Aktuelle Phishing- und Betrugswellen

Eine neue, klar abgegrenzte Phishing-Einzelwelle ist im heutigen Berichtszeitraum nicht belastbar belegt — die Lage bleibt aber auf dem zuletzt beschriebenen, KI-getriebenen Niveau: fehlerfreie, personalisierte Köder ohne die klassischen Warnzeichen. Behandeln Sie unerwartete Nachrichten von Bank, Bezahldienst, Paketdienst oder Behörde grundsätzlich als verdächtig.

Prüfen Sie im Zweifel über den selbst eingegebenen, offiziellen Weg statt über Links in der Nachricht. Geben Sie Zugangsdaten nie auf einer Seite ein, die Sie über einen Mail- oder SMS-Link erreicht haben, und aktivieren Sie überall dort, wo es geht, eine Phishing-resistente Zwei-Faktor-Anmeldung.

Was war los?

Im Vordergrund standen Patches: Microsoft schloss an seinem Patchday über 200 Schwachstellen — neuer Höchststand —, darunter eine als „wurmartig“ eingestufte Lücke im Windows-Netzwerk-Stack. Auch für Android bzw. Google Pixel und für Mozilla-Produkte (Firefox, Thunderbird) erschienen Sicherheitsupdates. Für Privatanwender heißt das schlicht: Updates zeitnah installieren, Geräte neu starten.

Auf der Lage-Ebene zeichnet der aktuelle BSI-Lagebericht ein angespanntes Bild: Die Zahl der Angriffe, die gezielt Schwachstellen ausnutzen, ist gegenüber dem Vorjahr um 38 Prozent gestiegen, und Erpressung kombiniert zunehmend Datenverschlüsselung mit Datenabfluss. Backups allein schützen daher nicht vor den Folgen eines Datenlecks.

Was sich rechtlich geändert hat

Das größte Thema ist der EU Digital Omnibus: Die Kommission will Datenschutz- und KI-Regeln „vereinfachen“. Für Privatpersonen heißt das vor allem, dass das Training von KI mit persönlichen Daten eine klarere Rechtsgrundlage bekommen soll — verbunden mit Transparenz- und Widerspruchsrechten, aber auch mit einer umstrittenen Aufweichung beim Schutz pseudonymer Daten. Verabschiedet ist noch nichts; beim KI-Teil zeichnet sich Einigung ab, beim Datenschutz-Teil nicht.

Aus der Rechtsprechung kommt ein markenrechtliches Pendant zu KI-Übersichten hinzu: Das LG Berlin II verneint eine Markenverletzung, wenn eine Suchmaschine in KI-Übersichten fremde Marken nur im Rahmen zusammengefasster Drittinhalte nennt. Neue Bußgelder sind im Berichtszeitraum nicht hinzugekommen.

IT-Detailansicht für Fachpublikum

Im Folgenden die fachliche Lage des Tages: Top-Themen, Management Summary, Handlungsempfehlungen, die sechs Kapitel (Datenschutz, Datensicherheit, IT-Sicherheit, Urteile, Bußgelder, Cyber-Sicherheit), ein KI-Abschnitt nach Anbietern sowie Ausblick, Methodik und Quellen.

Top-Themen der Woche

Management Summary

Die technische Lage ist von Patch-Management geprägt: Der Microsoft-Patchday brachte über 200 Korrekturen und damit einen neuen Höchststand, darunter die als wurmartig eingestufte TCP/IP-Lücke CVE-2026-45657 (CVSS 9,8), die Codeausführung ohne Benutzerinteraktion erlaubt; zudem wurde eine bereits ausgenutzte XSS-Lücke in Outlook Web Access geschlossen. Parallel erschienen Sicherheitsupdates für Android/Google Pixel sowie für Firefox und Thunderbird. Der aktuelle BSI-Lagebericht unterstreicht die Dringlichkeit: Exploitation-Angriffe legten gegenüber dem Vorjahr um 38 Prozent zu, Erpressung setzt verstärkt auf die Kombination aus Verschlüsselung und Datenabfluss, und die durchschnittlich gezahlten Lösegelder erreichten einen Höchststand. Backups bleiben betriebsnotwendig, schützen aber nicht vor den Reputations-, Spionage- und Datenschutzfolgen eines Leaks.

Datenschutz- und rechtsseitig dominiert der EU Digital Omnibus. Die Kommission will mit Art. 88c DSGVO-E eine ausdrückliche Rechtsgrundlage für das Training von KI-Systemen auf Basis berechtigten Interesses schaffen — flankiert von Transparenz-, Datenminimierungs- und Widerspruchsrechten — und mit Art. 9 Abs. 2 lit. k DSGVO-E einen engen Ausnahmetatbestand für sensible Daten. Am stärksten umstritten ist die geplante Neudefinition personenbezogener Daten, die pseudonyme Daten unter Umständen aus dem DSGVO-Schutz nähme; der Europäische Datenschutzausschuss und der EDSB warnen ausdrücklich davor. Beim KI-Teil besteht seit dem 07.05.2026 eine vorläufige Einigung, beim Datenschutz-Teil nicht; in Kraft ist nichts. Auf der KI-Governance-Ebene zeigt die US-Exportsperre gegen Anthropics Fable 5 und Mythos 5, wie schnell der Zugang zu produktiv genutzten Modellen wegfallen kann.

Die wichtigsten Punkte im Überblick

• EU Digital Omnibus: KI-Training soll auf berechtigtes Interesse stützbar werden (Art. 88c DSGVO-E), Widerspruchsrecht bleibt.
• Umstritten: Neudefinition personenbezogener Daten (Pseudonymisierung) — EDSA/EDSB warnen.
• Microsoft-Patchday: über 200 Lücken, wurmartige TCP/IP-Lücke CVE-2026-45657 (CVSS 9,8).
• Sicherheitsupdates auch für Android/Google Pixel und Mozilla Firefox/Thunderbird.
• BSI-Lagebericht: Exploitation-Angriffe +38 %, Lösegelder auf Höchststand.
• US-Exportkontrolle sperrt Anthropics Fable 5 und Mythos 5 — Anbieter schaltet weltweit ab.
• KI-VO-Hochrisiko-Fristen (eigentlich ab 02.08.2026) sollen über den Omnibus an Standards gekoppelt werden.

1. Datenschutz

Der EU Digital Omnibus bestimmt die datenschutzrechtliche Diskussion — eine der größten geplanten Änderungen am DSGVO-Gefüge seit deren Inkrafttreten.

2. Datensicherheit

Auf der Lage-Ebene bleibt das Bild angespannt; Exploitation und Datenleck-Erpressung nehmen zu.

3. IT-Sicherheit

Patch-Management dominiert: ein Rekord-Patchday bei Microsoft sowie Updates für mobile und Browser-Software.

4. Urteile

Eine frische Entscheidung ergänzt die Reihe zu KI-Übersichten — diesmal aus markenrechtlicher Sicht.

5. Bußgelder

Kein neues Bußgeld mit belastbarer Primärquelle im Berichtszeitraum. Das Deutsche-Wohnen-Urteil (LG Berlin I, 09.06.2026, 900.000 Euro) wurde bereits behandelt — heute kein neuer Sachverhalt.

6. Cyber-Sicherheit

Die Bedrohungslage bleibt von professionalisierter Erpressung und Schwachstellen-Ausnutzung geprägt.

KI & große Sprachmodelle

Überblick nach Anbietern (Stand 18. Juni 2026). Bestätigte neue Modell-Launches gab es in den letzten Tagen nicht; im Vordergrund steht ein Governance-Ereignis.

• Anthropic: Die US-Regierung sperrte per Exportkontroll-Anordnung (Handelsministerium, 12.06.2026) die Modelle Mythos 5 und Fable 5 für ausländische Staatsangehörige; Anthropic deaktivierte beide weltweit für alle Kunden. Auslöser war laut Sicherheitsforscherin Katie Moussouris kein Jailbreak, sondern die Aufforderung „fix this code“ auf Code mit bekannten Schwachstellen. Über 100 Fachleute fordern die Rücknahme. Ausführlich in der Einzel-News vom 16.06.
• OpenAI / Google / Meta / DeepSeek / Alibaba: keine bestätigten frischen Launches im Berichtszeitraum; weiterhin gelten die zuletzt genannten Stände (GPT-5.5 als ChatGPT-Default, Gemini 3.5 Flash, Llama 4, DeepSeek V4, Qwen 3.7 Max).

Einordnung für Datenschutz und Sicherheit: Der Fall Fable 5/Mythos 5 zeigt, dass KI-Modelle zunehmend Gegenstand staatlicher Exportkontrolle werden — ein Verfügbarkeits- und Compliance-Risiko, das parallel zum geplanten EU-Rechtsrahmen (Digital Omnibus) bedacht werden muss.

Ausblick / Termine

• 19.06.2026: Frist der US-Behörde CISA zum Patchen der aktiv ausgenutzten SolarWinds-Serv-U-Lücke (CVE-2026-28318).
• 02.08.2026: Eigentlich Geltungsbeginn der Hochrisiko-Pflichten der KI-VO — der Digital Omnibus soll diese an die Verfügbarkeit von Standards koppeln und muss daher bis dahin in Kraft treten.
• Laufend: Trilog/Gesetzgebung zum Digital Omnibus (KI-Teil vorläufig geeinigt, Datenschutz-Teil offen).

Methodik

Stichtag ist Donnerstag, der 18. Juni 2026; berücksichtigt werden Meldungen der vorangegangenen Tage. Bevorzugt werden Primärquellen (Behörden, BSI, Gerichte) und etablierte Fachmedien; Rechts- und Policy-Themen wurden über mehrere Fachquellen gegengeprüft. Themen, die in den Vortagsausgaben bereits gebracht wurden, sind bewusst ausgespart. Eine eingegangene Inbox-Mail zur DSB-Pflicht (§ 38 BDSG) wurde nicht erneut aufgenommen, weil sie bereits am 16.06. behandelt wurde. Das Briefing ersetzt keine Rechts- oder Sicherheitsberatung im Einzelfall.