1. Cisco Catalyst SD-WAN Controller: Authentication-Bypass (CVE-2026-20182, CVSS 10.0)

Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Montag, 25. Mai 2026 · Score 95

Die Schwachstelle CVE-2026-20182 erlaubt nicht authentifizierten Angreifern den vollständigen administrativen Zugriff auf Cisco Catalyst SD-WAN Controller (vormals vManage). Die Lücke wird laut Cisco-PSIRT seit dem Wochenende vor dem Patch in begrenztem Umfang aktiv ausgenutzt; SD-WAN-Overlays gelten als hochinteressante Ziele für Initial-Access-Broker.

Letzte Entwicklung: Cisco hat das Advisory am Wochenende erneut aktualisiert und auf eine weiter steigende Zahl exponierter Instanzen hingewiesen. Mehrere CSIRTs in Europa berichten in nicht-öffentlichen Lageberichten von Scan-Wellen auf TCP/443 und TCP/8443; das BSI-CERT-Bund hat den Sicherheitshinweis am 22.05. erneuert. Wer den Controller nicht bis Wochenmitte patchen kann, sollte den Verwaltungs-Port aus dem Internet nehmen.

2. GitHub-Breach „TeamPCP“: rund 3.800 interne Repositories abgeflossen

Seit Mittwoch, 20. Mai 2026 · zuletzt aktualisiert Sonntag, 24. Mai 2026 · Score 90

Die im April aktive Gruppe „TeamPCP“ hat über kompromittierte GitHub-Personal-Access-Tokens rund 3.800 nicht-öffentliche Repositories aus dem Mittelstand und Tech-Sektor exfiltriert. Betroffen sind Quellcode, CI/CD-Geheimnisse und in Einzelfällen auch personenbezogene Daten von Mitarbeitenden.

Letzte Entwicklung: GitHub hat die Token-Rotation für betroffene Organisationen erzwungen und einen aktualisierten Indicators-of-Compromise-Satz veröffentlicht. Mehrere deutsche Unternehmen prüfen aktuell, ob frühere Token aus Build-Skripten weiter im Umlauf sind. Eine vollständige Audit-Liste aller Token-Berechtigungen und ein Wechsel auf fein-granulare Tokens werden dringend empfohlen.

3. Cisco Secure Workload: kritische API-Auth-Bypass-Lücke (CVE-2026-20223, CVSS 10.0)

Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Montag, 25. Mai 2026 · Score 92

Cisco hat in seinem Microsegmentations-Produkt Secure Workload (vormals Tetration) eine kritische Schwachstelle in den internen REST-APIs offengelegt. Über eine fehlende Authentifizierung kann ein nicht angemeldeter Angreifer Site-Admin-Rechte erlangen und tenant-übergreifend Konfigurationen ändern oder vertrauliche Informationen lesen. Betroffen sind sowohl SaaS- als auch On-Prem-Cluster.

Letzte Entwicklung: Cisco berichtet bislang nicht von aktiver Ausnutzung, stuft die Schwere aber mit 10.0 ein – das höchstmögliche Risiko. In den vergangenen 72 Stunden haben mehrere Quellen Proof-of-Concept-Skizzen veröffentlicht. Patches sind verfügbar; Betreiberinnen und Betreiber sollten priorisiert einspielen und die internen API-Endpunkte zusätzlich durch Netzwerksegmentierung absichern.

4. Microsoft Defender: zwei aktiv ausgenutzte Zero-Days (CVE-2026-41091, CVE-2026-45498)

Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Montag, 25. Mai 2026 · Score 90

Microsoft hat zwei Schwachstellen im Defender-Schutz bestätigt, die aktiv ausgenutzt werden: CVE-2026-41091 ermöglicht über eine fehlerhafte Symlink-Auflösung in der Malware Protection Engine eine lokale Privilegieneskalation auf SYSTEM (CVSS 7.8), CVE-2026-45498 führt zu einem Denial-of-Service der Defender-Komponente (CVSS 4.0). Beide Lücken sind seit dem 21. Mai im KEV-Katalog der CISA mit Patch-Frist 3. Juni 2026 gelistet.

Letzte Entwicklung: Huntress hat über das Wochenende weitere Telemetrie veröffentlicht, die auf zielgerichtete Angriffe gegen Verwaltungs- und Bildungssektoren hindeutet. Die Microsoft Malware Protection Engine ist in Version 1.1.26040.8 zu aktualisieren, die Defender Antimalware-Plattform auf 4.18.26040.7. Auf gut konfigurierten Endpunkten geschieht der Update automatisch innerhalb weniger Stunden; in Air-Gapped-Umgebungen ist ein manuelles Nachziehen erforderlich.

5. Microsoft Exchange Server OWA: aktiv ausgenutzter Spoofing-Bug (CVE-2026-42897)

Seit Donnerstag, 14. Mai 2026 · zuletzt aktualisiert Montag, 25. Mai 2026 · Score 88

Die im Mai-Patchday geschlossene OWA-Schwachstelle wird weiterhin aktiv ausgenutzt – Angreifer können bei aktivierter URL-Vorschau Cookies oder Tokens abgreifen und sich anschließend als legitime Nutzerin oder legitimer Nutzer ausgeben. Bestätigte Fälle gibt es inzwischen aus dem deutschen Mittelstand.

Letzte Entwicklung: Microsoft hat das Advisory am 23.05. um weitere Indicators-of-Compromise ergänzt. Wer noch auf Exchange Server 2016 oder älter setzt, sollte den Wechsel auf eine unterstützte Variante zumindest planen; das Sicherheits-Update für aktuelle Versionen ist über den Mai-Patchday verfügbar.

1.1 Unimed-Datenpanne weitet sich auf vier Universitätskliniken aus

23.05.2026 · Deutsches Ärzteblatt, Uniklinik Heidelberg, Freiburg-Nachrichten

Zusammenfassung: Beim Saarländer Abrechnungsdienstleister unimed wurden im April Daten von inzwischen mehr als 100.000 Patientinnen und Patienten der Universitätskliniken Freiburg, Heidelberg, Tübingen und Ulm entwendet. Die Information wurde am 21. Mai durch die Uniklinik Freiburg und kurz darauf durch die übrigen Häuser kommuniziert. Betroffen sind primär Privatversicherte, Wahlleistungspatienten und Selbstzahler. Patientenversorgung und Klinik-IT waren zu keinem Zeitpunkt betroffen, der Angriff zielte ausschließlich auf den externen Dienstleister.

Hintergrund & Einordnung: Die unimed Abrechnungsservice für Kliniken und Chefärzte GmbH bündelt die Privatabrechnung mehrerer Universitätskliniken. Ein erfolgreicher Angriff auf einen solchen zentralen Auftragsverarbeiter trifft den Versorgungssektor entsprechend stark – ein klassisches Beispiel für die in der Branche viel diskutierte Drittpartei-Konzentration. Aus DSGVO-Sicht greifen Art. 28 (Auftragsverarbeitung), Art. 32 (Sicherheit der Verarbeitung) und Art. 33/34 (Melde- und Benachrichtigungspflichten). Welche Schwachstelle konkret ausgenutzt wurde, ist bisher nicht öffentlich; die zuständigen Landesdatenschutzbehörden in Baden-Württemberg und im Saarland sind eingebunden.

Praxisfolgen / Handlungsempfehlung: Verantwortliche Kliniken müssen die Betroffenenbenachrichtigungen vorbereiten und mit den Aufsichtsbehörden abstimmen. Andere Krankenhäuser sollten den Vorfall zum Anlass nehmen, die eigene Auftragsverarbeiter-Landschaft im Bereich Abrechnung, Patientenportale und Telematik zu inventarisieren, Mindeststandards für Verschlüsselung und Backup nachzuschärfen und insbesondere Notfall-Lossagungs-Klauseln in den Verträgen zu prüfen. Für Patientinnen und Patienten ist eine besondere Wachsamkeit gegenüber Phishing-Versuchen, die sich auf reale Behandlungen beziehen, in den kommenden Wochen geboten.

1.2 EDSA bestätigt Linie zur Wiederverwendung „pseudonymisierter“ Trainingsdaten

22.05.2026 · Stiftung Datenschutz – DatenschutzWoche 18.05.2026

Zusammenfassung: Die Stiftung Datenschutz fasst in ihrer DatenschutzWoche vom 18. Mai die aktuellen Stellungnahmen des Europäischen Datenschutzausschusses zur KI-Trainingsdaten-Praxis zusammen. Kernaussage: Die bloße Entfernung direkter Identifikatoren reicht nicht aus, um Trainingsdaten als „nicht-personenbezogen“ zu behandeln; entscheidend bleibt die Reidentifikationsmöglichkeit im konkreten Kontext.

Hintergrund & Einordnung: Die Linie folgt der bereits im Dezember 2024 veröffentlichten Opinion 28/2024 des EDSA und stärkt die Position der nationalen Aufsichtsbehörden, die Trainingsdaten in der Regel als personenbezogen einstufen, solange die Reidentifikationsschwelle nicht nachweislich überschritten ist. Für Anbieter von Foundation Models und Re-Trainern in Unternehmen ergibt sich ein erhöhter Dokumentations- und Begründungsaufwand.

Praxisfolgen / Handlungsempfehlung: Wer KI-Modelle in Eigenregie weiter trainiert, sollte die Reidentifikationsbewertung als eigenständigen Schritt im AI-Risk-Management verankern, die Datenherkunft sauber dokumentieren und für jede Pipeline die Rechtsgrundlage benennen. Ein Verweis auf „bereits anonymisierte“ Drittquellen reicht in der Aufsichtspraxis künftig nicht mehr.

1.3 LDI NRW veröffentlicht Praxisleitfaden zu Datenpannen in Kliniken

22.05.2026 · LDI NRW

Zusammenfassung: Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat den im April vorgestellten Praxisleitfaden zum Datenpannenmanagement in Kliniken um eine Checkliste für Auftragsverarbeiter ergänzt. Schwerpunkt sind die Punkte Meldekette, Beweissicherung und Kommunikation mit Betroffenen innerhalb der 72-Stunden-Frist.

Hintergrund & Einordnung: Die LDI hat 2025 eine sektorale Prüfung in nordrhein-westfälischen Krankenhäusern durchgeführt; in mehr als der Hälfte der Häuser bestand Verbesserungsbedarf bei der Detektion und Eingrenzung von Datenpannen. Die aktuelle Veröffentlichung verbindet diese Erkenntnisse mit konkreten Handlungsmustern.

Praxisfolgen / Handlungsempfehlung: Datenschutzbeauftragte in Kliniken und im Gesundheitsumfeld sollten die Checkliste der LDI mit dem eigenen Datenpannenprozess abgleichen und insbesondere die Eskalationspfade in Richtung Geschäftsführung sowie die Abstimmung mit Forensik-Dienstleistern dokumentieren. Auch außerhalb NRWs bietet der Leitfaden eine geeignete Vorlage.

1.4 BfDI-Rückzug: erste Namen für Nachfolge im Gespräch

24.05.2026 · BfDI, Dr. Datenschutz KW 20

Zusammenfassung: Die Ankündigung der Bundesdatenschutzbeauftragten Prof. Dr. Louisa Specht-Riemenschneider, aus gesundheitlichen Gründen vorzeitig zurückzutreten, hält die Branche weiter in Atem. In Berliner Hintergrundgesprächen werden erste Nachfolgekandidaten genannt, eine offizielle Personalentscheidung steht weiterhin aus.

Hintergrund & Einordnung: Der personelle Übergang fällt in eine Phase, in der die BfDI besonders sichtbar agiert hat – etwa mit dem 45-Millionen-Bußgeld gegen Vodafone und mit der laufenden Diskussion um die Datenschutzfolgen der NIS-2-Umsetzung. Eine längere Vakanz würde insbesondere die Aufsicht über große Telekommunikations- und Digitalunternehmen verlangsamen.

Praxisfolgen / Handlungsempfehlung: Unternehmen, die laufende Abstimmungen mit dem Amt der BfDI führen, sollten den Stand schriftlich dokumentieren, Eingangsbestätigungen aufbewahren und Eskalationswege für mögliche Verzögerungen einplanen. Größere Verfahren werden in der Übergangsphase voraussichtlich nicht beschleunigt.

Update vom 25. Mai 2026: Die Stiftung Datenschutz und einzelne Verbände rufen zur zügigen Nachbesetzung auf, um Stillstand in laufenden Großverfahren zu vermeiden.

2.1 GitHub-Breach „TeamPCP“: Token-Rotation greift, Audit-Welle läuft

23.05.2026 · BleepingComputer

Zusammenfassung: Nach dem Bekanntwerden des Abflusses von rund 3.800 nicht-öffentlichen Repositories durch die Gruppe „TeamPCP“ haben GitHub und mehrere große SaaS-Anbieter die betroffenen Personal-Access-Tokens flächendeckend rotiert. Erste deutsche Mittelständler bestätigen Auffälligkeiten in den eigenen Build-Pipelines.

Hintergrund & Einordnung: Der Vorfall steht in einer Reihe mit dem Tan­Stack-Angriff vom Mai und macht deutlich, dass langlebige Personal-Access-Tokens weiter ein zentraler Angriffsvektor sind. Besonders kritisch sind in CI/CD eingebettete Tokens mit weitreichenden Schreibrechten auf Organisationsebene.

Praxisfolgen / Handlungsempfehlung: Token-Inventar erstellen, alle Classic Personal-Access-Tokens mit Org-Scope eliminieren, auf fein-granulare Tokens oder GitHub Apps wechseln und die Logs auf ungewöhnliche `git clone`-Bursts aus untypischen ASN- oder Geolokations-Bereichen prüfen. Wo möglich, OIDC-basierte Federation für GitHub Actions aktivieren.

2.2 Panasonic Avionics: erneuter Datenabfluss, „CoinbaseCartel“ reklamiert Verantwortung

22.05.2026 · SC Media, Breachsense Mai 2026

Zusammenfassung: Panasonic Avionics meldete am 22. Mai eine neue Datenpanne. Verantwortung wird in einschlägigen Leak-Foren von einer Gruppe namens „CoinbaseCartel“ beansprucht. Umfang und Art der entwendeten Daten sind bislang nicht abschließend bestätigt; Panasonic Avionics ist Zulieferer für In-Flight-Entertainment vieler europäischer Fluggesellschaften.

Hintergrund & Einordnung: Bereits Ende 2022/2023 war Panasonic von Datenabflüssen betroffen. Die wiederholten Vorfälle nähren die Diskussion über Lieferkettensicherheit in der Luftfahrt – ein Sektor, der durch NIS-2 und die EU-Richtlinie 2022/2555 zunehmend in den Pflichtenkreis fällt.

Praxisfolgen / Handlungsempfehlung: Fluggesellschaften mit Panasonic-IFE im Bestand sollten die Vendor-Information abwarten, in der Zwischenzeit eigene Datenflüsse zu In-Flight-Diensten kartieren und Passagier-Kommunikation für den Fall einer Betroffenenbenachrichtigung vorbereiten. Generell empfiehlt sich für KRITIS-nahe Branchen eine Aktualisierung der Lieferanten-Risk-Register.

2.3 ShinyHunters/Canvas: Bildungsplattformen unter Dauerdruck

23.05.2026 · Malwarebytes, Bitdefender

Zusammenfassung: Die Erpressergruppe ShinyHunters hält an ihrer Behauptung fest, im Zuge des Canvas-Vorfalls bei Instructure rund 275 Millionen Datensätze aus 8.809 Bildungseinrichtungen erbeutet zu haben. Instructure hat laut Medienberichten am 12. Mai eine „Einigung“ erzielt; das FBI warnt weiterhin Lehrkräfte und Studierende vor Folgeangriffen.

Hintergrund & Einordnung: Der Vorfall steht beispielhaft für die Anfälligkeit großer Cloud-LMS-Plattformen. Auch wenn die Hauptbetroffenen in den USA liegen, nutzen einzelne deutsche Hochschulen und internationale Schulen Canvas. Die DSGVO-Pflichten zur Information Betroffener bleiben unabhängig von Ransom-Verhandlungen bestehen.

Praxisfolgen / Handlungsempfehlung: Bildungseinrichtungen, die Canvas oder verwandte LMS einsetzen, sollten die offiziellen Kommunikationen ihres Anbieters konsequent dokumentieren, Single-Sign-On-Verbindungen auf reduzierte Berechtigungen prüfen und ein Verfahren für Betroffenenanfragen vorbereiten. Mitarbeitende und Studierende vor gezielten Phishing-Wellen auf Basis der abgeflossenen Daten warnen.

2.4 Datev-Lodas-Datenpanne: Forensik abgeschlossen, Aufsichtsbehörde prüft

23.05.2026 · heise online

Zusammenfassung: Die im Mai bekannt gewordene Datev-Datenpanne, bei der Lodas-Probeabrechnungen an fremde Steuerberatungskanzleien versendet worden waren, ist nach Angaben des Unternehmens vollständig aufgeklärt. Die zuständige bayerische Datenschutzaufsicht BayLDA hat ein förmliches Prüfverfahren eröffnet.

Hintergrund & Einordnung: Die Datenpanne betraf insbesondere Lohn- und Gehaltsabrechnungen kleiner und mittlerer Mandanten. Da Datev als Auftragsverarbeiter für Tausende Kanzleien fungiert, hat der Vorfall systemische Bedeutung.

Praxisfolgen / Handlungsempfehlung: Steuerberatungskanzleien sollten den eigenen Datev-Mandanten gegenüber dokumentieren, ob und wie sie informiert wurden, Anfragen ihrer Mandantinnen und Mandanten innerhalb der 30-Tage-Frist nach Art. 12 DSGVO beantworten und die eigenen Auftragsverarbeitungsverträge mit Datev auf Aktualität prüfen.

3.1 Cisco Secure Workload CVE-2026-20223 (CVSS 10.0): vollständiger Site-Admin-Bypass

22.05.2026 · SecurityWeek, The Hacker News, CVEFeed

Zusammenfassung: Cisco hat eine kritische Schwachstelle in den internen REST-APIs von Secure Workload offengelegt. Aufgrund fehlender Authentifizierung (CWE-306) und unzureichender Validierung kann ein nicht angemeldeter Angreifer durch eine speziell präparierte API-Anfrage Site-Admin-Rechte erlangen und tenant-übergreifend Konfigurationen verändern oder vertrauliche Informationen auslesen. Der CVSS-Wert beträgt 10.0.

Hintergrund & Einordnung: Secure Workload (vormals Tetration) ist eine zentrale Microsegmentierungs-Plattform in vielen Rechenzentren und Cloud-Workload-Umgebungen. Betroffen sind sowohl SaaS- als auch On-Prem-Cluster-Deployments – unabhängig von der Gerätekonfiguration. Cisco erklärt, bisher keine aktive Ausnutzung beobachtet zu haben; öffentlicher PoC-Material zur Lücke ist jedoch in einschlägigen Foren verfügbar. Die Lücke folgt der ebenfalls im Mai veröffentlichten CVE-2026-20182 im Catalyst SD-WAN Controller und reiht sich in eine ungewöhnlich dichte Folge schwerwiegender Cisco-Schwachstellen ein.

Praxisfolgen / Handlungsempfehlung: Patch aus dem Cisco Advisory cisco-sa-tw-auth umgehend einspielen. Wo eine sofortige Aktualisierung nicht möglich ist, die internen API-Endpunkte zusätzlich durch Netzsegmentierung und Allow-Listing absichern. Audit-Logs auf ungewöhnliche Site-Admin-Aktionen und tenant-übergreifende Konfigurationsänderungen prüfen. Detektionsregeln in SIEM und EDR auf entsprechende API-Pfade ausrichten.

3.2 Microsoft Defender CVE-2026-41091 und CVE-2026-45498: zwei Zero-Days unter aktiver Ausnutzung

21.05.2026 · Help Net Security, BleepingComputer, CISA KEV 21.05.2026

Zusammenfassung: Microsoft bestätigt zwei aktiv ausgenutzte Schwachstellen im Defender-Stack. CVE-2026-41091 (CVSS 7.8) ermöglicht über eine fehlerhafte Symlink-Auflösung in der Malware Protection Engine eine lokale Privilegieneskalation auf SYSTEM. CVE-2026-45498 (CVSS 4.0) erlaubt einen Denial-of-Service der Defender-Komponente. Eine dritte verwandte Schwachstelle (CVE-2026-45584) ermöglicht Remote-Code-Execution in der Malware Protection Engine.

Hintergrund & Einordnung: Die Lücken wurden über das Wochenende von Huntress bestätigt, das Telemetrie aus Verwaltungs- und Bildungseinrichtungen vorlegt. CISA hat beide CVEs in den KEV-Katalog aufgenommen mit Patch-Frist 3. Juni 2026 für US-Bundesbehörden – ein praktikabler Orientierungswert auch für deutsche Großorganisationen. Defender ist auf Millionen Endpunkten in Deutschland im Einsatz; Updates erfolgen üblicherweise im Stunden-Takt, nicht jedoch in Air-Gapped-Umgebungen.

Praxisfolgen / Handlungsempfehlung: Microsoft Malware Protection Engine auf 1.1.26040.8 oder neuer und die Defender Antimalware-Plattform auf 4.18.26040.7 oder neuer aktualisieren. Über Intune oder den verwendeten Endpoint-Manager den Versionsstand verbindlich prüfen und Geräte ohne Update isolieren. SIEM-Regeln auf Defender-Telemetrie schärfen (Tamper-Protection-Ereignisse, plötzliche AV-Disable-Events). In Bildungs- und Verwaltungsumgebungen Awareness-Hinweis an IT-Personal versenden.

3.3 CISA KEV-Update vom 21.05.2026: Defender, Langflow, Apex One – plus Altbestand

21.05.2026 · CISA Alert, CISA Alert 20.05.2026

Zusammenfassung: Die US-CISA hat ihren KEV-Katalog am 20. und 21. Mai um insgesamt neun Schwachstellen erweitert. Neben den beiden Defender-Lücken aus 3.2 sind das insbesondere CVE-2025-34291 (Langflow Origin Validation), CVE-2026-34926 (Trend Micro Apex One On-Prem Directory Traversal) sowie eine Reihe historischer Microsoft-Lücken (CVE-2008-4250, CVE-2009-1537, CVE-2009-3459, CVE-2010-0249, CVE-2010-0806), für die offenbar erneut aktive Ausnutzung dokumentiert wurde.

Hintergrund & Einordnung: Die Aufnahme von uralten Microsoft-Lücken zeigt, dass in noch immer betriebenen Legacy-Umgebungen weltweit Angriffe gegen IE-Use-After-Free-Schwachstellen und alte Windows-Buffer-Overflows aktiv stattfinden. Für deutsche Betreiber ist insbesondere die Langflow-Lücke relevant, weil das Tool zunehmend in AI-Engineering-Stacks eingesetzt wird; auch Trend Micro Apex One ist in vielen Mittelstandsumgebungen verbreitet.

Praxisfolgen / Handlungsempfehlung: KEV-Liste in den eigenen Patch-Reviewprozess integrieren. Langflow-Instanzen auf die fixed-Version aktualisieren, Apex One On-Prem-Server priorisiert patchen und Legacy-Windows-Systeme entweder isolieren oder kompensierende Maßnahmen wie Application-Whitelisting und virtuelles Patching einführen.

3.4 Apache HTTP Server 2.4.66: CVE-2026-23918 (HTTP/2 Double-Free) – Nachschau-Welle in deutschen Stacks

23.05.2026 · The Hacker News, UC Berkeley ISO

Zusammenfassung: Die seit 4. Mai gepatchte Schwachstelle CVE-2026-23918 in Apache HTTP Server 2.4.66 betrifft mod_http2 und entsteht im Stream-Cleanup-Pfad in h2_mplx.c. Ein einzelner HTTP/2-HEADERS-Frame gefolgt von einem RST_STREAM mit nicht-null Error-Code reicht aus, um Worker abstürzen zu lassen; abhängig vom Aufbau kann auch Remote-Code-Execution ausgelöst werden (CVSS 8.8). Patch liegt in 2.4.67 vor.

Hintergrund & Einordnung: Die Lücke ist nur ausnutzbar, wenn HTTP/2 aktiv ist – was bei Standardinstallationen mit geladenem mod_http2 jedoch der Default ist. In deutschen Hosting-Umgebungen und Web-Stacks von Mittelständlern bleibt der Patch-Rollout uneinheitlich; verschiedene Beobachter berichten weiterhin von signifikanten Anteilen unpatchter 2.4.66-Installationen.

Praxisfolgen / Handlungsempfehlung: Apache-HTTP-Server-Bestand inventarisieren, Versionsabfrage über `httpd -v` oder das Distro-Paket. Wer nicht sofort patchen kann, sollte HTTP/2 vorübergehend deaktivieren oder einen Reverse-Proxy vorschalten, der die HTTP/2-Terminierung übernimmt und vom Apache fernhält. Logs auf wiederholte RST_STREAM-Sequenzen und ungewöhnliche Worker-Crash-Muster monitoren.

3.5 Drupal Core CVE-2026-9082: SQL-Injection (PostgreSQL) jetzt in der Wildnis

22.05.2026 · Drupal Advisory SA-CORE-2026-004, The Hacker News

Zusammenfassung: Die als „highly critical“ eingestufte Schwachstelle CVE-2026-9082 in Drupal Core (Versionen 8.9.0 bis 11.3.10 vor den Bugfix-Releases vom 20. Mai) erlaubt anonymen Angreifern auf PostgreSQL-Setups eine SQL-Injection, die in Einzelfällen zu Privilegieneskalation oder Remote-Code-Execution führen kann. Drupal bestätigt am 22. Mai erste in-the-wild-Exploit-Versuche.

Hintergrund & Einordnung: Drupal ist in deutschen Behörden, Hochschulen und größeren Verbänden traditionell stark verbreitet. PostgreSQL als Backend ist in NRW und Brandenburg überdurchschnittlich vertreten; die Kombination trifft also einen relevanten Anteil öffentlicher Web-Auftritte.

Praxisfolgen / Handlungsempfehlung: Upgrade auf die fixed-Versionen 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12 oder 11.3.10 sofort einplanen. Wo das nicht binnen 48 Stunden möglich ist, Web-Application-Firewall-Regeln gegen typische SQL-Injection-Payloads aktivieren und administrative Endpunkte über IP-Allow-Listen einschränken. Anschließend forensische Suche nach unautorisierten Datenbankzugriffen.

3.6 BSI-CERT-Bund: weiteres Update zu Broadcom Automic Automation und Mozilla-Suite

22.05.2026 · BSI CERT-Bund WID, Mozilla MFSA

Zusammenfassung: Das CERT-Bund des BSI hat am 20. und 22. Mai die hochkritischen Warnungen zu Broadcom Automic Automation Agent Unix (Privilegieneskalation), Linux Kernel „Dirty Frag“ und Mozilla Firefox/Thunderbird CVE-2026-8958 (Sandbox-Escape, CVSS 8.6) aktualisiert. Die Mozilla-Fixes liegen in Firefox 151, Firefox ESR 140.11, Thunderbird 151 und Thunderbird 140.11 vor.

Hintergrund & Einordnung: Browser- und Mail-Sandboxen sind zentrale Vertrauensanker in modernen Arbeitsumgebungen; eine erfolgreiche Sandbox-Escape-Lücke kann z. B. Anti-Tampering-Schutz untergraben. Broadcom Automic Automation ist in zahlreichen DAX-Umgebungen für Batch-Job-Steuerung im Einsatz und ein lukratives Ziel.

Praxisfolgen / Handlungsempfehlung: Mozilla-Browser über das verwendete Verteilsystem zwangsupdaten, Automic-Agenten gemäß Broadcom-Bulletin patchen und Linux-Kernel-Patches in das nächste turnusmäßige Wartungsfenster aufnehmen. Wo Browser noch im ESR-Zweig laufen, sicherstellen, dass auf 140.11 angehoben wurde.

4.1 EuGH 19.03.2026 – C-526/24 (Brillen Rottler): Missbräuchliche DSGVO-Auskunftsanträge

Europäischer Gerichtshof · 19.03.2026 · C-526/24 · LTO, de lege data

Sachverhalt: Ein Verbraucher hatte über einen Dienstleister koordinierte DSGVO-Auskunftsanträge an mehrere Unternehmen gestellt mit dem erklärten Ziel, Schadensersatzansprüche vorzubereiten. Die Brillen Rottler GmbH wies den Antrag als rechtsmissbräuchlich zurück; der BGH legte dem EuGH vor.

Entscheidung: Der EuGH stellt klar, dass auch ein erster Auskunftsantrag nach Art. 15 DSGVO als „offenkundig unbegründet oder exzessiv“ abgelehnt werden kann, wenn er erkennbar nicht in gutem Glauben gestellt wird. Die Beweislast für den Missbrauch trägt der Verantwortliche.

Begründungs-Kernpunkte: Der Gerichtshof betont das Schutzzweckverständnis des Auskunftsrechts (informierte Wahrnehmung weiterer Betroffenenrechte) und grenzt es von Anträgen ab, die ausschließlich der Generierung von Sekundärrechten dienen. Maßgeblich sind eine Gesamtwürdigung der Umstände und das Verhalten des Antragstellers.

Praxisfolgen: Unternehmen können bei klar dokumentiertem Missbrauchsverdacht (z. B. identische Massentexte über professionelle Plattformen, fehlende konkrete Bezugnahme) den Antrag begründet ablehnen. Dennoch bleibt die regulatorische Vorsicht geboten: Wer ablehnt, sollte den Vorgang revisionsfest dokumentieren und auf eine standardisierte Begründung zurückgreifen, die in Aufsichtsverfahren Bestand hat.

4.2 EuGH 12.05.2026 – C-797/23 (Meta Platforms Ireland): Vergütung für Presseverlage

Europäischer Gerichtshof · 12.05.2026 · C-797/23 · CURIA, Haufe

Sachverhalt: Streitig war, ob nationale Vorschriften, die Presseverlagen einen Vergütungsanspruch gegen Online-Plattformen wie Meta einräumen, mit dem Unionsrecht vereinbar sind und wie sich solche Ansprüche zum DSGVO-Rahmen verhalten.

Entscheidung: Die Mitgliedstaaten dürfen Presseverlagen einen Vergütungsanspruch gegen Online-Plattformen einräumen. Die Vergütung muss als wirtschaftliche Gegenleistung für die Nutzungserlaubnis ausgestaltet sein; Verlage können die Erlaubnis verweigern oder unentgeltlich erteilen.

Begründungs-Kernpunkte: Der Gerichtshof grenzt urheberrechtliche Nutzungsentgelte von datenschutzrechtlichen Verarbeitungsfragen ab. Die Vergütung steht im Einklang mit Art. 15 DSM-Richtlinie und greift nicht in das DSGVO-Regime ein.

Praxisfolgen: Für deutsche Medienhäuser bestätigt das Urteil die rechtliche Tragfähigkeit von Vergütungsmodellen über Verwertungsgesellschaften. Plattform-Compliance-Abteilungen sollten ihre Lizenz- und Auskunftsstrukturen prüfen; datenschutzrechtliche Verarbeitungen für Werbung bleiben hiervon unberührt.

4.3 BGH-Linie zum immateriellen Schadensersatz wirkt in Instanzgerichten fort

Bundesgerichtshof · 13.05.2025 · VI ZR 186/22 · Dr. Datenschutz, LTO

Sachverhalt: Der BGH hat in mehreren Verfahren zu Facebook-Scraping und vergleichbaren Massen-Datenpannen die Voraussetzungen für immateriellen Schadensersatz nach Art. 82 DSGVO präzisiert. Ein konkreter Fall am LG Köln zu Gehaltsdaten und am LG Nürnberg-Fürth zu Auskunfteien greift diese Linie auf.

Entscheidung: Der bloße – auch kurzzeitige – Kontrollverlust über eigene personenbezogene Daten kann grundsätzlich einen immateriellen Schaden begründen. Erforderlich ist jedoch der Nachweis einer individuellen, spürbaren Betroffenheit.

Begründungs-Kernpunkte: Der BGH folgt der EuGH-Linie aus den Sachen Österreichische Post und VB v Natsionalna agentsia za prihodite, lehnt eine Erheblichkeitsschwelle ab, verlangt aber individuelle Darlegung. Eine pauschale Vermutung „Datenpanne = Schaden“ gibt es nicht.

Praxisfolgen: Unternehmen sollten bei Datenpannen Betroffene zeitnah informieren und konkrete Hilfsangebote machen (Passwortwechsel, Hinweise auf Phishing, ggf. Kreditbewertung), um spürbare Folgen zu verringern. Wer Schadensersatz erwägt, sollte konkrete Folgen wie Spam-Wellen, Identitätsdiebstahlversuche oder psychische Belastung dokumentieren.

4.4 KG Berlin 30.04.2026 – 20 VKl 1/25: DSGVO-Sammelklage SOMI ./. X unzulässig

Kammergericht Berlin · 30.04.2026 · 20 VKl 1/25 · beck-aktuell

Sachverhalt: Die qualifizierte Einrichtung SOMI hatte eine Sammelklage gegen die Plattform X auf Grundlage der DSGVO-Verbandsklage-Vorschriften erhoben. Streitig war u. a. die Reichweite der Aktivlegitimation und die Anforderungen an die individuelle Betroffenheit der vertretenen Personen.

Entscheidung: Das KG Berlin hält die Klage für unzulässig. Die Anforderungen an die qualifizierte Einrichtung und an die Bündelung gleichgerichteter Ansprüche seien nicht erfüllt.

Begründungs-Kernpunkte: Das Gericht betont die strengen Anforderungen an die Sammelklage nach VDuG und differenziert sorgfältig zwischen DSGVO-Auskunftsrechten und Schadensersatzansprüchen. Die Entscheidung wird in der Literatur als signifikante Bremse für DSGVO-Massenverfahren bewertet.

Praxisfolgen: Unternehmen, die sich Massenverfahren gegenübersehen, erhalten eine zusätzliche prozessuale Verteidigungsschiene. Verbraucherorganisationen werden ihre Klagestruktur überarbeiten müssen, um in Folgeverfahren bestehen zu können.

5.1 BfDI-Bußgeld Vodafone: 45 Mio. Euro – Bestätigung im 34. Tätigkeitsbericht

06.05.2026 (Bericht) · Dr. Datenschutz – 34. Tätigkeitsbericht

Behörde: BfDI · Adressat: Vodafone GmbH · Höhe: 45 Mio. EUR (15 Mio. + 30 Mio.)

Verstoß / Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeiterkontrolle) und Art. 32 DSGVO (Sicherheit der Verarbeitung). Konkret: mangelhafte Aufsicht über Auftragsverarbeiter und unzureichend abgesicherter eSIM-Authentifizierungsprozess im Kundenportal MeinVodafone.

Begründung: Die BfDI sieht in der mangelnden tatsächlichen Aufsicht über Auftragsverarbeiter sowie in fehlenden technisch-organisatorischen Maßnahmen für sicherheitskritische Self-Service-Funktionen schwerwiegende, vermeidbare Versäumnisse. Vodafone hat im Verfahren kooperiert und Verbesserungen zugesagt.

Praxisfolgen: Unternehmen mit großem Auftragsverarbeiter-Portfolio sollten ihre Kontrollprozesse über Self-Assessments hinaus auf stichprobenartige technische Audits ausweiten. Self-Service-Funktionen für sensible Vorgänge (eSIM, Adressänderung, Bankdaten) müssen zwingend mehrstufig abgesichert sein.

5.2 Yango: 100 Mio. Euro wegen Datentransfers nach Russland

18.05.2026 · Bußgeld-Radar Datenschutzkanzlei

Behörde: finnische Datenschutzbehörde (für die EU koordiniert) · Adressat: Yango (Yandex-Mobilitätsdienste) · Höhe: 100 Mio. EUR

Verstoß / Rechtsgrundlage: Art. 44 ff. DSGVO (Drittlandtransfer); Verstoß gegen die Anforderungen an Datentransfers in Drittländer ohne adäquates Schutzniveau, konkret in die Russische Föderation.

Begründung: Die Aufsichtsbehörde sieht die Übermittlung umfangreicher Standort- und Mobilitätsdaten nach Russland ohne tragfähige Rechtsgrundlage. Standardvertragsklauseln und Transfer Impact Assessments wurden als unzureichend bewertet.

Praxisfolgen: Verantwortliche mit Tochtergesellschaften oder Dienstleistern in Drittländern ohne Angemessenheitsbeschluss sollten Transfer Impact Assessments mit Blick auf neueste Lageeinschätzungen aktualisieren. Mobilitäts- und IoT-Diensteanbieter geraten besonders in den Fokus, weil sie kontinuierlich hochfrequente Geodaten verarbeiten.

5.3 BlnBDI verwarnt BVG wegen Datenpanne beim Auftragsverarbeiter

06.05.2026 · BlnBDI

Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit · Adressat: Berliner Verkehrsbetriebe AöR · Höhe: Verwarnung (kein Bußgeld)

Verstoß / Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung) und Art. 33 DSGVO (Meldepflicht). Die BVG hatte sich beim Dienstleister auf vertragliche Zusicherungen verlassen, ohne die tatsächliche Datenlöschung zu prüfen; die Meldung an die Aufsichtsbehörde erfolgte verspätet.

Begründung: Die Aufsicht wertet das Verhalten als systematisches Defizit in der Auftragsverarbeiter-Kontrolle, sieht aber Kooperationsbereitschaft und entscheidet sich für eine Verwarnung mit Auflagen.

Praxisfolgen: Kommunale und ÖPNV-Verantwortliche sollten ihre Lösch-Nachweise vertraglich verbindlich, technisch überprüfbar und mit Stichproben unterlegt einfordern. Die Verwarnung dient als Blaupause auch für andere Verkehrs- und Versorgungsbetriebe.

6.1 Phishing-Welle „Rundfunkbeitrag“: IBAN führt nach Spanien

23.05.2026 · Berliner Zeitung, Verbraucherzentrale Phishing-Radar

Zusammenfassung: Seit dem 11. Mai zirkulieren E-Mails im Layout offizieller Bescheide des Beitragsservice. Empfänger werden zur Überweisung eines vermeintlich offenen Betrags aufgefordert; die genannte IBAN führt zu einer Niederlassung einer spanischen Bank in Deutschland und nicht zum Beitragsservice.

Hintergrund & Einordnung: Die Welle reiht sich in das Muster der „Authority-Spoofing“-Kampagnen ein, die mit echten Behördennamen Druck aufbauen. Die in den E-Mails angegebenen IBANs werden binnen Stunden ausgetauscht, weshalb Blockierungen einzelner Konten nur kurzfristig greifen.

Praxisfolgen / Handlungsempfehlung: Hinweise in interne Awareness-Kanäle aufnehmen, betroffene Mitarbeitende auf die Online-Authentizitätsprüfung des Beitragsservice verweisen und in der Cybercrime-Prävention den klaren Hinweis kommunizieren, dass öffentliche Stellen Zahlungsaufforderungen postalisch versenden und niemals Instant-Überweisungen verlangen.

6.2 Phishing „Deutschlandticket“ und „Deutsche Rentenversicherung“

22.05.2026 · Verbraucherzentrale, ms-aktuell.de

Zusammenfassung: Zwei weitere Wellen kursieren parallel: eine Mail mit dem Betreff „Letzte Zahlungsaufforderung: Deutschland Ticket“ und eine Variante im Namen der Deutschen Rentenversicherung. Beide Wellen drängen auf Sofort-Überweisungen oder Direktzahlung über externe Links.

Hintergrund & Einordnung: Die Kampagnen nutzen reale Touchpoints aus dem Alltag vieler Bürgerinnen und Bürger (ÖPNV-Abo, Rentenbescheide) und sind professionell übersetzt. Sie folgen der gleichen Infrastruktur wie die GEZ-Variante.

Praxisfolgen / Handlungsempfehlung: In Awareness-Kampagnen Beispiele beider Wellen zeigen, Phishing-Reporting-Knöpfe in Outlook/M365 sicher konfigurieren und Beschäftigten verdeutlichen, dass weder die Verkehrsverbünde noch die Rentenversicherung Zahlungen per Instant-Überweisung über E-Mail-Links abwickeln.

6.3 BKA-Bundeslagebild Cybercrime 2025: 335.000 Fälle, 202 Mrd. Euro Schaden

12.05.2026 · BKA Pressemitteilung

Zusammenfassung: Das BKA hat das Bundeslagebild Cybercrime 2025 vorgelegt: 335.000 polizeilich erfasste Fälle, geschätzte Schadenshöhe rund 202 Mrd. Euro. Auslandsfälle und Ransomware-Vorfälle dominieren erneut; die Aufklärungsquote bleibt im einstelligen Prozentbereich.

Hintergrund & Einordnung: Das Lagebild bestätigt die Wahrnehmung der CISOs, dass die Bedrohung in den vergangenen Jahren professionalisierter und arbeitsteiliger geworden ist. Phishing, ID-Theft und Initial-Access-Brokerage bilden zusammen einen klar ausdifferenzierten Markt.

Praxisfolgen / Handlungsempfehlung: CISOs sollten die im Lagebild benannten Top-Tätergruppen mit den eigenen Threat-Profilen abgleichen und das Reporting an Geschäftsführungen mit den BKA-Kennzahlen anreichern. Auch im NIS-2-Kontext liefert das Lagebild verwendbare Begründungen für Investitionsentscheidungen.

6.4 „Fox Tempest“-Operation: Microsoft zerschlägt Malware-Signing-Service

19.05.2026 (zuletzt aktualisiert 23.05.) · Microsoft Security

Zusammenfassung: Microsoft Threat Intelligence hat gemeinsam mit Strafverfolgungsbehörden den Malware-Signing-Service „Fox Tempest“ (intern OpFauxSign) unterbrochen. Der Dienst hatte Angreifern auf Bestellung gültige Code-Signing-Zertifikate zur Tarnung ihrer Schadsoftware angeboten.

Hintergrund & Einordnung: Die Verfügbarkeit signierter Schadsoftware verkürzt die Detektionsgeschwindigkeit erheblich, weil sie in vielen EDR- und Application-Control-Regeln zunächst durchgewinkt wird. Die Aktion verbessert die Lage spürbar, ersetzt aber kein Application-Whitelisting.

Praxisfolgen / Handlungsempfehlung: In der eigenen Code-Signing-Allowlist überprüfen, ob fragwürdige Aussteller in den vergangenen Monaten aufgetaucht sind. EDR-Regeln um die von Microsoft veröffentlichten Indikatoren erweitern und die Telemetrie auf neu signierte, aber selten vorkommende Binärdateien anpassen.