1. Angriffe auf die Software-Lieferkette

Seit Freitag, 12. Juni 2026 · zuletzt aktualisiert Mittwoch, 17. Juni 2026 · Score 82

Über legitime Vertriebswege – Plugin-Updates, Marktplätze – werden Schadkomponenten in fremde Systeme eingeschleust. Der Strang verbindet das WordPress-Ökosystem mit den Entwicklerwerkzeugen.

Letzte Entwicklung: Awesome-Motive-Plug-ins (OptinMonster u. a.) schleusen Backdoor-Admins auf bis zu 1,2 Mio. Seiten; 15 bösartige JetBrains-Plug-ins stahlen API-Keys für OpenAI/DeepSeek (rund 70.000 Installationen).

2. Großvolumige Datenabflüsse und Erpressung

Seit Donnerstag, 11. Juni 2026 · zuletzt aktualisiert Mittwoch, 17. Juni 2026 · Score 79

Mehrere Organisationen verlieren parallel große Datenmengen; die Täter setzen auf Veröffentlichung als Druckmittel.

Letzte Entwicklung: FulcrumSec leakt nach gescheiterter 25-Mio-USD-Forderung Daten von Novo Nordisk (1,3 TB); in München sind über 120.000 Schülerdatensätze betroffen; bei Ecovacs reklamiert „Space Bears“ rund 2 TB.

1.1 München: Über 120.000 sensible Schülerdaten abgeflossen

16.06.2026 · heise online

Zusammenfassung: Bei der LHM-Services GmbH, einer Tochtergesellschaft der Stadt München, die Daten für Bildungseinrichtungen verwaltet, sind Daten von mehr als 120.000 Schülerinnen und Schülern entwendet worden – Namen, Anschriften, Geburtsdaten, Staatsangehörigkeiten und Schulzuordnungen. Bekannt wurde der Vorfall zunächst durch einen Bericht der Abendzeitung München.

Hintergrund & Einordnung: Ob die Daten tatsächlich im Darknet veröffentlicht wurden, ist umstritten: LHM-Services bestreitet dies, ein auf Darknet-Recherchen spezialisiertes Unternehmen fand nach eigenen Angaben keinen Hinweis auf eine öffentliche Verfügbarkeit. Unabhängig davon handelt es sich um besonders schutzbedürftige Daten von überwiegend Minderjährigen. LHM-Services hat den Bayerischen Landesbeauftragten für den Datenschutz informiert und Strafanzeige gegen Unbekannt erstattet; im Stadtrat wurde ein Dringlichkeitsantrag für den IT-Ausschuss gestellt.

Praxisfolgen / Handlungsempfehlung: Betroffene Familien sollten mit gezielten Phishing- und Betrugsversuchen rechnen und keine weiteren Daten auf unaufgeforderte Nachfragen preisgeben. Für öffentliche Stellen und ihre Dienstleister unterstreicht der Fall die Pflicht zu belastbaren technisch-organisatorischen Maßnahmen und zu einer sauberen Meldekette nach Art. 33/34 DSGVO.

2.1 Ecovacs: Roboterhersteller offenbar Opfer von Datendiebstahl

16.06.2026 · heise online

Zusammenfassung: Die Cyberkriminellen-Gruppe „Space Bears“ behauptet, beim Haushaltsroboter-Hersteller Ecovacs rund zwei Terabyte Daten erbeutet zu haben. Ob es sich um Entwicklungs- oder Kundendaten handelt, ist unklar; Ecovacs hatte den Vorfall zum Zeitpunkt der Berichterstattung nicht bestätigt.

Hintergrund & Einordnung: Saug- und Wischroboter erstellen detaillierte Raumkarten und können Kamera- sowie Nutzungsdaten verarbeiten – ein Abfluss solcher Daten wäre besonders sensibel. Zur Einordnung gehört allerdings, dass „Space Bears“ Ende 2024 unbelegte Vorwürfe gegen Atos erhoben hatte, was die Glaubwürdigkeit der aktuellen Behauptung relativiert.

Praxisfolgen / Handlungsempfehlung: Nutzer solcher Geräte sollten Firmware aktuell halten, Cloud-Funktionen und Kamerazugriffe auf das Nötige beschränken und Standardpasswörter ersetzen. Unternehmen mit IoT-Flotten sollten Lieferanten-Sicherheit und Datenabflussszenarien in ihre Risikobetrachtung aufnehmen.

3.1 WordPress: Lieferkettenangriff über Awesome-Motive-Plug-ins

16.06.2026 · heise online

Zusammenfassung: Angreifer missbrauchen Plug-ins des Herstellers Awesome Motive – darunter OptinMonster (über eine Million Installationen), TrustPulse und möglicherweise PushEngage –, um Hintertüren auf verwundbaren WordPress-Instanzen zu installieren. In Summe sind bis zu 1,2 Millionen Websites gefährdet; weitere Awesome-Motive-Produkte (WPForms, All in One SEO, MonsterInsights) könnten ins Visier geraten.

Hintergrund & Einordnung: Die Täter erlangten über die kompromittierte Marketing-Website des Herstellers CDN-API-Schlüssel und schleusten bösartiges JavaScript in legitime CDN-Dateien ein. Das Skript wartet auf Admin-Anmeldungen und legt dann heimliche Backdoor-Konten an. Erste Angriffe begannen am 12. Juni; am Wochenende wurden hunderte Angriffsversuche registriert.

Praxisfolgen / Handlungsempfehlung: Betroffene Plug-ins umgehend aktualisieren, die vom Anbieter bereitgestellten Indicators of Compromise abgleichen, die Benutzerliste auf unbekannte Administratoren prüfen und im Verdachtsfall Sitzungen invalidieren sowie Passwörter und Schlüssel rotieren.

3.2 JetBrains-Marktplatz: 15 Plug-ins stahlen API-Keys

17.06.2026 · heise online

Zusammenfassung: Sicherheitsforscher von Aikido haben 15 bösartige Plug-ins im offiziellen JetBrains-Marktplatz identifiziert, die Zugangsschlüssel für OpenAI, DeepSeek und SiliconFlow abgriffen. Die Erweiterungen funktionierten wie beworben (Code-Reviews, Unit-Tests, Bug-Suche), übertrugen die eingegebenen Schlüssel jedoch unverschlüsselt per HTTP an einen externen Server. Insgesamt kommen die Plug-ins auf rund 70.000 Installationen.

Hintergrund & Einordnung: Die ersten dieser Plug-ins erschienen bereits im Oktober 2025, das jüngste im Juni 2026. Vermutlich verkaufen die Täter die gestohlenen Schlüssel weiter oder monetarisieren sie über Bezahlfunktionen in den Plug-ins selbst. Der Fall reiht sich in die Lieferketten-Problematik ein: Auch offizielle Marktplätze sind keine Garantie für Vertrauenswürdigkeit.

Praxisfolgen / Handlungsempfehlung: Wer eines der betroffenen Plug-ins installiert hat, sollte die eingegebenen API-Keys als kompromittiert behandeln, sofort widerrufen und neu ausstellen. Generell: Entwickler-Erweiterungen vor Installation prüfen, Schlüssel nach Least-Privilege vergeben und Nutzungskontingente überwachen.

3.3 Nvidia NeMo: drei hochbewertete Lücken geschlossen

17.06.2026 · heise online

Zusammenfassung: In Nvidias KI-Agenten-Plattform NeMo wurden drei als hoch eingestufte Schwachstellen behoben (CVE-2026-24155, CVE-2026-24252, CVE-2026-24228). Angreifer könnten darüber Daten manipulieren, auf geschützte Informationen zugreifen, höhere Rechte erlangen und Schadcode ausführen.

Hintergrund & Einordnung: Betroffen sind alle Versionen vor NeMo Framework 2.7.3; der Patch ist verfügbar. Hinweise auf eine aktive Ausnutzung gibt es bislang nicht. Mit der wachsenden Verbreitung von KI-Agenten-Frameworks werden diese selbst zur sicherheitskritischen Komponente.

Praxisfolgen / Handlungsempfehlung: Auf Framework 2.7.3 aktualisieren; bis zum Update den Zugriff auf exponierte NeMo-Instanzen einschränken und Berechtigungen prüfen.

3.4 Oracle Critical Patch Update: 245 Sicherheitsupdates

17.06.2026 · heise online

Zusammenfassung: Oracle hat mit seinem Critical Patch Update 245 Sicherheitsupdates über das Produktportfolio hinweg veröffentlicht, darunter Korrekturen für aus der Ferne ohne Authentifizierung ausnutzbare Lücken.

Hintergrund & Einordnung: Oracles quartalsweise Sammel-Patches betreffen weit verbreitete Enterprise-Komponenten; angesichts der jüngsten aktiven Ausnutzung von Oracle-Software (zuletzt PeopleSoft) ist zeitnahes Einspielen geboten.

Praxisfolgen / Handlungsempfehlung: Patch-Stand inventarisieren, kritische und aus dem Netz erreichbare Komponenten priorisiert aktualisieren, Wartungsfenster kurzfristig planen.

4.1 BGH: 24-Monats-Werbung muss kein gleichwertiges Zwölf-Monats-Angebot enthalten

BGH (III. Zivilsenat) · 21.05.2026 · III ZR 220/25 · Volltext-PDF

Sachverhalt: Streit um die Werbung eines Telekommunikationsanbieters für einen Vertrag mit 24 Monaten anfänglicher Laufzeit. Die Frage war, ob der Anbieter zugleich einen Vertrag mit höchstens zwölf Monaten Laufzeit gleichwertig bewerben oder zumindest ausdrücklich auf dessen Abschlussmöglichkeit hinweisen muss.

Entscheidung: § 56 Abs. 1 Satz 2 TKG verpflichtet den Anbieter dazu nicht. Es genügt, dass für das Produkt auch ein Vertrag mit einer anfänglichen Laufzeit von zwölf Monaten im Angebot verfügbar ist.

Begründungs-Kernpunkte: Die Vorschrift sichert die Verfügbarkeit eines kürzer laufenden Vertrags, schreibt aber keine bestimmte Bewerbung vor. Die gesetzlich gewollte Wahlfreiheit der Verbraucher wird durch das Vorhandensein des Zwölf-Monats-Angebots im Portfolio gewahrt, nicht erst durch dessen Aufnahme in jede einzelne Werbemaßnahme.

Praxisfolgen: Telekommunikationsanbieter dürfen Laufzeit-Aktionen mit 24 Monaten bewerben, ohne in derselben Werbung das Zwölf-Monats-Angebot spiegeln zu müssen – sofern es real verfügbar ist. Verbraucher sollten für kürzere Laufzeiten aktiv das Gesamtangebot prüfen.

6.1 Novo Nordisk: FulcrumSec leakt Daten nach gescheiterter 25-Mio-USD-Forderung

16.06.2026 · GovInfoSecurity · Insurance Journal

Zusammenfassung: Die Tätergruppe FulcrumSec hat nach einer abgelehnten Lösegeldforderung über 25 Millionen US-Dollar begonnen, beim Pharmakonzern Novo Nordisk gestohlene Daten zu veröffentlichen. Reklamiert werden rund 1,3 Terabyte, darunter klinische Studiendaten zu etwa 11.500 pseudonymisierten Patienten, proprietäre KI-Modelle für die Wirkstoffentwicklung, Mikroskopie-Bilddaten und Mitarbeiterinformationen.

Hintergrund & Einordnung: Nach Angaben der Gruppe reicht der Erstzugriff bis März zurück; Novo Nordisk bestätigte am 11. Juni einen „IT-Sicherheitsvorfall“ mit unbefugtem Zugriff und kündigte die Zusammenarbeit mit Behörden an. Der Leak begann am 16. Juni, nachdem das Unternehmen die Zahlung verweigert hatte. Der Fall zeigt die doppelte Dimension moderner Erpressung: Neben Patientendaten stehen auch geistiges Eigentum und KI-Modelle im Fokus.

Praxisfolgen / Handlungsempfehlung: Für Unternehmen mit sensiblem geistigem Eigentum unterstreicht der Vorfall die Bedeutung von Segmentierung, strenger Zugriffskontrolle und Exfiltrations-Erkennung. Betroffene Studienteilnehmer und Beschäftigte sollten über das Identitätsdiebstahl-Risiko informiert werden; die Meldepflichten nach Art. 33/34 DSGVO sind zu prüfen.