Nächtliche Einsätze wegen Sicherheitslücken in Software

Polizei-Großalarm wegen IT-Lücke überzogen?

Hannover, 24. März 2026 – Eine Sicherheitslücke in Industriesoftware hat in der Nacht zum Sonntag zu bundesweiten Polizeieinsätzen geführt. Auf Veranlassung des Bundeskriminalamts klingelten Beamte mitten in der Nacht bei Unternehmen. Doch war der beispiellose Aufwand gerechtfertigt? Betroffene und Experten zweifeln daran, berichtet heise online.

„Die Polizei stand auch bei uns nachts um halb 4 vor der Tür”, berichtet ein Administrator. Ein Produktionsmitarbeiter habe den Geschäftsführer informiert, der dann die IT-Verantwortlichen aus dem Bett holte. Die Beamten übergaben eine Kopie eines Schreibens mit Anweisungen für ein Sicherheitsupdate. Der Grund: eine kritische Schwachstelle in den Programmen Windchill und FlexPLM des Herstellers PTC. Diese Software wird in der Industrie zur Verwaltung von Produktdaten eingesetzt. Über die Lücke können Angreifer die vollständige Kontrolle über Firmensysteme übernehmen.

Das Bundeskriminalamt stufte die Gefahr offenbar als so akut ein, dass es die Landeskriminalämter alarmierte. Diese schickten Polizisten zu den betroffenen Firmen – ein in Deutschland bislang einmaliger Vorgang. Unter der Hand ist von über tausend betroffenen Unternehmen die Rede. Während die Landeskriminalämter in Thüringen, Rheinland-Pfalz und Schleswig-Holstein nächtliche Hausbesuche bestätigten, griffen Hamburg und Niedersachsen zum milderen Mittel der Kontaktaufnahme per Telefon und E-Mail.

Die nächtlichen Polizeieinsätze verliefen teilweise ins Leere: Ein Leser wurde um 2:45 Uhr geweckt, obwohl sein Unternehmen zwar PTC-Software nutzt, aber nicht die betroffenen Programme. Ein anderer Administrator kritisierte die Aktion als überzogen, da seine Server durch Netzwerktrennung bereits geschützt seien – sie sind nur intern erreichbar und haben keine Internetverbindung. Zudem hätten alle betroffenen Kunden die Sicherheitswarnung bereits am Vortag direkt vom Hersteller PTC erhalten, sodass die nächtliche Polizeiwarnung unnötig gewesen sei.

Genau hier liegt der Kern der Kritik: War der massive Polizeieinsatz wirklich nötig? „Das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik veröffentlichte erst am Montagmittag einen Hinweis im Warn- und Informationsdienst, die US-Behörde CISA schweigt sich aus”, stellt Dr. Christopher Kunz von heise online fest. Beide Behörden sahen offenbar keinen akuten Handlungsbedarf – mehr als 30 Stunden nach den Polizeieinsätzen.

Irritierend ist die Kommunikation des Herstellers PTC: Das Unternehmen erklärt, es gebe „keinen Beweis für eine bestätigte Ausnutzung” und somit keine bekannten Angriffe auf Kundensysteme. Gleichzeitig nennt PTC aber konkrete Spuren von Angriffen auf Testsystemen. Bis Dienstagvormittag hatte der Hersteller zudem noch keine offiziellen Sicherheitsupdates veröffentlicht – nur eine Notfallanleitung. Ein BSI-Sprecher bestätigte, dass PTC seine Kunden bereits informiert habe und das BSI zusätzlich Betreiber kritischer Infrastrukturen wie Kraftwerke oder Wasserwerke separat gewarnt habe.

„Warum rückte das BKA mit einem derart personalaufwändigen Großeinsatz aus, während die zuständige Fachbehörde BSI zurückhaltend reagierte?”, fragt Kunz. „Und warum wurden auch Unternehmen alarmiert, die gar nicht betroffen waren oder deren Systeme durch Netzwerktrennung bereits geschützt sind?”

Das koordinierte nächtliche Vorgehen war in Deutschland bislang einzigartig. Ob es angemessen war, wird jetzt diskutiert. Die betroffenen Administratoren jedenfalls hätten am Sonntag gern ausgeschlafen.