS‑Code‑Ökosystem. Die gemeinsame Auswertung von Bedrohungen und Best Practices soll das Risiko ähnlicher Vorfälle senken.

Gemeinsame Verantwortung für Open Source

Die Foundation nutzt den Abschlussbericht auch als Appell an die Entwicklergemeinschaft: Sicherheit in der Lieferkette sei eine geteilte Aufgabe. Wer Tokens nutzt, müsse sie sorgsam schützen. Die Plattformbetreiber wiederum hätten die Pflicht, Werkzeuge und Prozesse bereitzustellen, die Missbrauch verhindern.

Mit den nun gestarteten Maßnahmen will Open VSX seine Widerstandskraft stärken – damit die offene Entwicklergemeinschaft auch künftig sicher zusammenarbeiten kann.

(mdo)

Internet-Dienste sollen nicht zur Chatkontrolle verpflichtet werden, die Kommunikation ihrer Nutzer aber freiwillig durchsuchen dürfen. Das schlägt die dänische Ratspräsidentschaft vor.

Seit über drei Jahren streiten die EU-Institutionen über eine verpflichtende Chatkontrolle. Die Kommission will Internet-Dienste verpflichten, die Inhalte ihrer Nutzer auf Straftaten zu durchsuchen und diese bei Verdacht an Behörden zu schicken. Das Parlament bezeichnet das als Massenüberwachung und fordert, nur unverschlüsselte Inhalte von Verdächtigen zu scannen.

Keine Verpflichtung

Im Rat ist bisher kein Vorschlag zustimmungsfähig. Auch der bislang letzte Versuch scheiterte, unter anderem wegen Widerstand aus Deutschland. Gestern hat Dänemark einen neuen Vorschlag verschickt.

In einem Schreiben, das wir aus Quellenschutzgründen derzeit nicht veröffentlichen können, schreibt Dänemark: „Dieser Ansatz sieht keine Aufdeckungsanordnungen vor, sondern behält die freiwillige Regelung für Technologieunternehmen zur Rückverfolgung von Material über sexuellen Kindesmissbrauch bei.“

Der dänische Justizminister Peter Hummelgaard bestätigt gegenüber Medien: „Die Aufdeckungsanordnung wird nicht Teil des neuen Kompromissvorschlags der EU-Präsidentschaft sein. Die Suche nach Material über sexuellen Kindesmissbrauch bleibt für Technologiekonzerne freiwillig.“

Ein EU-Beamter hat diese Angaben gegenüber netzpolitik.org bestätigt. Die dänische Ratspräsidentschaft und das dänische Justizministerium haben auf unsere Anfrage von gestern bisher nicht geantwortet.

Vorschlag schonmal abgelehnt

Schon Polen hatte vorgeschlagen, die Chatkontrolle freiwillig zu erlauben statt verpflichtend zu machen. Dieser Vorschlag fand keine Mehrheit, die Mehrheit der EU-Staaten beharrte auf der Verpflichtung.

Ob derselbe Vorschlag jetzt eine Mehrheit findet, nur weil er von Dänemark statt Polen kommt, ist völlig offen. Selbst wenn sich die EU-Staaten auf diesen Kompromiss einigen sollten, geht das Gesetzgebungsverfahren danach im Trilog weiter. Dort verhandeln Kommission, Parlament und Rat über einen Kompromiss ihrer drei Positionen.

Der neue Vorschlag von Dänemark ist ein wichtiger Etappensieg, aber die Chatkontrolle ist noch lange nicht vom Tisch.

Freiwillige Chatkontrolle

Eigentlich ist eine freiwillige Chatkontrolle verboten. Laut Datenschutzrichtlinie für elektronische Kommunikation dürfen Internetdienste die Inhalte ihrer Nutzer:innen nicht „mithören, abhören, speichern oder auf andere Arten abfangen oder überwachen“.

Manche Anbieter wie Google, Apple und Meta tun das jedoch bereits freiwillig. Um das zu legalisieren, gibt es seit vier Jahren eine vorübergehende Ausnahme der Vertraulichkeit der Kommunikation. Diese Ausnahme will Dänemark jetzt dauerhaft machen.

Die temporäre Ausnahme der Datenschutzrichtlinie, die eine freiwillige Chatkontrolle erlaubt, läuft im April 2026 aus. Dass das neue Gesetz bis dahin in Kraft ist, ist unwahrscheinlich.

Breite Ablehnung

Die freiwillige Chatkontrolle wird massiv kritisiert. Der Europäische Datenschutzbeauftragte warnt vor flächendeckender Überwachung privater Kommunikation und hohen Fehlerquoten. Ein Betroffener sexueller Gewalt klagt gegen die freiwillige Chatkontrolle von Facebook. Sogar die EU-Kommission hat erhebliche rechtliche Bedenken und lehnt eine freiwillige Speicherung ab.

Die EU-Kommission ist gesetzlich dazu verpflichtet, die Verhältnismäßigkeit der freiwilligen Chatkontrolle zu belegen. Anfang September hätte sie einen Bericht mit Statistiken vorlegen müssen. Das hat sie bis heute nicht getan. Die Kommission scheitert, die Verhältnismäßigkeit der Chatkontrolle zu belegen.

Weitere Probleme

Neben der Chatkontrolle enthält der Gesetzentwurf weitere problematische Regeln. Internet-Zugangs-Anbieter sollen Netz-Sperren einführen, um einzelne Internet-Inhalte zu sperren. Internet-Dienste sollen das Alter ihrer Nutzer überprüfen, was eine anonyme oder pseudonyme Nutzung gefährdet. Auch die freiwillige Chatkontrolle kann auf andere Inhalte ausgeweitet werden.

Neben der CSA-Verordnung bedrohen andere Gesetzesvorhaben vertrauliche Kommunikation. Die Europäische Strategie für die innere Sicherheit „ProtectEU“ fordert einen „Technologiefahrplan für Verschlüsselung“. Sicherheitsbehörden fordern Zugang zu verschlüsselten Inhalten, auch bei „Ende-zu-Ende-Verschlüsselung“. Die Forderung könnte in weiteren Gesetzen wieder aufkommen.

Die Auseinandersetzung um die Chatkontrolle geht weiter.

Der Internationale Strafgerichtshof (IStGH) will sich von Technologie aus den USA unabhängig machen – aus Furcht vor Repressalien Donald Trumps, hat das Handelsblatt erfahren. Die Institution in Den Haag will die bislang auf den Arbeitsplätzen genutzte Microsoft-Software durch OpenDesk ersetzen.

Laut Handelsblatt ist die Entscheidung vor dem Hintergrund von Sanktionen durch die derzeitige US-Regierung unter Präsident Donald Trump gegen Mitarbeiter wie dem Chefankläger Karim Khan zu sehen. Microsoft hatte seinen E-Mail-Zugang einfach gesperrt. Er musste daher zum Schweizer E-Mail-Dienst Proton wechseln. Da der IStGH in hohem Maße auf Dienstleister wie Microsoft angewiesen sei, werde er in seiner Arbeit geradezu gelähmt, hieß es im Mai.

Zudem prüfe die US-Regierung in Washington weitere Maßnahmen gegen den Internationalen Strafgerichtshof, erörtert das Handelsblatt weiter. Auch das könnte die Arbeitsfähigkeit der Einrichtung erheblich einschränken.

Digitale Souveränität erreichen

Die OpenDesk-Software wird vom Zentrum für Digitale Souveränität (Zendis) entwickelt, einer Firma des Bundes. Ihre Aufgabe ist es, beim Auflösen kritischer Abhängigkeiten von einzelnen Technologieanbietern zu helfen.

Beim Internationalen Strafgerichtshof geht es zwar „nur“ um 1800 Arbeitsplätze, die aus der US-Abhängigkeit gelöst werden sollen. Das Handelsblatt sieht das jedoch als Hinweis darauf, dass Geopolitik sich zunehmend um Technologie dreht. Wirtschaft und Politik erkennen die Abhängigkeit von US-amerikanischen Digitalkonzernen als Problem, insbesondere mit Hinblick darauf, dass die USA die Technologie als Druckmittel einsetzen.

Der IStGH steht nicht alleine mit diesen Ambitionen da: Etwa der Öffentliche Gesundheitsdienst will auf OpenDesk setzen, und auch die Deutsche Bundeswehr hat mit Zendis einen Rahmenvertrag über „souveräne Kommunikations- und Kollaborationslösungen“ wie OpenDesk geschlossen.

(dmk)