Kritische Sicherheitslücken in Foxit PDF Editor und Reader: Was IT-Verantwortliche jetzt wissen müssen

BSI-Warnstufe: Hoch | Veröffentlicht: 09.07.2026 | Betrifft: Foxit PDF Editor & Foxit PDF Reader


Einleitung: Eine unterschätzte Angriffsfläche in deutschen Büros

PDF-Viewer und -Editoren gehören zur unsichtbaren Infrastruktur moderner Unternehmen – sie sind auf nahezu jedem Arbeitsplatzrechner installiert, werden täglich genutzt und selten als kritische Sicherheitskomponente wahrgenommen. Genau das macht sie zu einem attraktiven Ziel für Angreifer.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 09. Juli 2026 eine aktualisierte Sicherheitswarnung der Stufe „hoch" für Foxit PDF Editor und Foxit PDF Reader veröffentlicht. Betroffen sind mehrere Schwachstellen, die es einem entfernten, nicht authentifizierten Angreifer ermöglichen, Schadcode auszuführen, Systemrechte zu erweitern, Dienste lahmzulegen oder vertrauliche Informationen auszulesen.

Für IT-Verantwortliche und Geschäftsführer in deutschen Unternehmen ist das kein akademisches Problem: Foxit-Produkte sind insbesondere im Mittelstand als günstige Alternative zu Adobe Acrobat weit verbreitet. Die Kombination aus hoher Verbreitung und kritischer Angriffswirkung ergibt ein erhebliches Risikopotenzial – auch mit Blick auf NIS2-Meldepflichten.


Technischer Hintergrund: Was steckt hinter diesen Schwachstellen?

Mehrere Schwachstellen – ein gemeinsames Muster

Das BSI-Advisory beschreibt nicht eine einzelne Lücke, sondern eine Kombination mehrerer Schwachstellen in Foxit PDF Editor und Foxit PDF Reader. Solche gebündelten Advisories entstehen typischerweise dann, wenn ein Sicherheitsforscher oder ein Bug-Bounty-Programm eine systematische Schwachstellenanalyse durchgeführt hat.

Die gemeldeten Angriffsvektoren umfassen im Einzelnen:

Angriffstyp Technische Bedeutung Risiko
Remote Code Execution (RCE) Angreifer kann beliebigen Code auf dem Zielsystem ausführen Kritisch
Privilege Escalation Ausweitung von Nutzer- auf Systemrechte Hoch
Denial of Service (DoS) Abstürze oder Nichtverfügbarkeit der Anwendung Mittel–Hoch
Information Disclosure Auslesen sensibler Speicherinhalte oder Dateien Mittel

Wie ein Angriff in der Praxis aussehen könnte

Der typische Angriffsvektor bei PDF-Viewern ist eine manipulierte PDF-Datei, die beim Öffnen eine Schwachstelle im Parser oder in der JavaScript-Engine des Programms auslöst. Der Angreifer muss das Opfer lediglich dazu bringen, eine präparierte Datei zu öffnen – per E-Mail, über einen Download-Link oder durch einen kompromittierten Dateiserver.

Besonders gefährlich: Der Angriff erfordert keine vorherige Authentifizierung und kann aus der Ferne eingeleitet werden. In einem Unternehmensnetzwerk mit gemeinsam genutzten Laufwerken oder automatisierten Dokumentenworkflows kann eine einzige infizierte PDF-Datei zum Einfallstor für eine umfassende Kompromittierung werden.


NIS2-Relevanz: Was bedeutet das für deutsche Unternehmen?

Wen betrifft NIS2?

Seit der Umsetzung der NIS2-Richtlinie in deutsches Recht (§§ 28 ff. BSIG n.F.) unterliegen Unternehmen in kritischen und wichtigen Sektoren verschärften Sicherheits- und Meldepflichten. Dazu zählen unter anderem Energie, Gesundheit, Finanzen, digitale Infrastruktur, Logistik und weite Teile des verarbeitenden Gewerbes ab bestimmten Schwellenwerten.

Schwachstellen-Management als NIS2-Pflicht

Artikel 21 der NIS2-Richtlinie verpflichtet betroffene Einrichtungen ausdrücklich zu einem systematischen Schwachstellen-Management, das folgende Elemente umfasst:

  • Kontinuierliche Identifikation von Schwachstellen in eingesetzter Software
  • Risikobewertung und priorisierte Behebung
  • Dokumentation der getroffenen Maßnahmen
  • Patch-Management innerhalb angemessener Fristen

Eine BSI-Warnung der Stufe „hoch" für weit verbreitete Standardsoftware wie Foxit ist genau das Szenario, für das diese Pflichten konzipiert wurden. Unternehmen, die NIS2-pflichtig sind und Foxit-Produkte einsetzen, müssen jetzt handeln und dies dokumentieren.

Meldepflichten bei Sicherheitsvorfällen

Sollte es durch diese Schwachstellen tatsächlich zu einem Sicherheitsvorfall kommen, greift die 72-Stunden-Meldepflicht gegenüber dem BSI als zuständiger nationaler Behörde. Ein ungepatchtes System, für das eine öffentliche BSI-Warnung vorlag, dürfte im Nachgang einer Prüfung kaum als ausreichend gesichertes System gelten. Die haftungsrechtlichen und aufsichtsrechtlichen Konsequenzen für Geschäftsführer sind erheblich – NIS2 sieht bei Pflichtverletzungen persönliche Haftung der Leitungsorgane vor.


Praktische Schutzmaßnahmen: 5 konkrete Schritte für IT-Teams

1. Sofortige Bestandsaufnahme: Wo läuft Foxit im Unternehmen?

Führen Sie unverzüglich eine Inventarisierung aller Systeme durch, auf denen Foxit PDF Editor oder Foxit PDF Reader installiert ist. Nutzen Sie dafür Ihr Asset-Management-System, SCCM, Ansible, oder – falls noch nicht vorhanden – manuelle Abfragen per Gruppenrichtlinien-Skripte. Ohne vollständige Transparenz über installierte Software ist gezieltes Patch-Management nicht möglich.

2. Patches einspielen – sofort und vollständig

Prüfen Sie auf der offiziellen Foxit-Website, ob für Ihre installierte Version bereits Sicherheitsupdates bereitstehen. Spielen Sie verfügbare Patches unverzüglich ein und priorisieren Sie Systeme mit Internetzugang oder Zugriff auf externe Dateiquellen. Tragen Sie den Patch-Status in Ihrer Dokumentation ein – das ist im NIS2-Kontext kein Nice-to-have, sondern Pflicht.

3. Öffnen unbekannter PDFs temporär einschränken

Bis alle Systeme gepatcht sind, empfiehlt sich eine temporäre organisatorische Schutzmaßnahme: Sensibilisieren Sie Mitarbeiter aktiv dafür, keine PDF-Anhänge aus unbekannten Quellen zu öffnen. Überprüfen Sie, ob Ihr E-Mail-Gateway verdächtige Anhänge bereits in einer Sandbox analysiert. Viele EDR/XDR-Lösungen bieten zudem die Möglichkeit, ausführbaren Code aus Office- und PDF-Dokumenten zu blockieren.

4. Alternativen prüfen und Browser-basiertes PDF-Rendering aktivieren

Moderne Browser wie Microsoft Edge und Google Chrome verfügen über integrierte, regelmäßig aktualisierte PDF-Engines. Für viele Standard-Anwendungsfälle reicht die Browser-Vorschau vollkommen aus – ohne zusätzliche Angriffsfläche durch einen eigenständigen PDF-Client. Bewerten Sie, ob Foxit in Ihrer Umgebung durch systemeigene oder Browser-basierte Alternativen ersetzt werden kann.

5. Vorfall-Response-Plan überprüfen und BSI-Meldewege kennen

Stellen Sie sicher, dass Ihr Incident-Response-Plan aktuell ist und das Team weiß, wie ein Sicherheitsvorfall mit BSI-Meldepflicht abzuwickeln ist. Der Meldeprozess läuft über das BSI-Meldeportal (MELDIS). Simulieren Sie im Zweifelsfall intern den Ablauf eines Vorfalls, der innerhalb von 72 Stunden gemeldet werden muss – Übung reduziert Fehler im Ernstfall erheblich.


Fazit: PDF-Sicherheit ist Unternehmenssicherheit

Die aktuellen Schwachstellen in Foxit PDF Editor und Foxit PDF Reader illustrieren ein grundlegendes Problem moderner IT-Sicherheit: Standardsoftware wird zu oft als unkritisch eingestuft, obwohl sie täglich mit nicht vertrauenswürdigen Inhalten aus dem Internet interagiert. PDF-Viewer sind de facto Browser für strukturierte Dokumente – und müssen mit demselben Sicherheitsbewusstsein behandelt werden.

Für NIS2-pflichtige Unternehmen ist die Situation besonders klar: Eine öffentliche BSI-Warnung der Stufe „hoch" begründet Handlungspflichten, die dokumentiert und nachweisbar erfüllt werden müssen. Wer hier zögert, riskiert nicht nur die eigene IT-Sicherheit, sondern auch persönliche Haftung der Unternehmensleitung.


Call-to-Action: Schwachstellen-Management systematisch aufstellen

Einzelne Maßnahmen wie dieser Patch helfen kurzfristig – aber dauerhafter Schutz erfordert Prozesse. Spezialisierte NIS2-Compliance-Software kann dabei helfen, BSI-Warnmeldungen automatisch mit Ihrem Software-Inventar abzugleichen, Patch-Fristen zu überwachen und die erforderliche Dokumentation revisionssicher zu führen. Wenn Ihr Unternehmen noch kein strukturiertes Tool-gestütztes Schwachstellen- und Compliance-Management betreibt, ist jetzt der richtige Zeitpunkt, das zu ändern – bevor der nächste Vorfall zur echten Krise wird.