Polizei rückt Samstagnacht wegen Zero-Day aus: Wenn Cybersecurity zum Einsatz wird
Es ist Samstag, halb vier nachts. Jemand klingelt an der Tür. Ein Produktionsmitarbeiter meldet sich verschlafen am Telefon, informiert den Geschäftsführer, der wiederum seinen IT-Admin anruft. Vor der Haustür steht die Polizei. Der Grund: eine kritische Sicherheitslücke in der Software PTC Windchill.
So oder so ähnlich lief es am Wochenende des 21. und 22. März 2026 in ganz Deutschland ab. Auf Veranlassung des Bundeskriminalamts rückten bundesweit Polizisten aus, um Unternehmen persönlich vor einer Zero-Day-Lücke mit CVSS-Höchstwertung von 10.0 zu warnen. Ein Vorgang, der in Deutschland bislang einzigartig ist.
Was passiert ist
PTC, Hersteller der PLM-Software Windchill und FlexPLM, hatte am Freitag, den 20. März eine schwere Sicherheitslücke an seine Kunden kommuniziert. Es handelt sich um eine Deserialisierungsschwachstelle in zwei Servlets, die es Angreifern ermöglicht, beliebigen Code auf dem Server auszuführen. Remote Code Execution, ohne Authentifizierung, ohne Interaktion. CVSS 10.0, die höchstmögliche Bewertung.
Das BKA nahm die Warnung offenbar so ernst, dass es die Landeskriminalämter alarmierte. Die wiederum schickten Polizisten zu den betroffenen Unternehmen. LKA Thüringen bestätigte: „Die ZAC Thüringen veranlasste die persönliche Kontaktaufnahme und versuchte bei Nichtantreffen, den Kontakt telefonisch herzustellen." Auch die LKAs Rheinland-Pfalz und Schleswig-Holstein bestätigten Einsätze. In Hamburg und Niedersachsen griff man zum milderen Mittel von Telefon und E-Mail.
Unter der Hand ist von über tausend betroffenen Kunden in Deutschland die Rede.
Das Absurde daran
Die Reaktion der Betroffenen reicht von Verwirrung über Irritation bis zu blankem Unglauben. Ein Leser im Heise-Forum berichtete, dass die Polizei bei ihm klingelte, obwohl sein Unternehmen PTC-Produkte nutzt, aber nicht die betroffenen. Die Polizisten waren umsonst da.
Ein anderer wunderte sich über die Dringlichkeit: „Unsere Server sind nur intern erreichbar und können nicht ins WAN kommunizieren. Die Anzahl der zugriffsberechtigten Clients ist stark eingeschränkt." Für solche Systeme bestand keine akute Gefahr.
Und dann war da noch jemand, der um 2:45 Uhr morgens einen Anruf bekam, den er als Witz abtat. Bis die Polizei kurz danach an seiner Haustür klingelte.
Schrödingers IoC
PTC offizielle Haltung ist bizarr. In der Kundenkommunikation schreibt der Hersteller, man habe „keinen Beweis für eine bestätigte Ausnutzung, die PTC-Kunden betrifft". Wenige Zeilen später listet PTC konkrete Indicators of Compromise auf, darunter die Anwesenheit einer bestimmten Klassendatei (GW.class) auf angegriffenen Systemen. Diese Datei weise darauf hin, „dass der Angreifer das System erfolgreich waffenfähig gemacht hat, bevor er eine Remote Code Execution ausführte".
Also: Es gibt Angreifer, es gibt Schadcode auf Zielsystemen, aber erfolgreiche Angriffe gab es laut PTC nicht. Schrödingers Sicherheitslücke.
Ohne CVE und ohne Patch
Noch irritierender: PTC hat zum Zeitpunkt des Polizeieinsatzes noch keinen Patch veröffentlicht. Auch eine CVE-ID, die notwendig ist, um die Schwachstelle in strukturierte Bedrohungslisten aufzunehmen, fehlte. Das BSI veröffentlichte erst am Montagnachmittag einen Hinweis im Warn- und Informationsdienst. CISA, die US-Sicherheitsbehörde, schwieg sich aus.
Die Polizei rückte also aus, um vor einer Lücke zu warnen, für die es noch keinen offiziellen Patch und keine CVE gab. Die Dringlichkeit war real, aber die Werkzeuge zur Abwehr waren unvollständig.
Was das bedeutet
Dieser Vorfall wirft mehr Fragen auf, als er beantwortet:
Ist das die neue Normalität? Wenn die Polizei bei jeder kritischen Zero-Day-Lücke ausrückt, hat sie keine Zeit mehr für andere Dinge. Das BKA muss Prioritäten setzen. Warum diese Lücke und nicht die anderen? Das BSI sprach von „Bewertungskriterien" und „weiteren Rahmenbedingungen", aber eine klare Antwort gab es nicht.
Reagieren Hersteller schnell genug? PTC hatte zum Zeitpunkt des Polizeieinsatzes noch keinen Patch. Eine CVSS-10.0-Schwachstelle ohne Patch, aber mit Polizeieinsatz. Das passt nicht zusammen.
Ist persönliche Kontaktaufnahme sinnvoll? Die Idee dahinter ist nachvollziehbar: Wer eine Warnung per E-Mail bekommt, liest sie vielleicht erst am Montag. Wer nachts von der Polizei geweckt wird, reagiert sofort. Aber der Aufwand ist enorm, und die Quote der Fehlalarme war hoch.
Meine Einschätzung
Ich finde die Aktion des BKA grundsätzlich richtig. Eine CVSS-10.0-Lücke in weit verbreiteter Industrie-Software ist keine Kleinigkeit. Wer Windchill betreibt, steuert damit Produktionsprozesse, Stücklisten und Lieferketten. Ein kompromittierter Windchill-Server kann weitreichende Folgen haben.
Aber die Umsetzung war chaotisch. Polizisten vor der Tür um halb vier, teilweise bei Unternehmen, die die betroffene Software gar nicht nutzen. Kein Patch, keine CVE, aber Polizeieinsatz. Das wirkt wie eine Panikreaktion.
Wenn die Polizei in Zukunft bei jeder kritischen Zero-Day-Lücke ausrückt, braucht sie dafür ein eigenes Referat. Vielleicht besser: Hersteller veröffentlichen rechtzeitig Patches, Behörden warnen strukturiert und die Polizei kümmert sich um die Dinge, für die sie ausgebildet ist.
Cybersecurity ist wichtig. Aber sie funktioniert besser mit Plan als mit Polizeibesuch.
Quellen: