In der Windows-Version des Shooters „Call of Duty WW2“ lauert offenbar eine schwere Sicherheitslücke. Wie mehrere Spieler mittels Videoaufzeichnung zeigten, scheinen Unbekannte einen Weg gefunden zu haben, Schadcode auf den Windows-PCs ihrer Mitspieler auszuführen. Betroffen ist wohl die in Microsofts Game Pass enthaltene Version des 2017 erschienenen Shooters. Onlinespiele sind nicht mehr möglich, das weitere Vorgehen unklar.

Kurze Videos zeigen, wie eine blutige Spielszene vor Weltkriegskulisse plötzlich pausiert und zwei Fenster auf dem Bildschirm erscheinen: Zuerst die typische Transferanzeige des Kommandozeilen-Downloadprogramms cURL, wenige Sekunden später ein weiteres Kommandozeilenfenster und dann der Windows-Editor Notepad: „Marc E Mayer just RCEd your ass please contact Mitchell Silberberg and Knupp LLP“, besagt die Botschaft des mutmaßlichen Angreifers auf dem PC des Opfers.

RCE steht für „Remote Code Execution“, also Codeausführung aus der Ferne. Und genau das ist hier offenbar passiert: Über eine im Spielclient enthaltene Sicherheitslücke konnte ein Spieler offenbar Schadcode auf den PC seines Mitspielers schleusen. Die kurze Botschaft ist möglicherweise eine Protestnote an Activisions Adresse. Bei „Mitchell Silberberg & Knupp LLP“ handelt es sich um eine US-Anwaltskanzlei, die Activision in der Vergangenheit vertreten hat – und zwar unter anderem gegen den deutschen Cheat-Anbieter EngineOwning. Marc E. Mayer ist ein Partner jener Kanzlei, der Activision in vielerlei juristischen Auseinandersetzungen gegen Bot-Hersteller, Anbieter privater Multiplayer-Server und Konkurrenzunternehmen repräsentierte.

Microsoft und Activision haben mehreren Berichten zufolge, unter anderem bei Rock Paper Shotgun, die Server offline genommen. Wir haben das getestet und konnten das Spiel installieren und starten – der Versuch, einer Online-Partie beizutreten, blieb jedoch ebenso erfolglos wie der Versuch, ein lokales Match zu starten. Auch eine Anfrage bei der Microsoft-Pressestelle blieb kurzfristig unbeantwortet. Wir werden diese Meldung gegebenenfalls aktualisieren.

Auch im Steam-Forum zu Call of Duty: WW2 sammeln sich erste Betroffene. In Rezensionen warnen Spieler davor, die Online-Version zu starten und raten Opfern zu Malware-Scans. Die Steam-Version hat ihr letztes Update im Jahr 2020 erfahren.

Klassiker mit gut abgehangener CoDebasis

Ob Activision vor der Wiederveröffentlichung noch Aktualisierungen und Fehlerbehebungen bei „COD:WW2“ vorgenommen hat, ist unklar. Somit ist nicht auszuschließen, dass auch andere Versionen des acht Jahre alten Spiels betroffen sind. Die Codebasis scheint gut abgehangen, denn das letzte Update für die herkömmliche PC-Version außerhalb des Microsoft-Pauschalangebots erschien offenbar im Jahr 2018. Das verrät eine Archivkopie der entsprechenden Activision-Produktseite. Das dort erwähnte „Attack of the Undead Community Event“ fand im Mai 2018 statt.

Kürzlich wandte sich ein Games-Lobbyverband, dem auch Microsoft angehört, gegen eine Petition zur Erhaltung von Spielen – die geforderte Nachhaltigkeit mache Spiele unwirtschaftlich. Die Lobbyisten führen unter anderem die Haftbarkeit für illegale Inhalte an. Dennoch sah Activision offenbar keine Probleme darin, ein fehlerhaftes Spiel erneut auf die Spielerschaft loszulassen.

(cku)

„Psychisch Auffällige, Vielschreiber, Gewalttäter“ lautet der Name einer Taskforce, die es seit Februar 2025 beim hessischen Landeskriminalamt gibt. „Behörden intensivieren Umgang mit psychisch Kranken“ titelte das hessische Innenministerium zum Start der mit PAVG abgekürzten Taskforce in einer Pressemitteilung.

Die Arbeitsgruppe soll alle Personen in Hessen überprüfen, die bereits im Auskunftssystem der Polizei gespeichert sind und deren Einträge einen bestimmten Zusatzhinweis haben, den sogenannten personengebundenen Hinweis. Davon gibt es bundesweit mehrere, zum Beispiel: „bewaffnet“, „gewalttätig“, „Ausbrecher“, „Ansteckungsgefahr“, „Betäubungsmittelkonsument“ oder „Explosivstoffgefahr“. Oder eben „Psychische und Verhaltensstörung“, kurz „PSYV“. Diese Hinweise sollen der Polizei bei einer Identitätsfestellung ermöglichen, sich selbst oder die Person zu schützen.

Einen PSYV-Vermerk gibt es aktuell zu rund 1.600 Menschen in Hessen, schreibt das dortige Innenministerium auf Anfrage. Diese Menschen geht die Taskforce nun systematisch durch, um sie „im Hinblick auf eine bestehende Gefahr/ein bestehendes Risiko zur Begehung einer schweren Gewalttat“ zu bewerten. Das Ministerium betont, es gehe ausschließlich um Personen, die bereits polizeilich in Erscheinung getreten sind und bei denen eine „ärztlich attestierte psychische Erkrankung“ vorliege. Das kann beispielsweise dann der Fall sein, wenn die Schuldfähigkeit einer Person durch ein Gutachten überprüft wird oder ein Sachverständiger bei der zwangsweisen Unterbringung in einer Klinik konsultiert wird.

Psychisch erkrankt mit „Risikomarker“

„Aus einer Erkrankung alleine resultiert nicht zwingend eine Gefahr“, heißt es. „Im Fokus“ stünden diejenigen, die „einen Risikomarker zur Begehung einer schweren Gewalttat“ aufweisen. Das Innenministerium listet exemplarisch auf, was ein solcher Risikomarker sein kann: Gewaltaffinität oder Gewaltanwendung, Substanzmittelmissbrauch, akute Krisen wie Suizidalität, Hinweise auf Wahn oder Psychosen oder aktuell ausgesprochene Drohungen gegen andere.

Einige dieser Marker dürften auf sehr viele psychisch erkrankte Personen zutreffen. Es kommt etwa sehr häufig vor, das eine Person sowohl eine Substanzabhängigkeit als auch bestimmte psychische Erkrankungen hat.

Laut Robert-Koch-Institut erhielten im Jahr 2023 40,4 Prozent der Erwachsenen in Deutschland eine Diagnose für eine psychische Störung. Psychische Erkrankungen können sich bei Betroffenen ganz unterschiedlich auswirken und zeigen, sie haben teils so wenig miteinander zu tun wie ein Beinbruch mit einem Magengeschwür.

Ein internationales Klassifikationssystem für Krankheiten listet unter „Psychische und Verhaltensstörungen“ eine Vielzahl von Erkrankungen auf. Dazu gehören etwa Demenz bei einer Alzheimer-Erkrankung, Essstörungen, soziale Phobien als auch paranoide Schizophrenie. Manche der Erkrankungen haben organische Ursachen, andere werden von äußeren Faktoren ausgelöst. Manche verlaufen chronisch, bei anderen treten Beschwerden akut und vorübergehend auf. Über einen Kamm scheren lassen sie sich nicht.

“Erfahrungswissen im Umgang mit psychisch auffälligen Personen“

Doch wie genau funktioniert die Einschätzung der Taskforce und welche Mittel stehen ihr dabei zur Verfügung? Derzeit arbeiten beim Landeskriminalamt 19 Personen in der Arbeitsgruppe, schreibt das Innenministerium. Die meisten davon stammten „aus Organisationseinheiten, welche sich grundsätzlich mit der Bearbeitung von Gefährdungssachverhalten beschäftigen“. Daher würden sie auch „im Umgang mit psychisch auffälligen Personen über entsprechendes Erfahrungswissen verfügen“. Hessen arbeite bereits seit mehreren Jahren mit einem „polizeilichen Bedrohungsmanagement“, bei dem Personen betrachtet werden, „von welchen konkrete Gefahren für andere Personen oder für die Allgemeinheit ausgehen“.

Innenminister setzen Vertrauen bei der Behandlung psychischer Erkrankungen aufs Spiel

Die Mitglieder der Taskforce können sich außerdem Unterstützung und Expertise aus anderen Bereichen einholen, etwa von Psycholog:innen aus dem Zentrum für polizeipsychologische Dienste (ZPD). Die sollen die Arbeitsgruppe „in der Bewertung und Konzepterstellung“ unterstützen. Gemeinsam mit dem ZPD habe die Taskforce auch eine „Bewertungsvorlage“ entwickelt, auf Basis derer die Einschätzung von Gewalt- und Risikopotenzial „kriteriengeleitet“ erfolge, teilt das Innenministerium mit.

Zu den Aufgaben des ZPD in Hessen gehört es, die Polizei bei Einsätzen und Ermittlungen psychologisch zu unterstützen und auch Polizist:innen nach belastenden Ereignissen zu betreuen. Es ist an der hessischen Hochschule für öffentliches Management und Sicherheit angesiedelt.

Gefährderansprachen bei Erkrankten

Geht die Taskforce davon aus, dass eine überprüfte Person schwere Gewalttaten begehen könnte, kann sie mehrere Maßnahmen ergreifen. Grundlage dafür ist das hessische Gesetz über die öffentliche Sicherheit und Ordnung (HSOG), also das hessische Polizeigesetz.

Laut Innenministerium könnte die Polizei dann andere Behörden oder Institutionen informieren, damit diese aktiv werden können. Sie könnte aber auch selbst agieren und Gefährderansprachen durchführen. Kommen die Beamt:innen zum Ergebnis, dass eine konkrete Gefährdung bestehen könnte, kann sie Kontakt-, Annäherungs- oder Aufenthaltsverbote aussprechen, oder Betroffene observieren oder in Gewahrsam nehmen.

Was auch möglich wäre: Die Daten der betreffenden Personen mit Hessendata auswerten, dem Datenanalysesystem der hessischen Polizei von Palantir. Dafür müssen bestimmte Vorraussetzungen aus dem HSOG erfüllt sein, beispielsweise dass es tatsächliche Anhaltspunkte für anstehende „schwere oder besonders schwere Straftaten“ gibt. „Die Anwendung kam bisher noch nicht zum Tragen“, schreibt das Innenministerium, könne aber „nach erfolgter Einzelfallprüfung herangezogen werden“.

Mehr Daten nach Entlassung aus der Psychiatrie

Seit Beginn ihrer Arbeit im Februar hat die Taskforce PAVG schon etliche Personen überprüft. „Annähernd 80 Prozent der Gesamtpersonenzahl“ seien bereits abgearbeitet, also vermutlich mehr als 1.200 der rund 1.600 Personen mit dem personengebundenen Hinweis „PSYV“. Laut Innenministerium soll der Durchlauf im zweiten Halbjahr 2025 abgeschlossen sein. Danach wird die Taskforce aufgelöst, doch die Überprüfung psychisch erkrankter Menschen in Polizeidatenbanken dürfte nicht enden: Nach „vollständiger Bewertung“ werde die temporär eingerichtete Arbeitsgruppe „in die Regelorganisation überführt“, schreibt das Innenministerium.

Für weitere Personen, die man künftig überprüfen kann, scheint das Land unterdessen selbst sorgen zu wollen: Im Juni haben CDU und SPD in Hessen einen Gesetzentwurf zur Änderung des hessischen Psychisch-Kranken-Hilfe-Gesetzes in den Landtag eingebracht. Dieses Gesetz regelt unter anderem, wie und unter welchen Voraussetzungen Menschen zwangsweise in psychiatrischen Kliniken untergebracht werden können. Künftig sollen bei deren Entlassung die Ordnungs- und Polizeibehörden am Wohnort informiert werden, wenn von ihnen „ohne ärztliche Weiterbehandlung eine Fremdgefährdung ausgehen könnte“. Das soll der „effektiven Gefahrenabwehr“ dienen.

Zu einer besseren Versorgung und Begleitung psychisch Erkrankter nach ihrer Entlassung findet sich in dem Entwurf, zu dem im September eine Anhörung im Landtag stattfinden wird, nichts. Genau dieses Defizit wird immer wieder von Betroffenenvertretungen von psychiatrieerfahrenen Menschen oder ärtzlichen und pflegerischen Verbänden kritisiert. So bemängelte etwa die Deutsche Fachgesellschaft Psychiatrische Pflege, dass Maßnahmen wie die Taskforce zu Stigmatisierung statt wirksamer Hilfe führen könnten. Die DFPP betonte die Bedeutung, die „niedrigschwellige, bedarfsgerechte und interdisziplinäre Unterstützungsangebote“ haben und appelierte an den hessischen Ministerpräsidenten, präventive Angebote zu stärken.

Am Patchday im Juli haben die SAP-Entwickler insgesamt fünf „kritische“ Sicherheitslücken geschlossen. Im schlimmsten Fall kann Schadcode Systeme kompromittieren. Bislang gibt es keine Hinweise, dass Angreifer Lücken bereits ausnutzen.

In der Warnmeldung zum aktuellen Patchday finden Admins Hinweise auf die verfügbaren Sicherheitsupdates.

Gefährliche Schwachstellen

Die kritischen Lücken betreffen NetWeaver Enterprise Portal Administration (CVE-2025-42964), NetWeaver Enterprise Portal Federated Portal Network (CVE-2025-42980), S/4HANA und SCM (CVE-2025-42967) sowie NetWeaver Application Server for Java (CVE-2025-42963).

Verfügt ein Angreifer über Privilegien auf Benutzerebene, kann er auf einem nicht näher ausgeführten Weg Schadcode ausführen und so die volle Kontrolle über Systeme erlangen. In den anderen Fällen können angemeldete Angreifer mit Schadcode präparierte Daten hochladen, um Computer zu kompromittieren.

Weitere Gefahren

Außerdem können sich bereits angemeldete Angreifer im Kontext von NetWeaver Application Server for ABAP aufgrund von Fehlern bei der Authentifizierung höhere Nutzerrechte verschaffen (CVE-2025-42953).

Wegen eines Fehlers in der Apache-Struts-Komponente können Angreifer auf der Plattform Business Objects Business Intelligence Schadcode hochladen und ausführen (CVE-2025-53677 „hoch„). In Business Warehouse und Plug-in Basis können authentifizierte Angreifer Datenbanktabellen manipulieren und das System dadurch unbenutzbar machen (CVE-2025-42952 „hoch„).

Der Großteil der verbleibenden Schwachstellen ist mit dem Bedrohungsgrad „mittel“ eingestuft. An diesen Stellen sind unter anderem XSS-Attacken vorstellbar.

Am vergangenen Patchday hat SAP ebenfalls kritische Lücken in NetWeaver geschlossen.

(des)