Bundesweiter Polizeieinsatz aufgrund Sicherheitslücke in Software

Der Pfört­ner klang auf­ge­regt. Die Poli­zei sei hier und behaup­tet, eine wich­ti­ge Mel­dung an unse­ren IT-Bereich zu haben. Es gin­ge um eine Sicher­heits­lü­cke in Wind­chill. Nun nut­zen wir die­se Soft­ware tat­säch­lich, aber das die Poli­zei aus­rückt, um auf eine Sicher­heits­lü­cke auf­merk­sam zu machen, ist doch unge­wöhn­lich. Noch dazu zu nacht­schla­fen­der Zeit.

Nach Berich­ten des Maga­zins hei­se online galt die­se Lücke als beson­ders gefähr­lich, da Angrei­fer dar­über mög­li­cher­wei­se Schad­code in Sys­te­me ein­schleu­sen könnten. 

Um Unter­neh­men schnell zu war­nen, such­te die Poli­zei teil­wei­se per­sön­lich IT-Ver­ant­wort­li­che auf und über­gab ent­spre­chen­de Hin­wei­se, damit sofort Schutz­maß­nah­men ergrif­fen wer­den konn­ten. Am Mon­tag wur­de bekannt, dass in der kon­zer­tier­ten Akti­on offen­bar teil­wei­se sogar Fir­men kon­tak­tiert wur­den, die die betrof­fe­ne Soft­ware gar nicht nutzen. 

Zudem gab es kei­ne kon­kre­ten Hin­wei­se dar­auf, dass die Sicher­heits­lü­cke bereits aktiv aus­ge­nutzt wur­de. Die Hin­ter­grün­de die­ser Akti­on sind nicht bekannt. Anfra­gen beim LKA blie­ben weit­ge­hend nebulös.

Hei­ses Anfra­ge an das BKA, BSI und dem Her­stel­ler zu die­ser unge­wöhn­li­chen und per­so­nal­in­ten­si­ven Akti­on mit­ten in der Nacht, wur­den vom BSI mit der »beson­de­ren Cha­rak­te­ris­ti­ka der Schwach­stel­le« beantwortet.