Am vergangenen Wochenende unternahm die Polizei Hausbesuche bei Kunden von PTC, um vor einer Zero-Day-Schwachstelle zu warnen. Dies ist ein noch nie dagewesener Warnprozess. Was steckt dahinter?
In Thüringen, Rheinland-Pfalz und Schleswig-Holstein hat die Polizei PTC-Kunden aufgrund einer Sicherheitslücke Hausbesuche abgestattet.
In der Nacht zum 22. März 2026 kam es zu einem ungewöhnlichen Einsatz für die Polizei. Auf Veranlassung des Bundeskriminalamts (BKA) alarmierten Einsatzkräfte Unternehmen in ganz Deutschland per Telefon, einigen wurde sogar ein Besuch abgestattet, wie Heise Online als erstes berichtete. Grund dafür ist die Warnung des Softwareherstellers PTC, der über eine kritische Zero-Day-Schwachstelle in seinen Lösungen Windchill und FlexPLM informierte.
Bei der Zero-Day-Schwachstelle, die Polizeibeamte teilweise um vier Uhr nachts bei Geschäftsführern und Administratoren an der Tür klingeln lies, handelt es sich um EUVD-2026-14606 / CVE-2026-4681 (CVSS-Score 9.3, EPSS-Score* 0.38)
Produkt
Version
Windchill PDMLink
12.0.2.0
Windchill PDMLink
11.0 M030
Windchill PDMLink
13.1.2.0
Windchill PDMLink
12.1.2.0
Windchill PDMLink
13.1.1.0
Windchill PDMLink
13.1.3.0
Windchill PDMLink
13.0.2.0
Windchill PDMLink
13.1.0.0
Windchill PDMLink
11.2.1.0
Windchill PDMLink
11.1 M020
FlexPLM
12.0.2.0
FlexPLM
13.0.3.0
FlexPLM
13.0.2.0
FlexPLM
11.2.1.0
FlexPLM
12.1.2.0
FlexPLM
11.0 M030
FlexPLM
12.1.3.0
FlexPLM
12.0.0.0
FlexPLM
11.1 M020
FlexPLM
12.0.3.0
FlexPLM und Windchill sind beide Product‑Lifecycle‑Management‑Lösungen des Softwareherstellers PTC. Windchill ist eine PLM-Plattform für technische Produktdaten, CAD‑Daten (Computer‑Aided Design), Stücklisten, Änderungs‑ und Freigabeprozesse sowie die Zusammenarbeit mit Zulieferern in Fertigungsbranchen. FlexPLM ist speziell auf die Mode‑ und Retail‑Branche ausgerichtet und unterstützt Kollektionserstellung, Material‑ und Farbverwaltung, Tech‑Packs, Kostenkalkulation, Sourcing und Merchandising‑Workflows. Beide Systeme sind weit verbreitet und werden von vielen großen Herstellern, Marken und Händlern eingesetzt, um Produktdaten, Prozesse und Lieferketten zentral zu steuern. Hersteller PTC hat seinen Hauptsitz in Boston in den USA.
Bei EUVD-2026-14606 / CVE-2026-4681 handelt es sich um einen Deserialisierungsfehler, der dazu führen kann, dass beim Einlesen manipulierter Daten unerwartete Objekte erzeugt werden und ein Angreifer dies zur Ausführung von beliebigem Code, zur Umgehung von Sicherheitsprüfungen oder zum Absturz der Anwendung ausnutzen kann.
Das BKA entsandt am Wochenende Polizisten in ganz Deutschland, um scheinbar betroffene Unternehmen vor der Zero-Day-Sicherheitslücke zu warnen. So etwas gab es noch nie. Wie Heise Online nach Informationen aus dem Forum berichtete würden einige der Admins, die von der Polizei kontaktiert wurden, die anfällige PTC-Software gar nicht nutzen.
Die Beamten hätten den Betroffenen eine Kopie des Schreibens ausgehändigt, das PTC bereits an seine Kunden versandt hatte und das die Anleitung zu einem Hotfix enthält, übergeben. Mehrere Landeskriminalämter hätten Heise gegenüber das Vorgehen bestätigt. Ziel der Aktion sei eine „möglichst schnelle Sensibilisierung und Einleitung von Schutzmaßnahmen“ gewesen. Neben dem Landeskriminalamt Thüringen hätten auch die LKAs in Rheinland-Pfalz und Schleswig-Holstein Hausbesuche bei PTC-Kunden unternommen. Hamburg und Niedersachsen hätten darauf verzichtet und die betroffenen Unternehmen telefonisch kontaktiert.
Heise spricht von möglicherweise über tausend betroffenen Kunden, was einen entsprechend großen Personalaufwand bei der Polizei bedeutet haben dürfte. Zumindest scheint es noch keine Angriffsversuche mithilfe von EUVD-2026-14606 / CVE-2026-4681 zu geben. Denn von der US-Sicherheitsbehörde CISA gibt es noch keine Meldung in ihrem KEV-Katalog dazu. Das BSI hingegen hatte eine standardmäßige Warnung vor der Zero-Day-Schwachstelle veröffentlicht und sogar einen CVSS-Score von 10.0 geteilt.
Auch der Hersteller selbst informiert, dass es derzeit keine bestätigten Ausnutzungsfälle gebe. Allerdings veröffentlicht PTC Indicators of Compromise und appelliert an Admins, die die IoCs auf dem Windchill-Server identifizieren, sofort das Sicherheitsteam zu benachrichtigen, damit dieses den Reaktionsplan des Unternehmens einleiten kann. Dazu informiert PTC über eine vorhandene „GW.class“-Datei, die darauf hindeute, dass „der Angreifer das System vor der Ausführung von Remote-Code (RCE) mit Schadsoftware infiziert hat“.
Auch zu der Diskrepanz zwischen der Aussage, es gebe noch keine Angriffe über die Schwachstelle EUVD-2026-14606 / CVE-2026-4681 und dem Vorhandensein einer bösartigen Payload habe Heise ein Statement angefragt, jedoch keines erhalten.
Während das BKA also alle Mittel auffuhr, zeigte sich das BSI mit seiner Meldung nicht besorgter als sonst. Ein Sprecher habe Heise mitgeteilt, dass zu den Bewertungskriterien für Sicherheitslücken „insbesondere die Charakteristika der Schwachstelle selbst, allerdings auch die Verbreitung des Produkts und weitere – ggf. entschärfende – Rahmenbedingungen“ gehören würden. Ein entscheidender Punkt sei die Information der Anwenderinnen und Anwender durch den Hersteller selbst. Das BSI habe KRITIS-Betreiber separat informiert.
* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der entsprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/17/9d/179dd778eea92469d222147b93062a79/0130236682v1.jpeg "Ransomware dient staatlich unterstützten Akteuren zunehmend für Spionage und Destabilisierung. Verschlüsselung wird oft nur noch zur Tarnung eingesetzt. (Bild: © concept w - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/cb/4bcb6d92bb8158bc9441217d9cf3e352/0130342511v2.jpeg "In Thüringen, Rheinland-Pfalz und Schleswig-Holstein hat die Polizei PTC-Kunden aufgrund einer Sicherheitslücke Hausbesuche abgestattet. (Bild: © Lila Patel - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/8f/e78f122fe24962e7b247f2b3cbb2b70f/0130172239v2.jpeg "Der Konflikt im Nahen Osten hat zu einer Zunahme von Cyberspionage-Kampagnen geführt, die von iranischen, chinesischen, belarussischen und pakistanischen Gruppen ausgehen, während der Verfassungsschutz seine Befugnisse zur Bekämpfung dieser digitalen Bedrohungen erweitern will. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/6f/c26f8917d9577d3647ac2b27106397d3/0130217833v2.jpeg "Unternehmen investieren massiv in Cybersicherheit, doch ihre wertvollsten Daten bleiben oft ungeschützt. SAP-Systeme, das Herzstück kritischer Geschäftsprozesse, werden bei Penetrationstests häufig übersehen – ein fatales Versäumnis, das Angreifern Tür und Tor öffnet. (Bild: © YOGI C - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/ff/4fff5b549d403858f33d560c8c8f40dc/0130169139v2.jpeg "Der Vorsitz für die AdCo CRA wurde Anna Schwendicke am 19. März in Athen übertragen. Hier zu sehen sind (v.l.n.r): Tommaso Bernabo (DG Connect), Perit Kirkmann-Raave (ENISA), Maika Fohrenbach (DG Connect), Xenia Kyriakidou (Digital Security Authority Zypern - Vice-Chair AdCo CRA), Anna Schwendicke (BSI - Chair AdCo CRA), Luis Miguel Vega Fidalgo (DG Connect), Razvan Gavrila (ENISA). (Bild: ENISA)")
:quality(80)/p7i.vogel.de/wcms/83/12/8312bf00e110a5f83e9044d3530cee45/0130131441v1.jpeg "Schwachstellen in KI-Systemen nehmen schneller zu als im restlichen Software-Ökosystem, besonders in neuen Architekturen wie agentischer KI. (Bild: Trend Micro)")
:quality(80)/p7i.vogel.de/wcms/84/1c/841c9f1c9ed65f5abb2cf89723d5084a/0130219449v2.jpeg "Quantencomputer können asymmetrische Verschlüsselung knacken. Post-Quanten-Kryptografie bietet Schutz mit NIST-Standards wie ML-KEM, ML-DSA und SLH-DSA. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/19/e6/19e6685a939640d25cb308569ca76b01/0129966653v1.jpeg "Das QKD-Labor der TÜV NORD GROUP am Standort Essen ist eines der ersten seiner Art in Europa. Sven Bettendorf, Projektleiter des QKD-Labors, und Natalie Jung, Evaluatorin mit Schwerpunkt QKD, bereiten einen Versuchsaufbau vor. (Bild: TÜVIT)")
:quality(80)/p7i.vogel.de/wcms/83/72/83729b923e87317b94edad7d73b89051/0130146252v2.jpeg "Keycloak ermöglicht Single Sign-on und Identitätsmanagement mit Open-Source-Freiheit, erfordert aber erhebliches Spezialwissen für Konfiguration und produktiven Betrieb. (Bild: © THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/cf/4fcffe96d0f8532cf9672e943e5a7f2d/0130150503v2.jpeg "Node.js-Projekte sind durch kritische Schwachstellen gefährdet, die zu Denial-of-Service-Angriffen führen können. Dies bedeutet, dass Angreifer die Verfügbarkeit der Systeme beeinträchtigen und die Leistung durch gezielte Ressourcennutzung überlasten können. Davon ist auch die Lösung IBM App Connect Enterprise betroffen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/cd/97cd33dafac13a5325e02c0c3e25bc4f/0130101877v2.jpeg "Der Linux-Kernel sollte in Versionen ab v4.11 sofort aktualisiert werden, da Sicherheitsanfälligkeiten im AppArmor-Zugriffsmechanismus es Angreifern ermöglichen, Root-Zugriff zu erlangen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6a/fd/6afdae64b3156714ffcc6afd73d977c4/0130023020v2.jpeg "NIST-Standards FIPS 206 und FIPS 207 bringen quantensichere Signaturen und Schlüsselaustausch bis 2027 in Trusted Execution Environments und Confidential Computing. (Bild: © SepazWorks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/7f/eb/7feb9571c432ebe650d9687284f166bf/0130310687v2.jpeg "Ein nicht authentifizierter Angreifer kann ein präpariertes serialisiertes Javaobjekt an die webbasierte Verwaltungsoberfläche eines verwundbaren Cisco Secure FMC senden, das dort unsicher deserialisiert wird und beliebigen Javacode mit Rootrechten ausführt. (©cendhika - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/cd/97cd33dafac13a5325e02c0c3e25bc4f/0130101877v2.jpeg "Der Linux-Kernel sollte in Versionen ab v4.11 sofort aktualisiert werden, da Sicherheitsanfälligkeiten im AppArmor-Zugriffsmechanismus es Angreifern ermöglichen, Root-Zugriff zu erlangen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0d/0e/0d0e94ef36ab18908daf271ce57c5b6e/0130083847v2.jpeg "Ältere Sicherheitslücken sind für Hacker besonders interessant, da sie häufig in vielen Organisationen ungesichert bleiben, was die Wahrscheinlichkeit ihrer Ausnutzung erhöht. DIes führt zu oftmals sehr hohen EPSS-Scores. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/33/e333763ff26e13e15edaf3f9be1dbea5/0129982986v2.jpeg "Apache Tomcat wird häufig als Open-Source-Servlet-Container für die Ausführung von Java-Webanwendungen eingesetzt. Nun birgt die Lösung die Gefahr, dass Angreifer Sicherheitsfunktionen umgehen und sensible Informationen offenlegen können. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4b/06/4b06c8e4cd501c4799d85f1df4e3c38a/0130040891v2.jpeg "Betroffen von den Sicherheitslücken sind die Apple-Produkte macOS, iOS, iPadOS, tvOS, watchOS und visionOS. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/8d/d98d7787e5351a5674cf0cd94cee8e5a/0129910237v2.jpeg "Für Android-Nutzer bedeutet die Zero-Day-Schwachstelle bei Qualcomm, dass Daten offenlegt werden oder Systeme abstürzen könnten. (Bild: Dall-E / KI-generiert)")