Zum Hauptinhalt springen

KAPITEL 10

Sichere Installation.

Mods sind Code, Code auf deiner Maschine. Quellen, Hashes, Launcher, Fractureiser — hier steht, was du vor jeder neuen Mod prüfst.

Mods und Plugins sind ausführbarer Code. Es gibt keine JVM-Sandbox — jeder installierte Mod hat auf der Maschine dieselben Rechte wie das Nutzerkonto, unter dem Minecraft läuft.

Das ist keine Panikmache, aber ein wichtiger Fakt — besonders für junge Spieler:innen, die vielleicht das erste Mal Software aus dem Netz ziehen. Die folgenden Regeln sind nicht paranoid, sondern Minimum.

Vertrauenswürdige Quellen

  • modrinth.com

    Erste Wahl — Open-Source-Plattform, strenge Moderation, SHA-Hashes sichtbar.

  • curseforge.com

    Historisch größte Plattform, moderiert. Overwolf-Client nicht zwingend nötig.

  • hangar.papermc.io

    Paper-Plugin-Repo mit WebAuthN/TOTP, hohe Qualitätsschwelle.

  • spigotmc.org

    Etabliert für Plugins — zweites Augen-Prinzip empfohlen.

  • Zufällige Foren, adf.ly-Links, .exe-Installer

    Sehr gefährlich. Praktisch nie legitim.

  • Gecrackte Launcher (z.B. TLauncher)

    Nie benutzen. Über 75% enthalten laut Analysen 2024/2025 Spyware.

⚠ Fallstudie

Fractureiser, Juni 2023

Mehrere CurseForge- und Bukkit-Konten wurden kompromittiert. Mit gestohlenen Entwickler-Credentials wurden Mods manipuliert und infizierte Builds verteilt — darunter das populäre Modpack „Better Minecraft" mit über 4,6 Millionen Downloads.

Die Malware konnte sich über JAR-Dateien propagieren, Cookies und gespeicherte Logins stehlen und Krypto-Adressen im Clipboard austauschen. Modrinth war nicht betroffen.

Was wir daraus lernen

  • Selbst etablierte Plattformen können kompromittiert werden.
  • Hash-Vergleich ist kein Overkill, sondern Grundhygiene.
  • 2FA + Modrinth/Hangar (moderne Auth) sind strukturell sicherer.
  • Launcher mit Open-Source-Codebase sind nachprüfbar.

Die 6-Punkte-Checkliste

01

Plattform checken

Nur Modrinth, CurseForge, Hangar oder SpigotMC. Alles andere: Finger weg.

02

Open-Source-Repo

Ein öffentliches GitHub mit regelmäßigen Commits ist ein starkes Vertrauenssignal.

03

Downloads & Alter

Etablierte Mods mit vielen Downloads wurden von vielen Augen geprüft.

04

Letztes Update

Aktiv gepflegte Mods sind sicherer als verlassene Zombies.

05

Hash prüfen

sha256sum auf Linux/macOS bzw. certUtil -hashfile auf Windows — gegen die Plattform-Angabe.

06

Launcher wählen

Prism Launcher (OSS), Modrinth App (Rust/Tauri) oder ATLauncher. Kein TLauncher.

Launcher-Empfehlungen

Prism Launcher

Open Source, Fork von MultiMC, aktiv gepflegt.

Modrinth App

Rust/Tauri-basiert, direkt an Modrinth angebunden.

ATLauncher

Etabliert, unterstützt viele Modpacks.

Offizieller Launcher

Sicher, aber kein natives Mod-Management.

§ 10.4

Log4Shell & Server-Updates

Im Dezember 2021 erlaubte eine Lücke in der Log4j-Logging-Bibliothek Remote Code Execution — auch Minecraft-Server waren betroffen. Aktuelle Versionen sind gepatcht, die Lektion bleibt: Server immer aktuell halten. Dependency-Updates sind kein Nice-to-have.

§ 10.5

Für Kinder & Teens

Unter 14 am besten gemeinsam mit Eltern installieren. Für Multiplayer whitelisted Server (Autcraft, ENDOS SMP, The Sandlot) oder private Realms. Bedrock hat für Kinderkonten einen nicht abschaltbaren Profanity-Filter. Java Realms nutzen seit 2024 ML-basierte Chat-Moderation mit Player-Reporting.

Nächstes Kapitel

11 — Ressourcen & GitHub

GitHub-Repos und Plattformen, die wir auf HTTP 200 und aktive Pflege geprüft haben. Dein Sprungbrett in echtes Modding.