Die schwere Sicherheitslücke in den Produkten Windchill und FlexPLM rief am Wochenende die Polizei in ganz Deutschland auf den Plan. Auf Veranlassung des Bundeskriminalamts (BKA) rückten bundesweit Polizisten aus, um betroffene Unternehmen zu alarmieren – ein nie dagewesener Vorgang. Die derart um ihr Wochenende gebrachten Admins zeigten sich irritiert – einige nutzen die gefährdete Software nicht einmal.

Als die Redaktion am späten Sonntagvormittag einen Hinweis erhielt, es gebe eine kritische Sicherheitslücke in Windchill und FlexPLM, klang das nach einer Routinemeldung: Eine Deserialisierungslücke in Spezialsoftware, obgleich mit CVSS-Höchstwertung von 10 versehen, erzeugt bei heise security keine hektischen Flecken. Ganz anders offenbar beim BKA: Das hatte zu diesem Zeitpunkt bereits die Landeskriminalämter (LKA) in verschiedenen Bundesländern alarmiert, welche nächtens Polizisten zu betroffenen Unternehmen schickten. Wie uns mehrere Leser im Forum meldeten, standen zu nachtschlafender Zeit Polizisten vor Firmen- und Privaträumen.

Morgens, halb vier in Deutschland

Ihre ungewöhnliche Mission: Die Beamten übergaben verschlafenen Admins eine Kopie des Schreibens, das Hersteller PTC bereits am Vortag an alle Kunden versandt hatte und das die Anleitung zu einem Hotfix enthält. Ein Betroffener berichtet: „Die Polizei stand auch bei uns nachts um halb 4 vor der Tür. Ein Produktionsmitarbeiter hat dann den Geschäftsführer informiert, der mich bzw. einen Kollegen informiert hat.“ Er wundert sich über die Dringlichkeit der Aktion: „Unsere Server sind nur intern erreichbar und können nicht ins WAN kommunizieren. Die Anzahl der zugriffsberechtigten Clients ist auch stark eingeschränkt (anderes VLAN).“

Ein anderer Leser erhielt gegen 2:45 Uhr am Sonntagmorgen einen Anruf, den er als Witz auffasste – bis die Polizei kurz darauf an der Haustür klingelte. Und das obendrein vergebens: Zwar nutze sein Unternehmen PTC-Produkte, doch nicht die von der Sicherheitslücke betroffenen.

Auf unsere Nachfrage bestätigen mehrere Landeskriminalämter das Vorgehen. In einer Stellungnahme schreibt das LKA Thüringen: „Das Bundeskriminalamt übermittelte an das LKA Thüringen eine Liste mit betroffenen Unternehmen mit Sitz in Thüringen. Die Zentrale Ansprechstelle Cybercrime (ZAC) Thüringen veranlasste daraufhin die persönliche Kontaktaufnahme und versuchte bei Nichtantreffen, den Kontakt telefonisch herzustellen. Ziel war eine möglichst schnelle Sensibilisierung und Einleitung von Schutzmaßnahmen. Die erreichten Unternehmen waren bereits durch die Firma PTC Inc. informiert worden und haben Sicherungsmaßnahmen ergriffen.“

BKA, PTC, BSI – MfG

Das koordinierte und extrem personalaufwändige Vorgehen – unter der Hand ist von über tausend betroffenen Kunden in Deutschland die Rede – ist sehr ungewöhnlich und in Deutschland bislang einzigartig. Zumal weder die in Deutschland für IT-Sicherheit zuständige Bundesbehörde, das BSI, noch ihr US-Pendant CISA (Cybersecurity & Infrastructure Security Agency) bislang sonderlich lautstark warnen. Das BSI veröffentlichte am Montagmittag einen Hinweis im Warn- und Informationsdienst, die CISA schweigt sich aus. In ihrer „Known Exploited Vulnerabilities“-Liste ist der jüngste Eintrag vom 20. März und betrifft Apple-Produkte.

Wir haben das BKA, das BSI und Hersteller PTC um eine Stellungnahme zu diesem sehr ungewöhnlichen Vorgehen gebeten. Während PTC und BKA am frühen Montagnachmittag noch nicht geantwortet hatten, äußerte sich das BSI zurückhaltend. Ein Sprecher teilte uns mit, zu den Bewertungskriterien für Sicherheitslücken „gehören insbesondere die Charakteristika der Schwachstelle selbst, allerdings auch die Verbreitung des Produkts und weitere – ggf. entschärfende – Rahmenbedingungen. Ein entscheidender Punkt ist die Information der Anwenderinnen und Anwender durch den Hersteller selbst. Nach Kenntnis des BSI ist die Information des Herstellers an alle Kundinnen und Kunden erfolgt.“ Zudem habe das BSI KRITIS-Betreiber separat informiert, sagte der Amtssprecher weiter: „Hierin liegt ein Vorteil der Registrierung im BSI auch im Rahmen von NIS2.“

Schrödingers IoC

Irritierend ist auch PTCs offizieller Standpunkt, man habe derzeit „keinen Beweis für eine bestätigte Ausnutzung, die PTC-Kunden betrifft“. Denn: Wenige Zeilen unter diesem offenbar zur Kundenberuhigung gedachten Satz nennt PTC sehr konkrete Indicators of Compromise (IoC), darunter die Anwesenheit einer bestimmten Klassendatei (GW.class) auf angegriffenen Systemen. Sei diese Datei auf einem Windchill-Server anzutreffen, weise dies darauf hin, „dass der Angreifer das System erfolgreich waffenfähig gemacht hat, bevor er eine Remote Code Execution (RCE) ausführte“. Schrödingers IoC: Zwar existiert ein Angreifer und es existiert Schadcode auf Zielsystemen – erfolgreiche Angriffe gab es aber nach eigener Aussage nicht.

Auch zu dieser Diskrepanz haben wir PTC um eine Stellungnahme gebeten. Bis zum frühen Montagnachmittag hatte der Hersteller zudem noch keine Patches für die Sicherheitslücke veröffentlicht, auch eine CVE-ID sucht man in den üblichen Datenbanken noch immer vergebens. Diese ist jedoch notwendig, um die Aufnahme in strukturierte Listen, etwa in den CTI-Feeds (Cyber Threat Intelligence) sicherzustellen.

(cku)

Jetzt kommt es also endlich, das Gesetz gegen digitale Gewalt, an dem das Justizministerium bereits seit fünf Jahren arbeitet, das schon zu Ampelzeiten versprochen wurde und dann versandete. Am Freitag hat Bundesjustizministerin Stefanie Hubig (SPD) angekündigt, den Entwurf noch diese Woche vorzulegen. Er soll in den kommenden Tagen innerhalb der Bundesregierung abgestimmt werden.

Die sexualisierten Deepfakes, über die derzeit ganz Deutschland spricht, nachdem die Schauspielerin Collien Fernandes ihren Fall öffentlich machte, sie sollen damit unter Strafe gestellt werden.

Nicht nur das Verbreiten und Teilen, sondern schon das Erstellen solcher Aufnahmen wird dann in Deutschland verboten. Und auch viele weitere Schutzlücken zu bildbasierter Gewalt soll das Gesetz schließen, etwa zu heimlichen Aufnahmen in Umkleiden und Saunen oder dem ungefragten heimlichen Filmen eines bekleideten Hinterns – unglaublich, aber all das war bislang nicht explizit strafbar.

Jurist*innen und Betroffene weisen seit Jahren auf diese Ungerechtigkeiten hin. Sie sind nicht nur den Betroffenen kaum vermittelbar, sondern allen, die zurecht fragen, welchen Wert sexuelle Selbstbestimmung in einem Land hat, in dem solche Übergriffe erlaubt ist. Es ist gut, dass das deutsche Strafrecht sie in Zukunft klar verbietet, auch wenn die Reaktion reichlich spät kommt.

Was ist mit den restlichen 97 Prozent?

Gleichzeitig könnte man, wenn man der Justizministerin derzeit zuhört, meinen, damit sei es schon getan.

Das ist es leider nicht. Nur sehr wenige Betroffene von sexualisierter Gewalt zeigen diese derzeit an. Bei digitaler Gewalt liegt der Anteil bei 2,4 Prozent. Das zeigt eine kürzlich erschienene Studie von Bundesfamilienministerium, Bundesinnenministerium und Bundeskriminalamt.

Der mit Abstand größte Teil der Menschen bringt die Fälle also nicht zur Polizei, es folgen nie Ermittlungen oder Anklagen einer Staatsanwaltschaft deswegen. Was die Frage aufwirft: Was ist denn mit den restlichen 97,6 Prozent?

Natürlich kann es sein, dass die Anzeigequote steigt, wenn Betroffene davon ausgehen, dass ihre Anzeigen eine größere Chance für eine Strafverfolgung bieten. Dass mutmaßliche Täter*innen nicht so leicht davon kommen. Dass ihre Schilderungen von der Polizei verstanden und ernst genommen werden und auch vor Gericht. Hier muss der Staat daran arbeiten, dass seine Behörden bei einer Anzeige wegen digitaler und sexualisierter Gewalt nicht als Hindernis und Schikane wahrgenommen werden, sondern als Unterstützung.

Die öffentlich zur Schau gestellte Zufriedenheit der Justizministerin, bei der es nun klingt als hätte ihre Regierung mit dem Gesetzentwurf quasi schon das Patriarchat halb in die Knie gezwungen: Vor allem Fachleute teilen sie nicht. Sie verweisen stattdessen auf all die vielen Hebel, die darüber hinaus umgelegt werden müssen.

„Dann schäme ich mich noch mehr“

Was Menschen – oder sagen wir es gleich, es sind ganz überwiegend Frauen und Mädchen – fühlen und denken, wenn sie ein sexualisiertes Deepfake von sich im Internet entdecken, beschreibt etwa die Moderatorin Lola Weippert in der Dokumentation, die Collien Fernandes vor zwei Jahren für das ZDF gedreht hat.

Auf die gefälschten Videos von ihr angesprochen sagt Weippert: „Ich schäme mich, dass es so etwas überhaupt gibt. Und dann schäme ich mich noch mehr, wenn ich denke, wie viele Menschen das sehen und denken, das ist echt. Und ich kann nichts dagegen tun.“

Die Betroffenen fühlen Scham, viele sprechen von Panik, fragen sich, wer die Bilder kennt oder was passiert, wenn Auftrag- und Arbeitgeber*innen, Familie, Freunde diese finden. Sie fürchten um ihre Jobs, ihre Einkommen. Die psychischen und körperlichen Folgen, der Stress, die Angst, sie sind ähnlich wie bei anderen Gewalterfahrungen, der Körper unterscheidet da nicht.

In so einer Situation brauchen Betroffene vor allem praktische und sofortige Unterstützung. Wie können sie dafür sorgen, dass Bilder oder Deepfakes gelöscht werden? Dass sie aus den Suchmaschinen verschwinden? Welche Aussichten hat es überhaupt, Anzeige zu erstatten und wie müssen sie dafür Beweise sichern?

Recht auf Beratung für Betroffene? Ab 2032.

Dazu gehört juristische Beratung, aber auch psychologische Hilfe. Die Stellen, die solche Hilfe aber anbieten, sind in Deutschland chronisch unterfinanziert. Sie müssen um Stellen und Mittel kämpfen, wissen oft nicht, wie es zum Jahresende finanziell weitergeht. Das Gewalthilfegesetz, das die Bundesregierung vor einem Jahr verabschiedet hat, soll die Beratung in solchen Fällen zu einem Recht machen. Dieser Rechtsanspruch: Er greift ab dem Jahr 2032.

Eine Bundesregierung, die ihre Bürger*innen vor Gewalt schützen will, kann sich nicht auf einer reichlich späten Verschärfung des Strafrechts ausruhen. Tech-Oligarchen haben Technologien entwickelt, die es möglich machen, mit ein paar Klicks und wenigen Worten die sexuelle Selbstbestimmung eines anderen Menschen zu verletzen.

Sie dürfen damit nicht durchkommen und die EU hat bereits Mittel, um sie damit auch nicht durchkommen zu lassen. Weitere Werkzeuge sind in Arbeit. Aber so lange die Technologien in der Welt sind und es auch bleiben werden, so lange das Patriarchat weiterhin stabil und breitbeinig steht, muss die Bundesregierung so schnell wie möglich für das absolute Minimum sorgen: Dass diejenigen, die den Schaden tragen, wenigsten die Hilfe und Unterstützung bekommen, die sie brauchen.

Atlassian Bamboo Data Center and Server, Bitbucket Data Center and Server, Confluence Data Center and Server, Fisheye/Crucible, Jire Data Center and Server und Jira Service Management Data Center and Server sind verwundbar. In aktuellen Versionen haben die Entwickler unter anderem DoS- und Schadcode-Sicherheitslücken geschlossen.

Sicherheitspatches installieren

Auch wenn es bislang seitens des Softwareherstellers keine Hinweise auf laufende Attacken gibt, sollten Admins ihre Atlassian-Anwendungen zeitnah auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer etwa Bamboo Data Center and Server mit Schadcode attackieren (CVE-2026-21570 „hoch“) oder Jira Data Center and Server via DoS-Attacke lahmlegen (CVE-2022-25927 „hoch“). Weiterhin sind bei Jira Service Management Data Center and Server unbefugte Dateizugriffe möglich (CVE-2026-23950 „hoch“). Weitere Informationen zu den geschlossenen Schwachstellen finde sich im Sicherheitsbereich der Atlassian-Website.

Die folgenden Versionen sind gegen die geschilderten Attacken gerüstet:

• Bamboo Data Center and Server 12.1.3 (LTS) recommended Data Center Only, 10.2.16 (LTS) Data Center Only, 9.6.24 (LTS) Data Center Only
• Bitbucket Data Center and Server 10.2.0 to 10.2.1 (LTS) recommended Data Center Only, 10.1.5 Data Center Only, 9.4.17 to 9.4.18 (LTS) Data Center Only
• Confluence Data Center and Server 10.2.7 (LTS) recommended Data Center Only, 9.2.15 to 9.2.17 (LTS) Data Center Only, 9.0.2 to 9.0.3 Data Center Only
• Crowd Data Center and Server 7.1.5 recommended Data Center Only, 6.3.5 Data Center Only
• Fisheye/Crucible 4.9.8 recommended
• Jira Data Center and Server 11.3.3 (LTS) recommended Data Center Only, 10.3.18 (LTS) Data Center Only
• Jira Service Management Data Center and Server 11.3.3 (LTS) recommended Data Center Only, 10.3.18 (LTS) Data Center Only

(des)