1. Cisco Catalyst SD-WAN: Authentication-Bypass (CVSS 10.0) weiterhin aktiv ausgenutzt

Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Donnerstag, 21. Mai 2026 · Score 95

Cisco bestätigt weiterhin aktive Ausnutzung von CVE-2026-20182 im Catalyst SD-WAN Controller (vormals vSmart) und SD-WAN Manager (vormals vManage). Eine Schwachstelle in der Peering-Authentifizierung über DTLS auf UDP 12346 erlaubt nicht authentifizierten Angreifern aus dem Netz administrativen Zugriff. CISA hatte die Lücke in den KEV-Katalog aufgenommen; die Frist für US-Bundesbehörden ist am 17. Mai 2026 verstrichen.

Letzte Entwicklung: Rapid7 hat ein Metasploit-Modul veröffentlicht, womit ein öffentlich verfügbarer Proof-of-Concept existiert. Beobachtete Angriffe nutzen den Vorgang, einen SSH-Public-Key in /home/vmanage-admin/.ssh/authorized_keys einzuschleusen. Cisco führt die Aktivitäten mit hoher Konfidenz auf den Cluster UAT-8616 zurück und betont, dass die Workarounds allein nicht ausreichen.

2. GitHub-Breach: TeamPCP exfiltriert rund 3.800 interne Repositories

Seit Mittwoch, 20. Mai 2026 · zuletzt aktualisiert Donnerstag, 21. Mai 2026 · Score 90

Die Microsoft-Tochter GitHub hat bestätigt, dass die Erpressergruppe TeamPCP Zugriff auf ihre internen Code-Repositories hatte. GitHub spricht von einer „direktional konsistenten" Bestätigung der von TeamPCP genannten Zahl von etwa 3.800 internen Repositories. Einstiegspunkt war ein vergiftetes Visual-Studio-Code-Plug-in, das ein GitHub-Mitarbeiter installiert hatte. Kunden- und Produktionsdaten sollen nach aktuellem Stand nicht betroffen sein.

Letzte Entwicklung: TeamPCP bietet die Daten zusammen mit LAPSUS$ für 95.000 US-Dollar zum Verkauf an und hat angekündigt, sie andernfalls kostenlos zu leaken. Der Angriff schließt sich zeitlich an die TanStack-Supply-Chain-Welle an, die auch Grafana traf.

3. Microsoft Exchange OWA CVE-2026-42897 weiterhin aktiv ausgenutzt – kein regulärer Patch

Seit Donnerstag, 14. Mai 2026 · zuletzt aktualisiert Donnerstag, 21. Mai 2026 · Score 88

Die Spoofing-Schwachstelle in Outlook Web Access (CVSS 8.1) erlaubt es Angreifern, mit präparierten Mails JavaScript im OWA-Kontext eines Opfers auszuführen. Betroffen sind die On-Prem-Versionen Subscription Edition RTM, Exchange Server 2019 und 2016. Exchange Online ist nicht betroffen.

Letzte Entwicklung: Microsoft hat eine automatische Mitigation über den Exchange-EM-Service ausgerollt und empfiehlt die sofortige Aktivierung der Mitigation M2.1.0. Ein regulärer Patch steht weiterhin aus. CISA hat die Lücke am 15. Mai in den KEV-Katalog aufgenommen; Frist für US-Behörden ist der 5. Juni 2026.

4. Bundesdatenschutzbeauftragte Specht-Riemenschneider kündigt Rückzug an

Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Donnerstag, 21. Mai 2026 · Score 85

Prof. Dr. Louisa Specht-Riemenschneider hat aus gesundheitlichen Gründen ihren Rückzug aus dem Amt der BfDI angekündigt. Sie wird das Amt erst niederlegen, sobald eine Nachfolge geregelt ist, um laufende Gesetzgebungsvorhaben fortzuführen.

Letzte Entwicklung: Der 34. Tätigkeitsbericht für 2025 ist am 19. Mai an Bundestagspräsidentin Klöckner übergeben worden. Die Wahl der Nachfolge fällt in die Verantwortung des Bundestages; die schwarz-rote Koalition verfügt über die nötige einfache Mehrheit.

5. Microsoft Patch Tuesday Mai 2026: 120+ Schwachstellen, kritische Outlook- und DNS-Lücken

Seit Mittwoch, 13. Mai 2026 · zuletzt aktualisiert Donnerstag, 21. Mai 2026 · Score 85

Im Mai-Patchday hat Microsoft je nach Zählweise 120 bzw. 138 Schwachstellen geschlossen, darunter 17 bzw. 30 als „Critical" eingestufte. Hervorzuheben sind CVE-2026-40361 (Outlook Zero-Click), CVE-2026-41096 (Windows DNS Client RCE, CVSS 9.8) sowie mehrere Word-RCE-Lücken, die bereits beim Rendern im Vorschaufenster wirken.

Letzte Entwicklung: CISA hat am 20. Mai zusätzlich zwei Microsoft-Defender-Schwachstellen (CVE-2026-41091 Elevation of Privilege und CVE-2026-45498 Denial of Service) sowie fünf historische Microsoft-/Adobe-Lücken aus 2008–2010 in den KEV-Katalog aufgenommen, was den Druck auf das nachgelagerte Patch-Management deutlich erhöht.

1.1 BfDI Specht-Riemenschneider bleibt bis zur Wahl der Nachfolge im Amt

19.05.2026 · BfDI Pressemitteilung · heise online

Zusammenfassung: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Louisa Specht-Riemenschneider, hat am 19. Mai 2026 ihren Rückzug aus dem Amt aus gesundheitlichen Gründen erklärt. Sie wird das Amt erst niederlegen, sobald eine Nachfolge gewählt ist. Die Suche fällt in die Verantwortung des Bundestages; die schwarz-rote Koalition aus CDU, CSU und SPD verfügt über die nötige einfache Mehrheit.

Hintergrund & Einordnung: Specht-Riemenschneider war erst gut anderthalb Jahre im Amt. In diese Zeit fielen die finale Umsetzung der NIS-2-Richtlinie, der Streit um die EU-Chatkontrolle, die Konkretisierung des AI Act und mehrere höchstrichterliche DSGVO-Entscheidungen. Eine kommissarische Weiterführung sichert die kontinuierliche Begleitung dieser Verfahren, vor allem aber eine geordnete Übergabe der zahlreichen Verwaltungs- und Bußgeldverfahren.

Praxisfolgen / Handlungsempfehlung: Für Verantwortliche ändert sich kurzfristig nichts: Beratungsanfragen, Beschwerden und Meldungen nach Art. 33 DSGVO können weiterhin bei der BfDI eingereicht werden. Wer aktuell mit der Behörde im Bußgeldverfahren steht, sollte die regulären Fristen weiterhin sehr ernst nehmen; eine Verfahrensbeschleunigung oder ‑pause ist mit dem Wechsel nicht zu erwarten. Beobachten Sie mittelfristig, ob die kommende Spitze Schwerpunkte verschiebt (KI-Aufsicht, internationale Transfers, Beschäftigtendatenschutz).

1.2 34. Tätigkeitsbericht der BfDI an Bundestagspräsidentin übergeben

19.05.2026 · BfDI Pressemitteilung · Tätigkeitsbericht 2025

Zusammenfassung: Mit dem 34. Tätigkeitsbericht legt die BfDI ihre Arbeit für das Jahr 2025 vor. Schwerpunkte sind generative KI, Beschäftigtendatenschutz, Sicherheits- und Nachrichtendienste sowie internationale Datentransfers. Der Bericht beschreibt zahlreiche Beanstandungen, Beratungen und förmliche Verwarnungen, ergänzt um Empfehlungen an den Gesetzgeber.

Hintergrund & Einordnung: Der Tätigkeitsbericht hat in der deutschen Datenschutzpraxis Leitlinien-Charakter. Aufsichten in den Ländern, Gerichte und Datenschutzberater orientieren sich häufig an den darin geäußerten Auffassungen. Besonders die Aussagen zu generativer KI und zu Beschäftigtendaten dürften in den kommenden Wochen in Stellungnahmen anderer Aufsichten und in laufenden Bußgeldverfahren auftauchen.

Praxisfolgen / Handlungsempfehlung: Verantwortliche sollten die Sektionen zu KI und Beschäftigtendatenschutz mit Blick auf eigene Verarbeitungstätigkeiten querlesen und insbesondere die geäußerten Auffassungen zu Auftragsverarbeitung, gemeinsamer Verantwortung und Datentransfers in laufende DSFA und Verzeichnisse einarbeiten. Externe Datenschutzbeauftragte können den Bericht zudem als Argumentationsgrundlage in der Kommunikation mit Geschäftsleitungen nutzen.

1.3 HmbBfDI bewertet Russmedia-Urteil: Plattformen müssen „Notice and Sweep" umsetzen

12.05.2026 · HmbBfDI Pressemitteilungen

Zusammenfassung: Der Hamburger Beauftragte für den Datenschutz und die Informationsfreiheit (HmbBfDI) hat in einer 14-seitigen Bewertung die Konsequenzen des EuGH-Urteils Russmedia für Social-Media-Plattformen aufgearbeitet. Plattformen müssen nach Auffassung der Aufsicht über das klassische „Notice and Take down" hinaus auch ein „Notice and Sweep" implementieren, also vergleichbare rechtswidrige Inhalte aktiv aufspüren und entfernen.

Hintergrund & Einordnung: Die Bewertung trifft Plattformen, die personenbezogene Daten Dritter weiterverbreiten lassen, in einem sensiblen Punkt. Bei kommerziellen oder organisationsbetriebenen Profilen sieht der HmbBfDI weiterhin den Anwendungsbereich des Datenschutzrechts und nimmt die Plattformen in die Pflicht, präventive Maßnahmen wie Identitätsverifikation oder Upload-Filter zu prüfen. Eine allgemeine Überwachungspflicht oder Identifizierungspflicht für alle Nutzer leitet die Behörde nicht ab.

Praxisfolgen / Handlungsempfehlung: Unternehmen, die auf Social-Media-Plattformen werben oder mit ihnen als gemeinsame Verantwortliche im Sinne von Art. 26 DSGVO agieren, sollten ihre Vereinbarungen mit Plattformen überprüfen. Insbesondere sollten Prozesse für die Meldung rechtswidriger Inhalte und der Umgang mit „ähnlichen" Wiederholungen klar geregelt werden. Wer eigene Profile auf Plattformen betreibt, sollte Moderations- und Meldeprozesse dokumentieren und an die HmbBfDI-Bewertung andocken.

1.4 DSK erneuert Appell gegen anlasslose Chatkontrolle

05.05.2026 · DSK-Beschlüsse

Zusammenfassung: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 5. Mai 2026 ihren Appell an die EU-Gesetzgeber und an die Bundesregierung erneuert, die Pläne für eine anlasslose Chatkontrolle endgültig aufzugeben. Anlasslose Überwachung privater Messengerkommunikation, das Aushebeln der Ende-zu-Ende-Verschlüsselung und Client-Side-Scanning seien unverhältnismäßige Grundrechtseingriffe.

Hintergrund & Einordnung: Die DSK steht damit in einer Reihe mit BfDI, EDSA und ENISA, die alle vor den Auswirkungen einer anlasslosen Inhaltsprüfung warnen. Anbieter von Messengerdiensten würden faktisch gezwungen, die Vertraulichkeit ihrer Plattformen zu schwächen oder über zusätzliche Komponenten Inhalte vor der Verschlüsselung zu prüfen. Die Diskussion wird auf EU-Ebene weiterhin im Rat geführt; eine endgültige politische Einigung steht aus.

Praxisfolgen / Handlungsempfehlung: Anbieter sicherheitsrelevanter Kommunikationsdienste sollten ihre Krypto-Architektur dokumentieren und Argumente für die Vertraulichkeit als Schutzziel proaktiv mit ihren Datenschutzbeauftragten abstimmen. Bei der Bewertung neuer Kommunikations-Stacks (z. B. interne Messenger, Kollaborationsplattformen) sollten Anforderungen aus DSGVO, TKG/TTDSG und sektoralen Spezialgesetzen zusammen gedacht werden.

2.1 GitHub bestätigt Diebstahl von rund 3.800 internen Repositories durch TeamPCP

20.05.2026 · BleepingComputer (Übersicht) · Help Net Security · SecurityWeek

Zusammenfassung: Die Microsoft-Tochter GitHub hat am 20. Mai bestätigt, dass die Hackergruppe TeamPCP Zugriff auf rund 3.800 ihrer internen Code-Repositories hatte. Die Zahl decke sich „direktional" mit den Angaben der Angreifer. Einstiegspunkt war laut GitHub eine vergiftete Visual-Studio-Code-Erweiterung, die ein GitHub-Mitarbeiter installiert hatte. Kunden- oder Produktionsdaten seien nach derzeitigem Stand nicht betroffen.

Hintergrund & Einordnung: TeamPCP ist seit Anfang 2026 mit mehreren Wellen von Supply-Chain-Angriffen gegen npm- und PyPI-Pakete aktiv. Zusammen mit LAPSUS$ wird der Datensatz für 95.000 US-Dollar zum Verkauf angeboten; andernfalls wollen die Angreifer kostenlos leaken. Der Vorfall reiht sich in eine Serie an Angriffen, die Entwicklungstoolchains, IDE-Erweiterungen und CI/CD-Pipelines in den Fokus nehmen.

Praxisfolgen / Handlungsempfehlung: Organisationen, die GitHub geschäftlich nutzen, sollten alle Personal Access Tokens, OAuth-Apps und Workflow-Tokens prüfen, MFA flächendeckend erzwingen sowie Codebases auf eingesperrte Geheimnisse und vergessene Tokens scannen. VS-Code-Extensions sollten – wie alle IDE-Plug-ins – nach Reputation, Maintainer-Profil und Signaturen kontrolliert werden; eine Allow-List ist mittelfristig sinnvoll. Wer Forks oder Spiegelungen von GitHub-internem Code nutzt, sollte mögliche Indikatoren für Modifikationen aktiv verifizieren.

2.2 Grafana: GitHub-Repositories nach TanStack-Welle kompromittiert

19.05.2026 · The Hacker News · BleepingComputer · Grafana Labs Security Update

Zusammenfassung: Grafana Labs hat eingeräumt, dass ein einziger nicht rotierter GitHub-Workflow-Token im Nachgang zur TanStack-npm-Supply-Chain-Welle Angreifern den Zugriff auf private Repositories ermöglicht hat. Der Token wurde bereits am 1. Mai durch infizierte TanStack-Pakete entwendet, eine Rotation fand zwar statt, ein einzelner Workflow wurde dabei aber übersehen.

Hintergrund & Einordnung: Grafana erhielt am 16. Mai ein Erpressungsschreiben und entschied sich gegen die Zahlung. Eine Analyse zeigt, dass die TanStack-Welle 160 npm- bzw. PyPI-Pakete und mehrere namhafte Anwender getroffen hat, darunter OpenAI und Mistral. Der Grafana-Vorfall illustriert das wiederkehrende Muster aus IDE/Build-Compromise, Token-Diebstahl und nachgelagertem Repository-Zugriff.

Praxisfolgen / Handlungsempfehlung: Token-Lebenszyklus konsequent automatisieren: für GitHub Actions/Workflows kurzlebige OIDC-basierte Tokens verwenden, statisch konfigurierte Secrets vollständig erfassen und in einem Geheimnis-Manager zentralisieren. Nach einem Supply-Chain-Vorfall müssen Rotations-Listen sauber gegen einen Inventar-Audit abgeglichen werden, um „vergessene" Tokens auszuschließen. Build-Logs und Workflow-Definitionen sollten zudem regelmäßig auf rauen Output (heruntergeladene Pakete, abweichende Skripte) geprüft werden.

2.3 Datev-Datenpanne im Lohnsystem Lodas weiter in Aufarbeitung

19.05.2026 · heise online · datensicherheit.de

Zusammenfassung: Beim Nürnberger Software-Anbieter Datev sind im Lohnabrechnungssystem Lodas Probeabrechnungen zur Qualitätskontrolle wahllos an fremde Mandanten verschickt worden. Die Dokumente enthielten Namen, Anschriften, Sozialversicherungsnummern und Verdienstdaten von Beschäftigten der Mandanten. Datev hat die Anwender und die zuständige Aufsicht (BayLDA) informiert.

Hintergrund & Einordnung: Datev verarbeitet als zentraler IT-Dienstleister für Steuerberater und Lohnbüros sehr große Mengen besonders sensibler Beschäftigtendaten. Aufgrund der breiten Wirkung in der Steuerberatungs- und Lohnbüro-Branche ist mit weiteren Nachfragen, möglichen Schadensersatzklagen und einem nachgelagerten Bußgeldverfahren zu rechnen. Aktuell stehen Auftragsverarbeitungsbeziehungen, technische Schutzmaßnahmen und das Testdaten-Management im Fokus der Aufsicht.

Praxisfolgen / Handlungsempfehlung: Mandanten von Datev sollten zeitnah klären, ob ihre Daten im Versand enthalten waren, die eigene 33er-Meldung an die zuständige Aufsicht prüfen und das Lösch- bzw. Trennungskonzept für Test- und Produktivdaten beim Auftragsverarbeiter überprüfen. Beschäftigtenvertretungen sollten in die Aufarbeitung einbezogen werden. Allgemein gilt: Testdaten dürfen niemals identische personenbezogene Daten enthalten wie die Produktivdaten, ohne dass eine ausdrückliche Rechtsgrundlage vorliegt.

2.4 Cyberangriff auf ARWINI – bis zu 80.000 Patientendaten betroffen

04.05.2026 / Update 20.05.2026 · borncity.com

Zusammenfassung: Die Kassenärztliche Vereinigung Niedersachsen hat einen Cyberangriff auf den Prüfdienst ARWINI bestätigt. Alle Systeme wurden nach Bekanntwerden des Angriffs sofort abgeschaltet. Potenziell sind bis zu 80.000 Patientendaten aus der Rezeptprüfung betroffen. Trägerinnen sind u. a. die KV Niedersachsen, AOK und Techniker Krankenkasse.

Hintergrund & Einordnung: Der Vorfall betrifft eine zentrale Stelle der GKV-Prüflandschaft und unterstreicht die Verwundbarkeit gemeinsamer Dienstleister im Gesundheitswesen. Im Zusammenspiel mit den Anforderungen des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) und der schon länger geltenden KRITIS-Verordnung kommt damit auf die Beteiligten zusätzlich Druck zu, Schutzkonzepte konsequent nachzuziehen. Eine vollständige Schadenslage ist noch nicht öffentlich verfügbar.

Praxisfolgen / Handlungsempfehlung: Krankenkassen und Versicherte sollten Informationsmeldungen ihrer Kassen aufmerksam verfolgen. Verantwortliche im Gesundheitswesen sollten Lieferketten- und Auftragsverarbeitungs-Risiken überprüfen, insbesondere bei zentralen Prüfdienstleistern. Wer als Kassenpartner agiert, sollte die Wirksamkeit der vertraglich vereinbarten Sicherheitskontrollen anhand des aktuellen Vorfalls erneut bewerten und ggf. zusätzliche Audits anstoßen.

3.1 Cisco Catalyst SD-WAN: CVE-2026-20182 wird weiterhin ausgenutzt

19.–21.05.2026 · Cisco Security Advisory · The Hacker News · Rapid7

Zusammenfassung: Die Authentication-Bypass-Schwachstelle CVE-2026-20182 in der Peering-Authentifizierung über DTLS (UDP 12346) im Catalyst SD-WAN Controller (vSmart) und SD-WAN Manager (vManage) ist mit CVSS 10.0 als maximal kritisch eingestuft. Cisco bestätigt aktive Ausnutzung mit hoher Konfidenz durch den Cluster UAT-8616. CISA hat die Lücke in den KEV-Katalog aufgenommen; Frist für US-Bundesbehörden war der 17. Mai 2026.

Hintergrund & Einordnung: Der Angriff hängt mit einer fehlerhaften Geräte-Typ-Validierung bei DTLS-Peer-Verbindungen zusammen: Wer im Handshake vorgibt, ein vHub zu sein, wird trotz fehlender Zertifikatsprüfung als authentifiziert markiert. Rapid7 hat ein Metasploit-Modul veröffentlicht, womit eine massenhafte Ausnutzung praktisch nur eine Frage der Zeit ist. Die typische Post-Exploitation-Aktion ist das Einschleusen eines SSH-Public-Keys in /home/vmanage-admin/.ssh/authorized_keys, womit der Angreifer einen persistenten Admin-Zugang erhält.

Praxisfolgen / Handlungsempfehlung: Patchen Sie Controller und Manager auf die von Cisco empfohlenen Versionen, segmentieren Sie DTLS auf UDP 12346 strikt und beschränken Sie den Zugriff auf bekannte Peers. Prüfen Sie authorized_keys-Dateien auf neu hinzugefügte Schlüssel, durchsuchen Sie Logs auf Auffälligkeiten in Peer-Handshakes und rotieren Sie betroffene Schlüssel sowie Zertifikate. Workarounds allein reichen laut Cisco ausdrücklich nicht aus.

Update vom Donnerstag, 21. Mai 2026: Reports bestätigen weiterhin aktive Ausnutzung; öffentliches Metasploit-Modul erhöht das Risiko massenhafter Scans signifikant.

3.2 Microsoft Exchange OWA CVE-2026-42897 weiterhin ohne regulären Patch

14.–21.05.2026 · Microsoft TechCommunity · The Hacker News · NVD CVE-2026-42897

Zusammenfassung: Die Spoofing-Schwachstelle CVE-2026-42897 in Outlook Web Access (XSS-Basis, CVSS 8.1) erlaubt es Angreifern, mit einer speziell präparierten Mail JavaScript im OWA-Kontext eines Nutzers auszuführen. Betroffen sind die On-Prem-Versionen Subscription Edition RTM, Exchange Server 2019 und 2016; Exchange Online ist nicht betroffen.

Hintergrund & Einordnung: Microsoft hat eine automatische Mitigation über den Exchange-EM-Service ausgerollt, ein regulärer Patch ist noch nicht erschienen. CISA hat die Lücke in den KEV-Katalog aufgenommen. Der Angriff erfolgt typischerweise als gezielte Phishing-Mail, die Authentifizierungsabläufe oder OWA-Suchfunktionen simuliert.

Praxisfolgen / Handlungsempfehlung: Aktivieren Sie die Mitigation M2.1.0, prüfen Sie ihre korrekte Anwendung im Exchange Health Checker, beschränken Sie OWA per Conditional Access auf gemanagte Geräte und kombinieren Sie OWA mit einer Web Application Firewall. Spielen Sie zusätzlich Awareness gegen ungewöhnliche Login-Masken im Vorschaufenster aus.

Update vom Donnerstag, 21. Mai 2026: Status unverändert – kein regulärer Patch verfügbar, Mitigation bleibt verpflichtend.

3.3 Drupal Core CVE-2026-9082: „Highly critical" SQL Injection (PostgreSQL)

20.05.2026 · Drupal SA-CORE-2026-004 · PSA-2026-05-18 · The Hacker News

Zusammenfassung: Drupal hat am 20. Mai eine als „highly critical" eingestufte SQL-Injection-Schwachstelle im Database Abstraction Layer (CVE-2026-9082, Score 20/25) geschlossen. Betroffen sind Drupal-Sites auf PostgreSQL; ein anonymer Angreifer kann durch speziell formulierte Anfragen beliebige SQL-Anweisungen einschleusen.

Hintergrund & Einordnung: Patches stehen für 11.3 / 11.2 / 10.6 / 10.5 sowie ausnahmsweise auch für 11.1 / 10.4 und sogar Drupal 9.5 und 8.9 bereit. Die kombinierte Schwere und Verbreitung (Verwaltungen, Hochschulen, Verlage) macht die Lücke zu einem klassischen Massenscan-Target. Erste PoC-Aktivität ist nach den Patch-Notes zu erwarten.

Praxisfolgen / Handlungsempfehlung: Drupal-Verantwortliche aktualisieren ihre Sites sofort, bevorzugt mit Snapshot der Datenbank und Webserver-Logs zur Forensik. Sites auf MySQL/MariaDB sind nach Angaben der Maintainer nicht betroffen, sollten aber gleichwohl aktuell gehalten werden. Prüfen Sie zusätzlich Reverse-Proxy-Logs auf untypische Datenbankzugriffe und Fehler.

3.4 Microsoft Patch Tuesday Mai 2026: 120+ Schwachstellen, Defender-Lücken im KEV

13.05.–20.05.2026 · BleepingComputer · The Hacker News · CISA KEV Update

Zusammenfassung: Microsoft hat im Mai-Patchday je nach Zählweise 120 bzw. 138 Schwachstellen geschlossen, darunter 17 bzw. 30 als „Critical" eingestufte. Hervorzuheben sind CVE-2026-40361 (Outlook Zero-Click), CVE-2026-41096 (Windows DNS Client RCE, CVSS 9.8), CVE-2026-35421 (Windows GDI RCE) sowie mehrere Word-RCE-Lücken, die bereits beim Rendern in der Vorschau wirken.

Hintergrund & Einordnung: CISA hat am 20. Mai zusätzlich zwei Microsoft-Defender-Schwachstellen (CVE-2026-41091 EoP und CVE-2026-45498 DoS) sowie fünf historische Bugs aus 2008–2010 in den KEV-Katalog aufgenommen. Die Defender-Bugs sind in vielen Umgebungen besonders kritisch, da Endpoint-Protection-Komponenten dauerhaft auf dem Endgerät laufen und entsprechend prominente Ziele sind.

Praxisfolgen / Handlungsempfehlung: Vervollständigen Sie die Mai-Rollouts inklusive Defender-Definitions-/Engine-Updates, priorisieren Sie DNS-Client-Patches in Domänen-/Edge-Systemen und prüfen Sie Outlook-/Word-Vorschau-Konfigurationen. Wo möglich, aktivieren Sie zusätzlich Attack-Surface-Reduction-Regeln, um Office-RCEs einzudämmen.

3.5 Mozilla CVE-2026-8958: Sandbox-Escape in Firefox und Thunderbird

19.05.2026 · Mozilla Security Advisories · TheHackerWire

Zusammenfassung: Mozilla hat eine als hochkritisch eingestufte Sandbox-Escape- und Informationsleck-Schwachstelle (CVE-2026-8958, CVSS 8.6) in Firefox und Thunderbird geschlossen. Betroffen sind Firefox vor 151 und ESR vor 140.11 sowie Thunderbird vor 151 und ESR vor 140.11.

Hintergrund & Einordnung: Sandbox-Escapes in Browsern und Mail-Clients gehören zu den hochwertigsten Bugs aus Sicht professioneller Angreifer. CVE-2026-8958 erlaubt das Umgehen der Prozess-Isolation, was Angreifern Zugriff auf sensible Daten im Hostkontext oder die Ausführung von Code außerhalb der Browser-Sandbox ermöglichen kann.

Praxisfolgen / Handlungsempfehlung: Aktualisieren Sie Firefox auf 151 / ESR 140.11 und Thunderbird auf 151 / ESR 140.11 zeitnah über zentrale Update-Mechanismen (z. B. Mozilla Background Updater, MDM-Profile). Auf MFA-Konten und VIP-Geräten sollten Sie das Update besonders priorisieren.

3.6 SonicWall SSL-VPN: MFA-Bypass-Welle hält an – Patch reicht nicht

Update 20.05.2026 · BleepingComputer · SecurityAffairs

Zusammenfassung: Angreifer brute-forcen Zugangsdaten auf SonicWall Gen6 SSL-VPN-Geräten und umgehen MFA über die unvollständige Behebung von CVE-2024-12802. Hintergrund ist eine fehlende MFA-Erzwingung für das UPN-Login-Format, das auch nach einem reinen Firmware-Update bestehen bleiben kann.

Hintergrund & Einordnung: Die Angriffe werden mit der Akira-Ransomware-Gruppe in Verbindung gebracht und imitieren in den Logs einen normalen MFA-Ablauf, was Detection deutlich erschwert. SonicWall verweist explizit darauf, dass ohne eine zusätzliche manuelle Rekonfiguration der LDAP-Anbindung der MFA-Bypass weiter möglich ist.

Praxisfolgen / Handlungsempfehlung: Führen Sie auf allen Gen6-Geräten die LDAP-Rekonfiguration gemäß SonicWall-Notice durch, deaktivieren Sie SSL-VPN aus dem Internet, soweit nicht zwingend notwendig, und überwachen Sie Login-Patterns auf untypische UPN-Strings. Erzwingen Sie risikobasierte Bedingungen (z. B. nur über VPN-Konzentrator im Conditional Access).

4.1 EuGH C-526/24 „Brillen Rottler": Erster Auskunftsanspruch kann missbräuchlich sein

Gericht: Europäischer Gerichtshof · 19.03.2026 · C-526/24 · lto.de

Sachverhalt: Ein Kunde verlangte von einem Optiker erstmals Auskunft nach Art. 15 DSGVO. Aus der Kommunikation ergab sich, dass das Ziel des Antrags nicht das Verstehen der eigenen Verarbeitung war, sondern die Vorbereitung eines Schadensersatzanspruchs nach Art. 82 DSGVO. Das vorlegende deutsche Gericht wollte vom EuGH wissen, ob bereits der erste Antrag als rechtsmissbräuchlich zurückgewiesen werden darf.

Entscheidung: Der EuGH hat klargestellt, dass der erste Auskunftsanspruch unter bestimmten Voraussetzungen als „exzessiv" im Sinne der DSGVO eingestuft und damit abgelehnt werden darf, wenn er nicht zur informationellen Selbstbestimmung, sondern künstlich zur Erzeugung von Schadensersatzansprüchen dient.

Begründungs-Kernpunkte: Der Gerichtshof betont, dass die DSGVO das Recht auf Auskunft schützt, aber keinen Anspruch begründet, das Datenschutzrecht für eine andere als die normbezogene Zielsetzung instrumentalisieren zu können. Verantwortliche tragen die Darlegungslast für die Missbräuchlichkeit; ein bloßer „Verdacht" reicht nicht. Der Schadensersatzanspruch nach Art. 82 DSGVO bleibt unangetastet.

Praxisfolgen: Unternehmen sollten ihre Prozesse zur Bearbeitung von Auskunftsanträgen anpassen: Antragslage, Kommunikation, frühere Anträge und ggf. parallele Forderungen werden dokumentiert und im Bedarfsfall als Indizien für eine missbräuchliche Antragstellung genutzt. Pauschale Ablehnungen bleiben jedoch unzulässig; jeder Einzelfall ist sauber zu begründen.

4.2 EuGH C-797/23 Meta Platforms Ireland: Nationale Verlegervergütungen zulässig

Gericht: Europäischer Gerichtshof · 12.05.2026 · C-797/23 · curia.europa.eu

Sachverhalt: Mehrere Mitgliedstaaten hatten Vergütungsregelungen für Verlage gegenüber Online-Plattformen geschaffen, die unter anderem Vorschau-Snippets von Presseartikeln auf Social-Media-Diensten anbieten. Meta hatte sich gegen die nationalen Vorschriften gewendet und auf eine unzulässige Belastung der Plattformfreiheit verwiesen.

Entscheidung: Der EuGH hat entschieden, dass Mitgliedstaaten Verlagen ein Vergütungsrecht gegenüber Online-Plattformen zuerkennen dürfen. Die Vergütung muss als wirtschaftliche Gegenleistung ausgestaltet sein; Plattformen sind verpflichtet, die zur Berechnung erforderlichen Daten offenzulegen.

Begründungs-Kernpunkte: Der Gerichtshof stützt sich auf die DSM-Richtlinie und betont das berechtigte Interesse der Mitgliedstaaten, die wirtschaftliche Basis verlagsfinanzierter Inhalte zu sichern. Datenschutzrechtliche Fragen ergeben sich vor allem aus der Pflicht zur Offenlegung von Nutzungs- und Reichweitendaten; diese müssen so eingerichtet sein, dass sie nicht zu einer unzulässigen Re-Identifikation der Nutzer führen.

Praxisfolgen: Verlage und Plattformen müssen Schnittstellen für die Datenoffenlegung schaffen und vertraglich klar regeln. Datenschutzbeauftragte sind frühzeitig in die Vertragsgestaltung einzubeziehen, insbesondere bezüglich Pseudonymisierung, Aggregation und Zweckbindung der ausgetauschten Daten.

4.3 BGH 24.02.2026: Art. 15 DSGVO ist kein automatisches Nebenrecht abgetretener Ansprüche

Gericht: Bundesgerichtshof · 24.02.2026 · lto.de

Sachverhalt: Ein Inkassodienstleister hatte Forderungen abgetreten erhalten und im Anschluss vom Schuldner-Datenverantwortlichen umfassende Auskunft nach Art. 15 DSGVO verlangt, um die Höhe der Forderung zu untermauern.

Entscheidung: Der Bundesgerichtshof hat entschieden, dass der Auskunftsanspruch nach Art. 15 DSGVO nicht automatisch als Nebenrecht mit abgetretenen Erstattungs- oder Schadensersatzansprüchen auf den Erwerber übergeht.

Begründungs-Kernpunkte: Der Auskunftsanspruch ist primär höchstpersönlich und dient der informationellen Selbstbestimmung. Eine schlichte Abtretung im Zivilrechtsverkehr kann diesen Charakter nicht überlagern; eine Zession kann den Anspruch nur unter besonderen Voraussetzungen erfassen.

Praxisfolgen: Verantwortliche können Auskunftsansprüche von Forderungserwerbern künftig differenzierter prüfen. Inkassodienstleister müssen entsprechend dokumentieren, ob und auf welcher Grundlage ein Auskunftsrecht im Einzelfall mit übertragen wurde.

5.1 Rekordbußgeld 100 Mio. EUR gegen Yango wegen Datentransfers nach Russland

18.05.2026 · boerse-express.com

Behörde: Niederländische Datenschutzaufsicht (AP), gemeinsam mit Finnland und Norwegen · Adressat: MLU B.V. (Mutter des Fahrdienstes Yango) · Höhe: 100 Mio. EUR

Verstoß / Rechtsgrundlage: Verstöße gegen die Anforderungen an internationale Datentransfers nach Kap. V DSGVO sowie unzureichende technische und organisatorische Maßnahmen. Standortdaten, Bankverbindungen und Ausweiskopien wurden an Server in Russland übermittelt; die zur Absicherung herangezogenen Standardvertragsklauseln waren wegen des dortigen Behördenzugriffs und der Aufbewahrung der Verschlüsselungsschlüssel in Russland nicht wirksam.

Begründung: Die Aufsichten betonten, dass die SCC ihre Schutzwirkung verlieren, sobald die zuständigen Schlüsselverwahrer ebenfalls dem Recht des Drittlandes unterworfen sind. Das russische „Yarovaya-Gesetz" erlaubt weitreichenden Behördenzugriff auf Anbieter, der mit einem europäischen Schutzniveau nicht vereinbar ist. Die Aufsicht ordnete zusätzlich die sofortige Einstellung aller weiteren Datentransfers an.

Praxisfolgen: Unternehmen mit Datenflüssen in russische, belarussische oder anderweitig dem Behördenzugriff unterliegende Drittländer müssen die SCC-Wirksamkeit anhand des konkreten Schlüssel- und Schutzkonzepts neu bewerten. Ein TIA (Transfer Impact Assessment), das nur formelhaft auf das Rechtssystem des Drittlandes verweist, reicht nach diesem Verfahren ausdrücklich nicht aus.

5.2 BlnBDI verwarnt BVG wegen Datenpanne bei Auftragsverarbeiter

06.05.2026 · datensicherheit.de

Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) · Adressat: Berliner Verkehrsbetriebe (BVG) · Höhe: Förmliche Verwarnung (kein Bußgeld)

Verstoß / Rechtsgrundlage: Art. 28 DSGVO (Pflichten der Verantwortlichen gegenüber Auftragsverarbeitern, insbesondere Lösch-Kontrolle nach Auftragsende) sowie Art. 33 DSGVO (Meldepflicht innerhalb von 72 Stunden).

Begründung: Ein Auftragsverarbeiter hatte 2025 rund 180.000 Kundendatensätze der BVG für Brief- und Mailversand verarbeitet. Nach Auftragsende waren die Daten nicht gelöscht und flossen bei einem späteren Cyberangriff ab. Die BlnBDI rügte, dass die BVG sich allein auf vertragliche Zusicherungen verlassen, aber die tatsächliche Löschung nicht kontrolliert habe; zudem sei die Meldung an die Aufsicht erst nach Ablauf der 72-Stunden-Frist erfolgt.

Praxisfolgen: Verantwortliche brauchen ein dokumentiertes Lösch-Controlling am Ende jeder Auftragsverarbeitung – idealerweise mit Schritten wie Vorlagedokument, Stichprobenkontrolle, technischen Bestätigungen und Aufbewahrungs-Protokollen. Außerdem gehört eine eingespielte 72-Stunden-Prozesskette zur Meldung an die Aufsicht (mit verbindlichen Eskalationsfristen) in jede Datenpannen-Vorbereitung.

6.1 Microsoft zerschlägt „Fox Tempest"-Malware-Signing-Dienst

19.05.2026 · Microsoft Security Blog · The Hacker News · BleepingComputer

Zusammenfassung: Die Digital Crimes Unit (DCU) von Microsoft hat zusammen mit Partnern den Malware-Signing-as-a-Service-Anbieter „Fox Tempest" zerschlagen. Über die Plattform konnten zahlende Cyberkriminelle Malware-Dateien mithilfe missbräuchlich erworbener Zertifikate signieren lassen. Schadcode tarnte sich anschließend als legitime Software wie AnyDesk, Microsoft Teams, PuTTY oder Cisco Webex; der Preis lag zwischen 5.000 und 9.000 US-Dollar je Auftrag.

Hintergrund & Einordnung: Microsoft attribuiert dem Akteur die Erstellung von über 1.000 Zertifikaten und hunderten Azure-Tenants und -Subscriptions. Microsoft Threat Intelligence verbindet Fox Tempest mit den Ransomware-Akteuren Vanilla Tempest, Storm-0501, Storm-2561 und Storm-0249. Im Rahmen der Operation „OpFauxSign" wurde die Domain signspace[.]cloud beschlagnahmt; mehrere Hundert virtuelle Maschinen wurden außer Betrieb genommen.

Praxisfolgen / Handlungsempfehlung: Verteidiger sollten Endpoint-Konfigurationen so härten, dass Code-Signing-Zertifikate streng gegen Sperrlisten (CRL/OCSP) geprüft werden. Detection-Regeln für gängige Maskerade-Namen wie „AnyDesk", „Webex", „PuTTY" mit untypischer Code-Herkunft sind anzupassen. Verhindern Sie zudem, dass unsignierte oder mit Drittanbieter-Trust signierte Binärdateien aus Benutzerverzeichnissen ausgeführt werden können.

6.2 BKA-Bundeslagebild Cybercrime 2025: 335.000 Fälle, 202 Mrd. EUR Schaden

12.05.2026 · BKA Pressemitteilung · BMI Pressemitteilung

Zusammenfassung: Das BKA hat am 12. Mai das Bundeslagebild Cybercrime 2025 vorgelegt: rund 335.000 Fälle Cybercrime im engeren Sinne, ein geschätzter Wirtschaftsschaden von 202,4 Milliarden Euro (rund 4,5 % des BIP), 1.041 Ransomware-Anzeigen (+10 % gegenüber Vorjahr). Rund zwei Drittel der Taten erfolgten aus dem Ausland oder von unbekannten Orten.

Hintergrund & Einordnung: Bundesinnenminister Dobrindt und BKA-Vizepräsidentin Link betonten die Rolle KI-gestützter Angriffe und die zunehmende Professionalisierung der Crime-as-a-Service-Szene. Die Zahlen passen zu den Beobachtungen kommerzieller Threat-Intelligence-Anbieter, die für 2025 erhebliche Zuwächse in den Bereichen Ransomware, Phishing und Identitätsmissbrauch berichten.

Praxisfolgen / Handlungsempfehlung: Unternehmen sollten Lagebild-Kennzahlen in eigenen Risikoanalysen und in der Awareness-Kommunikation verwenden. Insbesondere die kombinierte Wirkung von Phishing, gestohlenen Zugangsdaten und Ransomware spricht für eine konsequente Umsetzung von MFA, Passwort-Managern, EDR und einer eingespielten Incident-Response-Organisation.

6.3 BSI-Cybersicherheitsmonitor 2026: Jede zehnte Person betroffen

11.05.2026 · BSI

Zusammenfassung: Der BSI-Cybersicherheitsmonitor 2026 zeigt, dass im vergangenen Jahr jede zehnte Person in Deutschland von Cyberkriminalität betroffen war. Schwerpunkte sind Phishing, Identitätsdiebstahl, Schadsoftware und Betrug im Online-Handel.

Hintergrund & Einordnung: Der Monitor zeigt unter anderem, dass das Schutzverhalten bei jüngeren Erwachsenen tendenziell zurückgeht, während die Awareness gegenüber Phishing zwar steigt, in der Krisensituation aber häufig nicht stark genug ausgeprägt ist. Damit decken sich die Befunde teilweise mit dem BKA-Lagebild.

Praxisfolgen / Handlungsempfehlung: Multi-Faktor-Anmeldung, ein Passwort-Manager und eine gesunde Skepsis gegenüber unaufgefordert zugesandten Nachrichten bleiben die wichtigsten Schutzmaßnahmen für Privatpersonen und Beschäftigte. Unternehmen sollten in ihren Awareness-Programmen die im Monitor benannten Schwächen gezielt adressieren.

6.4 Gemeinsamer BfV/BSI-Sicherheitshinweis: Phishing über Messenger

19.05.2026 · BSI Cybersicherheitswarnung · BfV Kurzmitteilung

Zusammenfassung: Bundesamt für Verfassungsschutz (BfV) und Bundesamt für Sicherheit in der Informationstechnik (BSI) warnen gemeinsam vor Phishing-Kampagnen über Messengerdienste wie WhatsApp, Telegram und Signal. Beschäftigte sicherheitsrelevanter Branchen werden gezielt adressiert.

Hintergrund & Einordnung: Messenger-Phishing nutzt aus, dass diese Kanäle im beruflichen Alltag häufig als „informell" wahrgenommen werden. Klassische Sicherheits-Reflexe gegen Mail-Anhänge greifen dort weniger; gleichzeitig sind Antworten und Bestätigungen in Messenger-Threads kulturell näher und damit leichter zu missbrauchen.

Praxisfolgen / Handlungsempfehlung: Klar formulierte Richtlinien zum dienstlichen Messenger-Einsatz, Awareness-Module mit konkreten Beispielen und definierte Eskalationspfade (z. B. „Bei verdächtigen Messenger-Nachrichten: über Mail melden, nie im Messenger zurückklicken") sind die wirksamsten Gegenmaßnahmen. Verantwortliche im Personenschutz und in der Wirtschaftsspionage-Abwehr sollten zudem den BfV/BSI-Hinweis als Pflichtlektüre setzen.