1. Cisco Catalyst SD-WAN Controller: Authentifizierungs-Umgehung (CVSS 10.0) aktiv ausgenutzt

Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Dienstag, 2. Juni 2026 · Score 95

Cisco bestätigt die aktive Ausnutzung von CVE-2026-20182 im Catalyst SD-WAN Controller (vormals vSmart) und im SD-WAN Manager (vormals vManage). Eine Schwäche der Peering-Authentifizierung über DTLS (UDP 12346) erlaubt nicht authentifizierten Angreifern administrativen Zugriff aus dem Netz; die Lücke ist mit CVSS 10.0 maximal kritisch und steht im CISA-KEV-Katalog.

Letzte Entwicklung: Die in Europa beobachteten Scan-Wellen halten an, und Sicherheitsforscher konkretisieren das eingesetzte Angriffs-Tooling. Betreiber sollten exponierte Management-Ebenen weiterhin als kompromittiert behandeln, bis Patch-Stand und Integrität verifiziert sind.

2. LiteSpeed cPanel-Plugin CVE-2026-48172 (CVSS 10.0): Root-Eskalation aktiv ausgenutzt

Seit Donnerstag, 28. Mai 2026 · zuletzt aktualisiert Dienstag, 2. Juni 2026 · Score 90

Über die Funktion lsws.redisAble im LiteSpeed-User-End-cPanel-Plugin lassen sich beliebige Skripte mit Root-Rechten ausführen. CISA hatte die Lücke am 26.05. in den KEV-Katalog aufgenommen und Bundesbehörden eine sehr kurze Patch-Frist gesetzt. Betroffen sind die Versionen 2.3 bis 2.4.4; behoben ist sie im cPanel-Plugin 2.4.7 sowie im WHM-Plugin 5.3.1.0.

Letzte Entwicklung: Die KEV-Frist ist abgelaufen, die Massenausnutzung gegen Hosting-Umgebungen hält an, teils mit nachgelagerter Ransomware. Hosting-Anbieter sollten betroffene Knoten priorisiert patchen und auf eingeschleuste Skripte prüfen.

3. Microsoft Defender CVE-2026-41091: aktiv ausgenutzte SYSTEM-Privilegieneskalation

Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Dienstag, 2. Juni 2026 · Score 90

In der Malware Protection Engine ermöglicht eine fehlerhafte Symlink-Auflösung lokale Privilegieneskalation auf SYSTEM. Microsoft bestätigt die aktive Ausnutzung; CISA hat die Schwachstelle in den KEV-Katalog aufgenommen.

Letzte Entwicklung: Die KEV-Umsetzungsfrist endet am 3. Juni 2026. Da die Engine automatisch verteilt wird, sollten Administratoren die Versionsstände der Antimalware-Plattform aktiv verifizieren, statt sich allein auf das automatische Update zu verlassen.

4. Palo Alto PAN-OS GlobalProtect CVE-2026-0257: Authentifizierungs-Umgehung aktiv ausgenutzt

Seit Sonntag, 31. Mai 2026 · zuletzt aktualisiert Dienstag, 2. Juni 2026 · Score 90

Palo Alto Networks und CISA bestätigen die aktive Ausnutzung einer Authentifizierungs-Umgehung in Portal und Gateway von GlobalProtect. Bei aktivierten Authentication-Override-Cookies können Angreifer eine unautorisierte VPN-Verbindung aufbauen. Erste Ausnutzung wurde am 18.05. beobachtet, eine zweite Welle am 21.05.

Letzte Entwicklung: Die KEV-Aufnahme erfolgte mit kurzer Umsetzungsfrist Anfang Juni; Rapid7 beobachtet die Verwendung gefälschter VPN-Cookies bei mehreren Kunden. Betroffene Konfigurationen sind dringend zu härten und auf unautorisierte Sitzungen zu prüfen.

5. unimed-Datenpanne: über 120.000 Patientendaten der Universitätskliniken kompromittiert

Seit Mittwoch, 21. Mai 2026 · zuletzt aktualisiert Dienstag, 2. Juni 2026 · Score 88

Beim Abrechnungsdienstleister unimed in Wadern wurden Daten von inzwischen mehr als 120.000 Patientinnen und Patienten mehrerer Universitätskliniken entwendet, in rund 1.500 Fällen einschließlich Diagnoseinhalten. Betroffen sind vor allem Privatversicherte und Wahlleistungspatienten; die Klinik-IT selbst war nicht betroffen.

Letzte Entwicklung: Zwölf Häuser melden Fälle, die Gesamtzahl ist weiter gestiegen. Betroffene sollten mit gezielten Folgebetrugsversuchen rechnen; die Kliniken und der Dienstleister informieren fortlaufend.

1.1 Orientierungshilfe zu KI in Medizinprodukten veröffentlicht

07.05.2026 · BfDI-Kurzmeldung · Dr. Datenschutz

Zusammenfassung: Die Bundesnetzagentur, das Hessische Ministerium für Digitalisierung und Innovation sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit haben eine gemeinsame Orientierungshilfe für den Einsatz von Künstlicher Intelligenz in Medizinprodukten veröffentlicht. Die Roadmap erläutert das Zusammenspiel der europäischen KI-Verordnung mit den bestehenden Anforderungen des Medizinprodukterechts. Sie soll Herstellern und Anwendern mehr Rechtssicherheit bei Entwicklung und Einsatz KI-basierter Medizinprodukte verschaffen.

Hintergrund & Einordnung: Medizinprodukte mit KI-Komponenten unterliegen künftig gleich mehreren Regelwerken, die sich teils überlagern: der KI-Verordnung, dem Medizinprodukterecht und der DSGVO. Die Orientierungshilfe ordnet diese Pflichten und adressiert insbesondere Hochrisiko-Anwendungen, Konformitätsbewertung und Datenschutz-Folgenabschätzung. Sie reiht sich in eine Serie behördlicher Hilfestellungen ein, mit denen Aufsichtsstellen die praktische Umsetzung der KI-Verordnung begleiten.

Praxisfolgen / Handlungsempfehlung: Hersteller und Betreiber KI-gestützter Medizinprodukte sollten ihre Governance-Strukturen, Risikoklassifizierung und Datenschutz-Folgenabschätzungen frühzeitig an der Orientierungshilfe ausrichten. Insbesondere die Verzahnung von Konformitätsbewertung nach Medizinprodukterecht und Datenschutzanforderungen sollte dokumentiert werden. Wer KI-Funktionen einkauft, sollte die Verantwortlichkeiten entlang der Lieferkette vertraglich klarstellen.

1.2 Referentenentwurf für ein Gesetz für Daten und digitale Innovation im Gesundheitswesen (GeDIG)

06.05.2026 · Referentenentwurf BMG · Dr. Datenschutz

Zusammenfassung: Das Bundesministerium für Gesundheit hat einen Referentenentwurf für das GeDIG vorgelegt. Vorgesehen sind insbesondere Regelungen zur Weiterentwicklung der elektronischen Patientenakte und der Telematikinfrastruktur, digitale Angebote im Primärversorgungssystem sowie strengere Vorgaben für die sichere Datenübermittlung im Gesundheitswesen. Zugleich sollen die Nutzungsmöglichkeiten von Gesundheitsdaten für Forschung und Versorgung erweitert werden.

Hintergrund & Einordnung: Der Entwurf steht in der Tradition der jüngeren Digitalisierungsgesetze im Gesundheitswesen und versucht, den Spagat zwischen breiterer Datennutzung und höheren Sicherheitsanforderungen zu bewältigen. Gerade die jüngsten Vorfälle bei Abrechnungs- und IT-Dienstleistern verdeutlichen, dass sichere Datenübermittlung im Gesundheitssektor kein abstraktes Ziel ist. Der Referentenentwurf durchläuft nun die Verbände- und Ressortabstimmung und kann sich noch ändern.

Praxisfolgen / Handlungsempfehlung: Einrichtungen und Dienstleister im Gesundheitswesen sollten den Entwurf frühzeitig auswerten und mögliche Auswirkungen auf ihre Übermittlungs- und Speicherprozesse einschätzen. Wer Daten für Forschungszwecke nutzt, sollte die geplanten Erweiterungen und die damit verbundenen Pflichten im Blick behalten. Eine Beteiligung an der Verbändeanhörung kann sinnvoll sein, um praxisferne Anforderungen frühzeitig zu adressieren.

1.3 EDSB-Jahresbericht 2025: KI-Aufsicht und internationale Datentransfers im Fokus

07.05.2026 · EDPS Annual Report 2025 · Dr. Datenschutz

Zusammenfassung: Der Europäische Datenschutzbeauftragte (EDSB) hat seinen Jahresbericht 2025 vorgelegt und legt darin einen Schwerpunkt auf die wachsende Bedeutung von Künstlicher Intelligenz, Cloud-Diensten und internationalen Datentransfers. Mit einer Rekordzahl an legislativen Konsultationen unterstreicht er seine Rolle als Frühwarnsystem für digitale Grundrechtsrisiken. Zugleich baut er seine Funktion als KI-Aufsichtsinstanz aus, etwa durch eine eigene AI-Unit, KI-Sandkästen und Leitlinien zu generativer KI.

Hintergrund & Einordnung: Der Bericht ist ein Stimmungsbild der europäischen Aufsichtsprioritäten und ergänzt die nationale Perspektive der deutschen Behörden. Er signalisiert, dass KI-Anwendungen, Transfermechanismen sowie Cloud- und Plattformdienste verstärkt in den Fokus der Aufsicht rücken. Damit fügt er sich in den größeren Trend ein, datenschutzrechtliche Anforderungen und KI-Regulierung enger zu verzahnen.

Praxisfolgen / Handlungsempfehlung: Unternehmen mit EU-Bezug sollten ihre KI-Governance, Datenschutz-Folgenabschätzungen und Transfermechanismen frühzeitig überprüfen und an die steigenden Anforderungen anpassen. Wer auf Cloud- und Plattformdienste setzt, sollte die Rollen der Beteiligten und die Datentransfer-Kette sauber dokumentieren. Der Bericht eignet sich als Argumentationsgrundlage gegenüber der Geschäftsleitung für Investitionen in Datenschutz-Compliance.

1.4 ShinyHunters: Großvolumige Datenleaks bei Carnival und Charter

25.–27.05.2026 · Security Affairs (Carnival) · Security Affairs (Charter)

Zusammenfassung: Bei Carnival Corporation wurden rund sechs Millionen Datensätze von Mitgliedern des Treueprogramms „Mariner Society“ offengelegt, bei Charter Communications wird von rund 42 Millionen betroffenen Datensätzen berichtet. In beiden Fällen wird die Erpresser- und Leak-Gruppe ShinyHunters mit der Veröffentlichung in Verbindung gebracht. Die offengelegten Daten umfassen je nach Fall Namen, Kontaktdaten und weitere kundenbezogene Informationen.

Hintergrund & Einordnung: ShinyHunters tritt seit Jahren als Akteur im Datenhandel und bei Erpressungskampagnen in Erscheinung und nutzt häufig kompromittierte Zugänge zu Cloud- oder CRM-Systemen. Auch wenn die betroffenen Unternehmen vorrangig in Nordamerika tätig sind, betrifft das Muster mittelbar auch europäische Kundinnen und Kunden sowie Tochtergesellschaften. Die Vorfälle zeigen, wie schnell große personenbezogene Datenbestände in den kriminellen Umlauf geraten.

Praxisfolgen / Handlungsempfehlung: Unternehmen sollten den Zugriff auf große Kundendatenbestände konsequent über Multi-Faktor-Authentifizierung, Zugriffsbeschränkungen und Anomalieerkennung absichern. Betroffene Personen sollten mit gezieltem Folgebetrug rechnen und sensibel auf unaufgeforderte Kontaktaufnahmen reagieren. Für europäische Verantwortliche ist zu prüfen, ob und in welchem Umfang Meldepflichten nach Art. 33/34 DSGVO greifen.

2.1 CIFSwitch (CVE-2026-46243): 19 Jahre alte lokale Root-Eskalation im Linux-CIFS-Umfeld

30.05.–01.06.2026 · BleepingComputer · SecurityWeek · Security Affairs

Zusammenfassung: Unter dem Namen CIFSwitch wurde eine lokale Privilegieneskalation im CIFS-Umfeld des Linux-Kernels bekannt, die unprivilegierten lokalen Nutzern Root-Rechte verschaffen kann. Der root-privilegierte Helper cifs.upcall vertraut dabei angreiferkontrollierten Feldern, die er als kernel-generiert annimmt. Durch erzwungenen Namespace-Wechsel und eine NSS-Auflösung vor dem Privilegienabbau lässt sich ein bösartiges NSS-Modul laden und Root-Code ausführen. Der kernelseitige Fehler erhielt am 1. Juni die Kennung CVE-2026-46243.

Hintergrund & Einordnung: Die Schwachstelle wurde von einem Sicherheitsingenieur mithilfe eines KI-gestützten Analyse-Frameworks aufgespürt, das privilegierte Kernel-Konsumenten und manipulierbare Vertrauensbeziehungen kartiert. Sie existiert seit rund 19 Jahren und betrifft zahlreiche verbreitete Distributionen, darunter CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, SLES 15, Kali Linux und Linux Mint. Ein Proof-of-Concept ist verfügbar; der Fix ergänzt eine Validierung des Ursprungs von cifs.spnego-Anfragen (Upstream-Commit 3da1fdf).

Praxisfolgen / Handlungsempfehlung: Administratoren sollten prüfen, welche Kernel-Version ihrer Distribution den Patch enthält, und diesen priorisiert einspielen, da die ausgelieferten Versionsstände variieren. Auf Systemen mit vielen lokalen Nutzerkonten – etwa Jump-Hosts, Build-Servern oder Multi-User-Umgebungen – ist das Risiko besonders hoch. Übergangsweise sollten lokaler Zugriff und die Nutzung von cifs.upcall eingeschränkt sowie verdächtige NSS-Modulladevorgänge überwacht werden.

2.2 Lieferketten-Kampagne „Megalodon“: Nx Console und kompromittierte Repositorys

28.05.2026 · CISA-Advisory · Security Affairs

Zusammenfassung: CISA hat Schwachstellen rund um Nx Console und weitere Entwickler-Werkzeuge in den KEV-Katalog aufgenommen. Im Umfeld der „Megalodon“-Kampagne wurden tausende Code-Repositorys kompromittiert und binnen weniger Stunden zahlreiche schadhafte Code-Änderungen eingeschleust. Ziel sind Entwicklungsumgebungen, über die sich Schadcode in nachgelagerte Projekte verteilen lässt.

Hintergrund & Einordnung: Angriffe auf die Software-Lieferkette zielen auf den Vertrauensvorschuss, den Entwicklerinnen und Entwickler Paketen, Erweiterungen und Build-Tools entgegenbringen. Eine einzelne kompromittierte Erweiterung oder ein manipuliertes Paket kann sich über CI/CD-Pipelines schnell in viele Produkte fortpflanzen. Die KEV-Aufnahme dokumentiert, dass die zugrundeliegenden Lücken nicht nur theoretisch, sondern in der Praxis ausgenutzt werden.

Praxisfolgen / Handlungsempfehlung: Entwicklungsteams sollten Editor-Erweiterungen und Build-Tools inventarisieren, betroffene Komponenten aktualisieren und Pipeline-Zugänge mit minimalen Rechten ausstatten. Geheimnisse und Tokens, die in betroffenen Umgebungen exponiert gewesen sein könnten, sind zu rotieren. Code-Integritätsprüfungen, Signaturen und ein wachsames Monitoring auf ungewöhnliche Commits reduzieren das Risiko unbemerkter Manipulationen.

2.3 Microsoft Edge: Passwörter landen als Klartext im Arbeitsspeicher

31.05.2026 · heise online

Zusammenfassung: Nach einem Bericht von heise online können in Microsoft Edge gespeicherte oder eingegebene Passwörter unter bestimmten Umständen als Klartext im Arbeitsspeicher verbleiben. Angreifer mit lokalem Zugriff oder passender Schadsoftware könnten diese Inhalte auslesen. Das Problem betrifft den Umgang des Browsers mit sensiblen Eingaben im Speicher.

Hintergrund & Einordnung: Klartext-Reste im Speicher sind ein wiederkehrendes Problem vieler Anwendungen und besonders kritisch in Kombination mit lokaler Privilegieneskalation, wie sie heute mit CIFSwitch erneut Thema ist. Wer lokalen Code ausführen kann, gelangt damit potenziell an Zugangsdaten weiterer Dienste. Der Befund unterstreicht, dass Browser-Passwortspeicher kein Ersatz für einen dedizierten Passwortmanager mit härterer Speicherbehandlung sind.

Praxisfolgen / Handlungsempfehlung: Organisationen sollten die Nutzung des Browser-internen Passwortspeichers für hochsensible Zugänge kritisch bewerten und stattdessen geprüfte Passwortmanager einsetzen. Endgeräte sind durch aktuelle Patches, Festplattenverschlüsselung und Endpoint-Schutz abzusichern, um lokalen Zugriff zu erschweren. Mehrfaktor-Authentifizierung begrenzt den Schaden, falls einzelne Passwörter abfließen.

3.1 Cisco Catalyst SD-WAN CVE-2026-20182 (CVSS 10.0)

31.05.2026 · Cisco Security Advisory · The Hacker News

Zusammenfassung: Die maximal kritische Lücke CVE-2026-20182 in der Peering-Authentifizierung des Cisco Catalyst SD-WAN Controllers erlaubt nicht authentifizierten Angreifern administrativen Zugriff über DTLS (UDP 12346). Cisco bestätigt die aktive Ausnutzung, CISA hat die Schwachstelle in den KEV-Katalog aufgenommen. Betroffen sind die zentralen Steuerungskomponenten vSmart/vManage in nicht gepatchten Versionsständen.

Hintergrund & Einordnung: Die Control-Plane eines SD-WAN steuert Routing- und Policy-Entscheidungen über alle angebundenen Standorte hinweg; eine Übernahme dieser Ebene ermöglicht weitreichende Manipulationen. In Europa halten Scan-Wellen an, und Sicherheitsforscher konkretisieren das eingesetzte Angriffs-Tooling. Die Kombination aus CVSS 10.0, Netzwerk-Erreichbarkeit und bestätigter Ausnutzung macht die Lücke zu einem Top-Risiko für KRITIS- und Großunternehmensnetze.

Praxisfolgen / Handlungsempfehlung: Betreiber sollten die von Cisco bereitgestellten Updates umgehend einspielen und den Management-Zugang strikt segmentieren sowie aus dem öffentlichen Netz herausnehmen. Bis Patch-Stand und Integrität verifiziert sind, sind exponierte Controller als potenziell kompromittiert zu behandeln. Logs auf unautorisierte administrative Zugriffe und Konfigurationsänderungen sind auszuwerten.

3.2 Palo Alto PAN-OS GlobalProtect CVE-2026-0257

31.05.2026 · Palo Alto Security Advisory · BleepingComputer · Rapid7

Zusammenfassung: Eine Authentifizierungs-Umgehung in Portal und Gateway von GlobalProtect erlaubt bei aktivierten Authentication-Override-Cookies den Aufbau einer unautorisierten VPN-Verbindung. Palo Alto Networks und CISA bestätigen die aktive Ausnutzung; erste Vorfälle wurden am 18.05. beobachtet, eine zweite Welle am 21.05. Rapid7 berichtet von gefälschten VPN-Cookies bei mehreren Kunden.

Hintergrund & Einordnung: VPN-Gateways sind ein bevorzugtes Ziel, weil sie per Definition aus dem Internet erreichbar sind und einen Einstieg ins interne Netz bieten. Die Ausnutzung über gefälschte Cookies erfordert keine gültigen Zugangsdaten und ist daher schwer über klassische Anmeldekontrollen zu erkennen. Die KEV-Aufnahme mit kurzer Frist Anfang Juni signalisiert die Dringlichkeit.

Praxisfolgen / Handlungsempfehlung: Betroffene Konfigurationen sollten umgehend gepatcht und Authentication-Override-Cookies, soweit nicht zwingend nötig, deaktiviert werden. Bestehende VPN-Sitzungen sind auf unautorisierte Verbindungen zu prüfen, Sitzungs-Tokens gegebenenfalls zu invalidieren. Eine zusätzliche Absicherung durch geräte- oder zertifikatsbasierte Authentifizierung erhöht die Hürde für Angreifer.

3.3 Microsoft Defender CVE-2026-41091 – KEV-Frist endet am 3. Juni

21.05.2026 · CISA-Alert · BleepingComputer

Zusammenfassung: In der Malware Protection Engine von Microsoft Defender ermöglicht eine fehlerhafte Symlink-Auflösung eine lokale Privilegieneskalation auf SYSTEM (CVE-2026-41091). Microsoft bestätigt die aktive Ausnutzung; die CISA-KEV-Umsetzungsfrist endet am 3. Juni 2026. Die Engine wird üblicherweise automatisch über die Antimalware-Plattform verteilt.

Hintergrund & Einordnung: Da Defender auf nahezu allen Windows-Systemen aktiv ist, hat die Lücke eine enorme Reichweite. Eine lokale Eskalation auf SYSTEM ist ein typischer Baustein in Angriffsketten, um nach dem ersten Zugriff vollständige Kontrolle über ein Endgerät zu erlangen. Auch wenn die Auslieferung der korrigierten Engine automatisiert erfolgt, gibt es in der Praxis häufig Geräte, die das Update verzögert oder gar nicht erhalten.

Praxisfolgen / Handlungsempfehlung: Administratoren sollten den Versionsstand der Antimalware-Plattform und der Malware Protection Engine flächendeckend verifizieren, statt sich allein auf das automatische Update zu verlassen. Geräte mit veraltetem Stand sind gezielt nachzuziehen. Die KEV-Frist am 3. Juni sollte als verbindlicher interner Stichtag behandelt werden.

3.4 LiteSpeed cPanel-Plugin CVE-2026-48172 (CVSS 10.0)

27.05.2026 · CISA-Alert · BleepingComputer

Zusammenfassung: Über die Funktion lsws.redisAble im LiteSpeed-User-End-cPanel-Plugin lassen sich beliebige Skripte mit Root-Rechten ausführen. CISA hat die Lücke am 26.05. in den KEV-Katalog aufgenommen und Bundesbehörden eine viertägige Patch-Frist gesetzt. Betroffen sind die Versionen 2.3 bis 2.4.4; behoben ist sie im cPanel-Plugin 2.4.7 sowie im WHM-Plugin 5.3.1.0.

Hintergrund & Einordnung: cPanel/WHM ist in der Hosting-Branche weit verbreitet, weshalb eine Root-Eskalation hier viele geteilte Hosting-Umgebungen gleichzeitig gefährdet. Die Massenausnutzung hält an, teils mit nachgelagerter Ransomware. Die sehr kurze KEV-Frist verdeutlicht, dass CISA von einer akuten, breit angelegten Bedrohung ausgeht.

Praxisfolgen / Handlungsempfehlung: Hosting-Anbieter und Betreiber eigener cPanel/WHM-Server sollten die betroffenen Plugins unverzüglich auf die korrigierten Versionen aktualisieren. Systeme sind auf eingeschleuste Skripte, neu angelegte Konten und ungewöhnliche Cronjobs zu prüfen. Bei Anzeichen einer Kompromittierung ist eine forensische Untersuchung vor der Wiederinbetriebnahme angeraten.

4.1 VG Berlin: Auskunftspflicht einer Partei zu personalisierter Wahlwerbung

Verwaltungsgericht Berlin · 11.03.2026 · Az. 42 K 13/25 · Urteil (gesetze.berlin.de) · Dr. Datenschutz

Sachverhalt: Die Berliner Datenschutzaufsicht hatte von einer Partei Auskunft über personalisierte Werbemaßnahmen in sozialen Medien während des Bundestagswahlkampfs 2021 verlangt. Die Partei wandte sich gegen die Anordnung. Streitig war, ob und in welchem Umfang die Aufsicht Informationen zu geschalteten Anzeigen, deren Reichweiten und den verwendeten Zielgruppenmerkmalen anfordern darf.

Entscheidung: Das Verwaltungsgericht Berlin entschied, dass die Partei der Datenschutzaufsicht die verlangte Auskunft erteilen muss. Die Aufsicht sei berechtigt, im Rahmen ihrer Untersuchungen zu datenschutzrechtlich relevanten Targeting-Praktiken auch Informationen zu weiteren Anzeigen, Reichweiten und Zielgruppenmerkmalen anzufordern.

Begründungs-Kernpunkte: Nach Auffassung des Gerichts stellt das Auskunftsverlangen keinen unzulässigen Eingriff in die Parteienfreiheit dar. Die datenschutzrechtliche Aufsicht über personalisierte Werbung erstrecke sich auch auf den politischen Raum. Die geforderten Informationen seien zur Erfüllung der Aufsichtsaufgaben erforderlich und verhältnismäßig.

Praxisfolgen: Organisationen, die personalisierte Werbung in sozialen Medien schalten, müssen damit rechnen, gegenüber der Aufsicht detailliert über Targeting-Kriterien, Reichweiten und Anzeigenhistorie Auskunft geben zu müssen. Eine saubere Dokumentation der eingesetzten Zielgruppenmerkmale und Rechtsgrundlagen wird damit zur Pflichtaufgabe. Die Entscheidung stärkt die Durchsetzungsbefugnisse der Datenschutzbehörden im Bereich Microtargeting.

4.2 BVerwG: Grenzen der Auswertung von Gesundheitsdaten für Vorsorgeprogramme

Bundesverwaltungsgericht · 06.03.2026 · Az. 6 C 7.24 · BVerwG-Entscheidung · Dr. Datenschutz

Sachverhalt: Eine private Krankenversicherung hatte Gesundheitsdaten ihrer Versicherten ausgewertet, um geeignete Teilnehmer für Vorsorgeprogramme auszuwählen. Streitig war, ob diese Auswertung auf einer ausreichenden datenschutzrechtlichen Grundlage erfolgte und ob die Betroffenen hinreichend informiert wurden.

Entscheidung: Das Bundesverwaltungsgericht entschied, dass die Versicherung die Gesundheitsdaten nicht ohne ausreichende Rechtsgrundlage und ohne hinreichende Information der Betroffenen für diesen Zweck auswerten durfte. Zwar könne die Verarbeitung von Gesundheitsdaten grundsätzlich zulässig sein, hier fehlte es jedoch an den Voraussetzungen.

Begründungs-Kernpunkte: Das Gericht stellte klar, dass auch bei möglicher Zweckvereinbarkeit weiterhin eine eigenständige Rechtsgrundlage für die Verarbeitung erforderlich bleibt. Zudem seien die Betroffenen nicht ausreichend über die Datenverarbeitung informiert worden, womit zentrale Transparenzpflichten verletzt wurden. Die bloße Nützlichkeit eines Vorsorgeprogramms rechtfertige die Verarbeitung sensibler Daten nicht.

Praxisfolgen: Versicherer und andere Verantwortliche, die sensible Gesundheitsdaten auswerten, müssen für jeden Verarbeitungszweck eine eigene tragfähige Rechtsgrundlage nachweisen und die Betroffenen vollständig und nachweisbar informieren. Die Entscheidung erhöht den Dokumentations- und Transparenzaufwand bei datengetriebenen Gesundheitsangeboten. Eine Zweckänderung allein ersetzt keine eigenständige Erlaubnisnorm.

4.3 Kammergericht Berlin: Sorgfaltspflichten beim KI-Einsatz – Rüge wegen halluzinierter Entscheidung

Kammergericht Berlin · Az. 17 WF 144/25 · heise online

Sachverhalt: In einem familienrechtlichen Verfahren hatte eine Kanzlei zur Stützung der Erfolgsaussichten eines Rechtsmittels eine angebliche Entscheidung des Bundesgerichtshofs vom 14. November 2007 zitiert. Eine Entscheidung mit dem genannten Aktenzeichen existiert weder in juristischen Datenbanken noch auf der Website des BGH.

Entscheidung: Das Kammergericht Berlin rügte die Anwälte und ordnete den zitierten Fundstellennachweis dem Ergebnis einer „fantasierenden“ KI zu. Es betonte, dass Anwältinnen und Anwälte verpflichtet sind, Schriftsätze vor der Einreichung sorgfältig zu prüfen, insbesondere wenn KI-Werkzeuge eingesetzt werden.

Begründungs-Kernpunkte: Die Sorgfaltspflicht ergibt sich nach dem Gericht sowohl aus dem Mandatsverhältnis als auch aus der Stellung als Organ der Rechtspflege. Die Delegation der Recherche an Sprachmodelle entbindet nicht von der Pflicht, die Ergebnisse zu verifizieren. Erfundene Fundstellen können die Prozessführung und das Vertrauen der Gerichte erheblich beeinträchtigen.

Praxisfolgen: Kanzleien und alle, die KI-Systeme für rechtliche oder fachliche Texte nutzen, müssen verbindliche Prüf- und Freigabeprozesse etablieren, bevor Inhalte verwendet werden. Jede von einer KI gelieferte Quelle, Fundstelle oder Zahl ist eigenständig zu verifizieren. Der Fall verdeutlicht, dass die Verantwortung für KI-Ausgaben vollständig beim Menschen verbleibt.

4.4 EuGH C-526/24 (Brillen Rottler): Auskunftsrecht und „DSGVO-Hopping“

Europäischer Gerichtshof · 19.03.2026 · Rs. C-526/24 · Haufe · Dr. Datenschutz

Sachverhalt: Gegenstand war die Reichweite des Auskunftsanspruchs nach Art. 15 DSGVO und die Frage, wie mit wiederholten oder als rechtsmissbräuchlich empfundenen Auskunftsbegehren umzugehen ist. Im Hintergrund steht die Praxis, Auskunftsansprüche primär zur Vorbereitung anderer Ansprüche oder als Druckmittel einzusetzen.

Entscheidung: Der EuGH justiert die Grenzen des Auskunftsrechts neu und stellt zugleich klar, dass auch eine Verletzung des Auskunftsrechts grundsätzlich einen Schadensersatzanspruch begründen kann. Verantwortliche dürfen Daten nicht vorschnell löschen, um sich einem Auskunftsbegehren zu entziehen.

Begründungs-Kernpunkte: Das Auskunftsrecht dient der Transparenz und der Kontrolle über die eigenen Daten; eine bestimmte Motivlage des Antragstellers ist grundsätzlich unerheblich. Zugleich erkennt der Gerichtshof Grenzen bei offenkundig missbräuchlichen oder exzessiven Anträgen an. Die Entscheidung balanciert Betroffenenrechte und den Schutz vor Rechtsmissbrauch aus.

Praxisfolgen: Verantwortliche sollten Auskunftsersuchen sorgfältig und fristgerecht bearbeiten und Löschroutinen so gestalten, dass laufende Auskunftsbegehren nicht unterlaufen werden. Die Bewertung als „exzessiv“ ist eng auszulegen und gut zu dokumentieren. Da Auskunftsverletzungen schadensersatzbewehrt sein können, steigt das Haftungsrisiko bei nachlässiger Bearbeitung.

5.1 MLU B.V. (Yango): 100 Mio. EUR für Drittlandtransfers nach Russland

Mai 2026 · Autoriteit Persoonsgegevens · Dr. Datenschutz

Behörde: Autoriteit Persoonsgegevens (Niederlande) · Adressat: MLU B.V. (Betreiber der Taxi-App Yango) · Höhe: 100 Mio. EUR

Verstoß / Rechtsgrundlage: Die Behörde beanstandete unzulässige Übermittlungen personenbezogener Daten europäischer Nutzerinnen und Nutzer nach Russland, die nach ihrer Auffassung die Anforderungen aus Kapitel V der DSGVO nicht erfüllten. Zwar wurden Standardvertragsklauseln eingesetzt, diese wurden jedoch als unwirksam eingestuft.

Begründung: Die tatsächlichen Rollen der beteiligten Unternehmen seien in den Standardvertragsklauseln nicht korrekt abgebildet gewesen. Zudem hätten die technischen Schutzmaßnahmen – etwa die Speicherung von Verschlüsselungsschlüsseln in Russland – keinen ausreichenden Schutz vor behördlichem Zugriff geboten. Damit fehlte es an einem wirksamen Schutzniveau für die transferierten Daten.

Praxisfolgen: Unternehmen sollten prüfen, ob ihre Standardvertragsklauseln die tatsächlichen Rollen aller Beteiligten korrekt abbilden und ob ergänzende technische Maßnahmen praktisch wirksam sind. Bei Transfers in Staaten mit weitreichenden behördlichen Zugriffsmöglichkeiten genügen vertragliche Zusicherungen allein nicht. Die Entscheidung dürfte die aufsichtsbehördliche Prüfung von Drittlandtransfers weiter verschärfen.

5.2 BfDI: 45 Mio. EUR Gesamtbußgeld gegen Vodafone bestätigt

Mai 2026 · BfDI – 34. Tätigkeitsbericht (PM) · LegalData Datenschutz-Puls

Behörde: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) · Adressat: Vodafone GmbH · Höhe: 45 Mio. EUR (Gesamtbußgeld)

Verstoß / Rechtsgrundlage: Beanstandet wurden Mängel bei der Kontrolle von Vertriebspartnern sowie Schwachstellen in Authentifizierungsprozessen, durch die es zu unbefugten Vertragsänderungen und fingierten Verträgen zu Lasten von Kundinnen und Kunden kommen konnte. Im Kern geht es um Verstöße gegen die Pflicht zu geeigneten technischen und organisatorischen Maßnahmen.

Begründung: Die Aufsicht sah es als erwiesen an, dass unzureichende Kontrollen der Partneragenturen und unsichere Authentifizierungsverfahren den Missbrauch ermöglichten. Das Gesamtbußgeld setzt sich aus mehreren Teilkomplexen zusammen und berücksichtigt die Schwere und Dauer der Mängel. Vodafone hat angekündigt, an der Behebung der beanstandeten Punkte zu arbeiten.

Praxisfolgen: Unternehmen mit ausgelagertem Vertrieb sollten ihre Partneragenturen engmaschig kontrollieren und Authentifizierungsprozesse gegen Identitäts- und Vertragsmissbrauch härten. Verantwortliche bleiben für das Handeln ihrer Vertriebspartner datenschutzrechtlich in der Pflicht. Der Fall zeigt, dass strukturelle Kontrolllücken erheblich sanktioniert werden können.

6.1 Malware-Kampagne über rund 1.980 WordPress-Seiten mit Steam als C2

02.06.2026 · Security Affairs

Zusammenfassung: Sicherheitsforscher von GoDaddy haben Schadsoftware auf rund 1.980 WordPress-Seiten entdeckt, die die Spieleplattform Steam als Command-and-Control-Infrastruktur missbraucht. Über kompromittierte Seiten werden Besucher mit Schadcode konfrontiert, während die Steuerung der Kampagne über legitime Steam-Profile verschleiert wird. Die Nutzung einer populären Plattform erschwert die Erkennung des Datenverkehrs.

Hintergrund & Einordnung: Die Verschleierung von C2-Kommunikation über legitime Dienste – „Living off Trusted Sites“ – ist ein etablierter Trend, weil der Verkehr im Rauschen normaler Nutzung untergeht. WordPress ist aufgrund seiner Verbreitung und der Vielzahl an Erweiterungen ein dauerhaft attraktives Ziel. Kompromittierte Seiten dienen als Verteilknoten für Schadcode und als Bindeglied zwischen Opfern und Angreifer-Infrastruktur.

Praxisfolgen / Handlungsempfehlung: Betreiber von WordPress-Seiten sollten Kern, Themes und Plugins aktuell halten, nicht benötigte Erweiterungen entfernen und Dateiintegrität sowie ausgehende Verbindungen überwachen. Verdächtige Skripte und unbekannte Administratorkonten sind zu prüfen. Eine Web Application Firewall und regelmäßige Backups reduzieren das Risiko und erleichtern die Wiederherstellung.

6.2 WordPress-Plugin WP Maps Pro (CVE-2026-8732): Administrator ohne Passwort

01.06.2026 · Security Affairs

Zusammenfassung: In der WordPress-Erweiterung WP Maps Pro erlaubt die Schwachstelle CVE-2026-8732, ohne gültiges Passwort ein Administratorkonto anzulegen. Damit können nicht authentifizierte Angreifer die vollständige Kontrolle über eine betroffene Website übernehmen. Die Lücke ist besonders gefährlich, weil sie ohne vorhandene Zugangsdaten ausnutzbar ist.

Hintergrund & Einordnung: Schwachstellen in WordPress-Plugins gehören zu den häufigsten Einfallstoren für Massenkompromittierungen, da viele Seiten zahlreiche Erweiterungen ungeprüft betreiben. Ein neu angelegtes Administratorkonto ermöglicht das Einschleusen von Schadcode, die Verteilung von Malware oder die Umleitung von Besuchern. In Kombination mit Kampagnen wie der oben beschriebenen C2-Nutzung über Steam steigt das Gefährdungspotenzial.

Praxisfolgen / Handlungsempfehlung: Betreiber sollten WP Maps Pro umgehend auf die korrigierte Version aktualisieren oder, falls kein Update verfügbar ist, vorübergehend deaktivieren. Die Benutzerliste ist auf unbekannte Administratoren zu prüfen und verdächtige Konten sind zu entfernen. Generell sollte der Plugin-Bestand regelmäßig inventarisiert und auf das Notwendige reduziert werden.

6.3 Ransomware-Operatoren arbeiten zu Bürozeiten – datengestützte Auswertung

01.06.2026 · Security Affairs

Zusammenfassung: Eine datengestützte Auswertung zeigt, dass viele Ransomware-Gruppen ihre Aktivitäten in geregelten Zeitfenstern entfalten, die regulären Bürozeiten ähneln. Das deutet auf eine zunehmende Professionalisierung und Arbeitsteilung im cyberkriminellen Ökosystem hin. Veröffentlichungen auf Leak-Seiten, Verhandlungen und Angriffsschritte folgen erkennbaren Mustern.

Hintergrund & Einordnung: Ransomware hat sich von opportunistischen Einzeltaten zu einem arbeitsteiligen „Geschäftsmodell“ mit Initial-Access-Brokern, Affiliates und Betreibern entwickelt. Regelmäßige Arbeitszeiten lassen Rückschlüsse auf Organisation, mögliche Zeitzonen und Personalstärke zu und können bei der Verteidigung helfen. Die Auswertung untermauert, dass es sich um strukturierte Organisationen handelt, nicht um sporadisch agierende Einzeltäter.

Praxisfolgen / Handlungsempfehlung: Verteidiger sollten Detektions- und Reaktionsfähigkeit über die gesamte Woche hinweg sicherstellen, da auch außerhalb klassischer Bürozeiten Aktivität erfolgt. Frühindikatoren wie ungewöhnliche Anmeldungen, Datenexfiltration und Tool-Einsatz sind zu überwachen. Geübte Incident-Response-Prozesse und offline gehaltene Backups bleiben die wirksamsten Gegenmaßnahmen.

6.4 Google GTIG: KI-gestützter Zero-Day für 2FA-Bypass identifiziert

Mai 2026 · The Hacker News · SecurityWeek

Zusammenfassung: Die Google Threat Intelligence Group berichtet über einen Fall, in dem KI bei der Entwicklung eines Zero-Day-Exploits zur Umgehung der Zwei-Faktor-Authentifizierung eine Rolle gespielt habe. Damit verdichten sich Hinweise, dass Angreifer KI nicht nur zur Effizienzsteigerung, sondern auch zur Erstellung neuartiger Angriffe einsetzen. Die Einordnung erfolgt mit der gebotenen Vorsicht hinsichtlich des tatsächlichen KI-Beitrags.

Hintergrund & Einordnung: Der Befund reiht sich in eine Serie von Berichten ein, wonach KI-Werkzeuge sowohl in der Schwachstellenforschung – siehe CIFSwitch – als auch bei Angriffen genutzt werden. Die Grenze zwischen legitimer Sicherheitsforschung und offensivem Missbrauch verschwimmt zunehmend. Wie groß der eigenständige Beitrag der KI im konkreten Fall war, ist methodisch schwer zu isolieren und sollte nicht überzeichnet werden.

Praxisfolgen / Handlungsempfehlung: Organisationen sollten phishing-resistente Verfahren wie FIDO2/Passkeys priorisieren, da klassische 2FA-Verfahren zunehmend ins Visier geraten. Erkennungssysteme sollten auf Anomalien in Anmelde- und Sitzungsmustern ausgelegt sein. Zugleich empfiehlt sich, KI-bezogene Bedrohungsmeldungen nüchtern zu bewerten und nicht jede Schlagzeile als Beleg für einen Paradigmenwechsel zu lesen.