1. Cisco Catalyst SD-WAN: Authentication-Bypass (CVSS 10.0) weiterhin aktiv ausgenutzt

Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Freitag, 22. Mai 2026 · Score 95

Die kritische Authentication-Bypass-Lücke CVE-2026-20182 im Cisco Catalyst SD-WAN Controller (vormals vSmart) und Catalyst SD-WAN Manager (vormals vManage) wird unverändert aktiv ausgenutzt. Eine Schwachstelle im Peering-Dienst „vdaemon" über DTLS auf UDP 12346 erlaubt es nicht authentifizierten Angreifern aus dem Netz, sich als authentifizierter Peer einer Appliance auszugeben und administrative Operationen durchzuführen, etwa einen eigenen SSH-Public-Key in /home/vmanage-admin/.ssh/authorized_keys zu schreiben. Die KEV-Frist der US-Behörde CISA ist am 17. Mai abgelaufen.

Letzte Entwicklung: Rapid7 hat seit Anfang dieser Woche ein öffentliches Metasploit-Modul veröffentlicht; Cisco bestätigt fortgesetzte Beobachtung des Aktivitäts-Clusters UAT-8616 und weist darauf hin, dass Workarounds allein nicht ausreichen. Erste Patch-Zweige sind 20.9.9.1, 20.12.7.1, 20.15.4.4/20.15.5.2, 20.18.2.2 und 26.1.1.1.

2. GitHub-Breach: TeamPCP exfiltriert rund 3.800 interne Repositories

Seit Mittwoch, 20. Mai 2026 · zuletzt aktualisiert Freitag, 22. Mai 2026 · Score 90

Die Microsoft-Tochter GitHub hat bestätigt, dass die Erpressergruppe TeamPCP Zugriff auf rund 3.800 ihrer internen Code-Repositories hatte. Einstiegspunkt war eine vergiftete Visual-Studio-Code-Erweiterung, die ein GitHub-Mitarbeiter installiert hatte. Kunden- und Produktionsdaten seien nach Stand des Unternehmens nicht betroffen. TeamPCP hat die Daten gemeinsam mit LAPSUS$ für 95.000 US-Dollar zum Verkauf gestellt und mit kostenfreiem Leak gedroht.

Letzte Entwicklung: Es liegen weiterhin keine Hinweise auf Abfluss von Kundendaten vor. Im Umfeld der TanStack-npm-Supply-Chain-Welle, an die der Vorfall zeitlich anschließt, sind Tooling-Audits empfehlenswert; Grafana hat einen weiteren, im Nachgang derselben Welle ausgelösten Breach offengelegt.

3. Microsoft Exchange OWA CVE-2026-42897 weiterhin aktiv ausgenutzt – kein regulärer Patch

Seit Donnerstag, 14. Mai 2026 · zuletzt aktualisiert Freitag, 22. Mai 2026 · Score 88

Die Spoofing-Schwachstelle CVE-2026-42897 in Outlook Web Access (CVSS 8.1) erlaubt Angreifern, mit präparierten Mails JavaScript im OWA-Kontext eines Opfers auszuführen. Betroffen sind die On-Prem-Versionen Subscription Edition RTM, Exchange Server 2019 und 2016; Exchange Online ist nicht betroffen.

Letzte Entwicklung: Microsoft hat die automatische Mitigation über den Exchange-Emergency-Mitigation-Service (Mitigation M2.1.0) ausgerollt; ein regulärer Patch steht weiterhin aus. CISA hat die Schwachstelle in den KEV-Katalog aufgenommen, Frist für US-Behörden ist der 5. Juni 2026.

4. Bundesdatenschutzbeauftragte Specht-Riemenschneider kündigt Rückzug an

Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Freitag, 22. Mai 2026 · Score 85

Prof. Dr. Louisa Specht-Riemenschneider hat aus gesundheitlichen Gründen ihren Rückzug aus dem Amt der BfDI angekündigt; sie bleibt bis zur Wahl einer Nachfolge im Amt. Der 34. Tätigkeitsbericht für 2025 ist parallel an Bundestagspräsidentin Klöckner übergeben worden und benennt unter anderem die bestätigten Vodafone-Bußgelder in Höhe von insgesamt 45 Millionen Euro als Schwerpunkt.

Letzte Entwicklung: Die schwarz-rote Koalition aus CDU, CSU und SPD verfügt über die einfache Bundestags-Mehrheit, die für die Wahl der Nachfolge nötig ist. Verfahren, Beratungen und Beschwerden bei der BfDI laufen unverändert weiter.

5. Microsoft Patch Tuesday Mai 2026: 120+ Schwachstellen, CISA-KEV-Erweiterung am 20./21. Mai

Seit Mittwoch, 13. Mai 2026 · zuletzt aktualisiert Freitag, 22. Mai 2026 · Score 85

Im Mai-Patchday hat Microsoft je nach Zählweise 120 bzw. 138 Schwachstellen geschlossen, darunter CVE-2026-40361 (Outlook Zero-Click), CVE-2026-41096 (Windows DNS Client RCE, CVSS 9.8) und mehrere Word-RCE-Lücken. CISA hat den KEV-Katalog am 20. Mai um sieben weitere Schwachstellen erweitert.

Letzte Entwicklung: Am 21. Mai folgte eine weitere KEV-Erweiterung um CVE-2025-34291 (Langflow-AI, CORS-/Cookie-Kette, RCE) und CVE-2026-34926 (Trend Micro Apex One On-Prem, Directory Traversal). Damit stehen am Wochenende mehrere ungepatchte aktiv ausgenutzte Lücken im Fokus deutscher KRITIS-Betreiber.

1.1 BfDI Specht-Riemenschneider bleibt bis zur Wahl der Nachfolge im Amt

19.05.2026 · BfDI Pressemitteilung · heise online

Zusammenfassung: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Louisa Specht-Riemenschneider, hat am 19. Mai 2026 ihren Rückzug aus dem Amt aus gesundheitlichen Gründen erklärt. Sie wird das Amt erst niederlegen, sobald eine Nachfolge gewählt ist. Die Suche fällt in die Verantwortung des Bundestages; die schwarz-rote Koalition aus CDU, CSU und SPD verfügt über die nötige einfache Mehrheit.

Hintergrund & Einordnung: Specht-Riemenschneider war erst gut anderthalb Jahre im Amt. In diese Zeit fielen die finale Umsetzung der NIS-2-Richtlinie, der Streit um die EU-Chatkontrolle, die Konkretisierung des AI Act und mehrere höchstrichterliche DSGVO-Entscheidungen. Eine kommissarische Weiterführung sichert die kontinuierliche Begleitung dieser Verfahren und insbesondere eine geordnete Übergabe der zahlreichen Verwaltungs- und Bußgeldverfahren – einschließlich des aktuell laufenden Vodafone-Verfahrens.

Praxisfolgen / Handlungsempfehlung: Für Verantwortliche ändert sich kurzfristig nichts: Beratungsanfragen, Beschwerden und Meldungen nach Art. 33 DSGVO können weiterhin bei der BfDI eingereicht werden. Wer aktuell mit der Behörde im Bußgeldverfahren steht, sollte die regulären Fristen weiterhin sehr ernst nehmen; eine Verfahrensbeschleunigung oder ‑pause ist mit dem Wechsel nicht zu erwarten. Beobachten Sie mittelfristig, ob die kommende Spitze die Schwerpunkte (KI-Aufsicht, internationale Transfers, Beschäftigtendatenschutz) verschiebt.

1.2 34. Tätigkeitsbericht der BfDI: 11.824 Eingaben, ReguLab-Sandbox, Vodafone-Bußgeld

19.05.2026 · BfDI Pressemitteilung · Tätigkeitsbericht 2025

Zusammenfassung: Der 34. Tätigkeitsbericht der BfDI weist für 2025 insgesamt 11.824 Eingaben (plus 36 Prozent gegenüber 2024), 80 Vor-Ort-Kontrollen und 129 aufsichtsrechtliche Maßnahmen aus. Schwerpunkte sind generative KI, Beschäftigtendatenschutz, Sicherheits- und Nachrichtendienste sowie internationale Datentransfers. Bestätigt sind die kombinierten Vodafone-Bußgelder in Höhe von 45 Millionen Euro: 15 Millionen wegen mangelhafter Kontrolle eines Auftragsverarbeiters und 30 Millionen wegen Sicherheitsmängeln im „MeinVodafone"-Authentifizierungsprozess.

Hintergrund & Einordnung: Der Bericht hat in der deutschen Datenschutzpraxis Leitlinien-Charakter. Neu sind die Formate ReguLab (Datenschutz-Sandbox), Datenbarometer und ein Strategic-Foresight-Prozess zu Neurodaten. Reformfragen wie die Verlagerung der Nachrichtendienst-Aufsicht zum Unabhängigen Kontrollrat (UKRat) bleiben offen. Die Vodafone-Bußgelder setzen einen Maßstab dafür, wie scharf die BfDI bei Sicherheitsmängeln in Identifizierungs- und Authentifizierungsprozessen sanktioniert – und wie hoch der Beitrag „Auftragsverarbeiter-Kontrolle" gewichtet wird.

Praxisfolgen / Handlungsempfehlung: Verantwortliche sollten die Sektionen zu KI und Beschäftigtendatenschutz mit Blick auf eigene Verarbeitungstätigkeiten querlesen und insbesondere die Aussagen zu Auftragsverarbeitung, gemeinsamer Verantwortung und Datentransfers in DSFA und Verzeichnisse einarbeiten. Telekommunikations- und Plattformanbieter sollten ihre Identifizierungsprozesse (insb. Hotline- und Selfservice-Strecken) anhand der „MeinVodafone"-Linie überprüfen.

1.3 HmbBfDI hält an „Notice and Sweep"-Bewertung des Russmedia-Urteils fest

12.05.2026 · HmbBfDI Pressemitteilungen

Zusammenfassung: Die Hamburger Aufsicht hält in einer 14-seitigen Bewertung an ihrer Linie fest, wonach Social-Media-Plattformen über das klassische „Notice and Take down"-Verfahren hinaus auch ein „Notice and Sweep"-Verfahren einrichten müssen. Vergleichbare rechtswidrige Inhalte sind aktiv aufzuspüren und zu entfernen, wenn ein konkreter Vorfall gemeldet wurde.

Hintergrund & Einordnung: Die Bewertung trifft Plattformen, die personenbezogene Daten Dritter weiterverbreiten lassen, in einem sensiblen Punkt. Bei kommerziellen oder organisationsbetriebenen Profilen sieht der HmbBfDI weiterhin den Anwendungsbereich des Datenschutzrechts und nimmt Plattformen in die Pflicht, präventive Maßnahmen wie Identitätsverifikation oder Upload-Filter zu prüfen. Eine allgemeine Überwachungspflicht für alle Nutzerinnen und Nutzer leitet die Behörde nicht ab.

Praxisfolgen / Handlungsempfehlung: Unternehmen, die auf Social-Media-Plattformen werben oder mit ihnen als gemeinsame Verantwortliche im Sinne von Art. 26 DSGVO agieren, sollten ihre Vereinbarungen mit Plattformen überprüfen. Prozesse zur Meldung rechtswidriger Inhalte und der Umgang mit „ähnlichen" Wiederholungen sollten klar geregelt und dokumentiert sein. Wer eigene Profile betreibt, sollte Moderations- und Meldeprozesse formal an die HmbBfDI-Bewertung andocken.

1.4 LDI NRW: Klinikprüfung zeigt Verbesserungspotenzial im Datenpannenmanagement

Mai 2026 · LDI NRW Pressemitteilung

Zusammenfassung: Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat 33 Kliniken zu ihrem Datenpannenmanagement und konkreten Vorfällen befragt. Positiv vermerkt wird, dass Kliniken aufgrund hoher IT-Sicherheitsstandards selten von Cyberangriffen betroffen sind und Betroffene teilweise auch ohne rechtliche Pflicht informiert wurden. Auffällig: Zwölf Kliniken gaben an, in zwei Jahren keine einzige Datenpanne festgestellt zu haben.

Hintergrund & Einordnung: Die Aufsicht wertet die Zwölf-von-33-Quote als Hinweis auf strukturelle Schwächen im internen Meldewesen. Wenn niedrigschwellige Vorfälle nicht erfasst werden, fehlen Häufungs-Daten und Trends; spätere Kontrollen werden erschwert. Die Ergebnisse fügen sich in die deutschlandweite Linie der Aufsichten ein, nach der intern jeder Vorfall – auch ohne externe Meldepflicht – dokumentiert werden sollte.

Praxisfolgen / Handlungsempfehlung: Kliniken sollten Personalschulungen zum Erkennen und Melden von Datenpannen aktualisieren, ein zentrales Vorfallregister führen und auch „niedrigschwellige" Vorfälle (Fehlversand, Zugriff durch Unbefugte, verlegte Datenträger) dort aufnehmen. Wer das Register nicht hat, sollte es spätestens jetzt aufsetzen – auch außerhalb von NRW ist dies ein typischer Prüfschwerpunkt.

1.5 DSK erneuert Appell gegen anlasslose Chatkontrolle

05.05.2026 · DSK-Entschließung

Zusammenfassung: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat ihren Appell an die EU-Gesetzgeber und die Bundesregierung erneuert, die Pläne für eine anlasslose Chatkontrolle endgültig aufzugeben. Anlasslose Massenüberwachung, das Aushebeln der Ende-zu-Ende-Verschlüsselung und Client-Side-Scanning seien unverhältnismäßige Grundrechtseingriffe. Die vierte Trilog-Runde der EU hat am 11. Mai begonnen.

Hintergrund & Einordnung: Die DSK steht damit in einer Reihe mit BfDI, EDSA und ENISA, die alle vor den Auswirkungen einer anlasslosen Inhaltsprüfung warnen. Die ePrivacy-Ausnahme für freiwilliges Scannen ist Anfang April 2026 ausgelaufen, sodass freiwillige Scans aktuell ohne explizite Rechtsgrundlage erfolgen. Als Maßstab verweist die DSK auf BVerfG-Entscheidungen zur Vorratsdatenspeicherung und EuGH-Urteile (Tele2, La Quadrature du Net).

Praxisfolgen / Handlungsempfehlung: Anbieter sicherheitsrelevanter Kommunikationsdienste sollten ihre Krypto-Architektur dokumentieren und Argumente für die Vertraulichkeit als Schutzziel proaktiv mit ihren Datenschutzbeauftragten abstimmen. Bei der Bewertung neuer Kommunikations-Stacks (interne Messenger, Kollaborationsplattformen) sollten Anforderungen aus DSGVO, TKG/TTDSG und sektoralen Spezialgesetzen integriert betrachtet werden.

2.1 GitHub-Breach: TeamPCP exfiltriert rund 3.800 interne Repositories

20.05.2026 · Help Net Security · SecurityWeek · The Hacker News

Zusammenfassung: Die Microsoft-Tochter GitHub hat am 20. Mai 2026 bestätigt, dass die Hackergruppe TeamPCP Zugriff auf rund 3.800 ihrer internen Code-Repositories hatte. Einstiegspunkt war eine vergiftete Visual-Studio-Code-Erweiterung, die ein GitHub-Mitarbeiter installiert hatte. Kunden- und Produktionsdaten seien nach derzeitigem Stand nicht betroffen.

Hintergrund & Einordnung: TeamPCP bietet die Daten zusammen mit LAPSUS$ für 95.000 US-Dollar zum Verkauf an und droht mit einem kostenfreien Leak. Der Vorfall folgt der TanStack-npm-Supply-Chain-Welle, die unter anderem Grafana getroffen hat. Damit häuft sich diesen Mai die Zahl der erfolgreichen Angriffe über Editor-Erweiterungen und Build-Tools – ein Vektor, der bei vielen Organisationen unter dem Radar bleibt, weil VS-Code-Extensions selten als „klassische" Lieferkette gelten.

Praxisfolgen / Handlungsempfehlung: Personal Access Tokens und Workflow-Tokens prüfen und konsequent rotieren, MFA flächendeckend erzwingen, VS-Code-Extensions nach Reputation, Maintainer und Update-Verhalten auditen, gegebenenfalls eine Allow-List nutzen. Sicherheitsteams sollten zudem ihre Build-Pipelines auf vergiftete Abhängigkeiten in npm, PyPI und ähnlichen Registry-Quellen durchsuchen.

2.2 Grafana: GitHub-Repositories nach TanStack-Welle kompromittiert

19.05.2026 · The Hacker News · BleepingComputer · Grafana Labs

Zusammenfassung: Grafana Labs hat eingeräumt, dass ein nicht rotierter GitHub-Workflow-Token im Nachgang der TanStack-npm-Supply-Chain-Welle Angreifern Zugriff auf private Repositories ermöglicht hat. Der Token wurde am 1. Mai 2026 entwendet, eine Rotation fand statt, ein Workflow wurde aber übersehen. Am 16. Mai erhielt Grafana ein Erpressungsschreiben und entschied sich gegen die Zahlung.

Hintergrund & Einordnung: Die TanStack-Welle hat 160 npm- bzw. PyPI-Pakete getroffen, darunter Anwendungen bei OpenAI und Mistral. Der Grafana-Fall zeigt, dass eine schlichte „Wir haben rotiert"-Aussage als Krisenkommunikation nicht ausreicht – kritisch ist, ob wirklich jeder Token in jedem Workflow und jeder CI/CD-Pipeline ersetzt wurde. Solche „verwaisten" Tokens sind eine typische Spätfolge größerer Supply-Chain-Vorfälle.

Praxisfolgen / Handlungsempfehlung: Nach Supply-Chain-Vorfällen ein vollständiges Inventar aller Workflow-, App- und Personal-Tokens erstellen, gegen Erstellungs- und Verwendungs-Logs abgleichen und systematisch rotieren. „Just-in-time"-Credentials und kurzlebige OIDC-Tokens (z. B. via GitHub Actions) gegenüber statischen Geheimnissen bevorzugen.

2.3 Datev-Datenpanne: Lodas-Probeabrechnungen an fremde Kanzleien versendet

19.05.2026 · heise online · datensicherheit.de

Zusammenfassung: Beim Nürnberger Software-Dienstleister Datev kam es im Lohnabrechnungssystem Lodas zu einer meldepflichtigen Datenschutzpanne. Probeabrechnungen zur Qualitätskontrolle wurden an fremde Mandanten versendet; die Dokumente enthielten Namen, Anschriften, Sozialversicherungsnummern und Verdienstdaten von Beschäftigten. Datev hat die Anwender und die zuständige Aufsicht (BayLDA) informiert.

Hintergrund & Einordnung: Der Fall reiht sich in eine Serie deutscher Datenpannen ein, in denen ein Software- oder Cloud-Vorgang in einem Schritt eine erhebliche Zahl Betroffener erzeugt. Lodas ist im deutschen Steuerberater- und Lohnbüro-Markt weit verbreitet, sodass der Vorfall potenziell zehntausende Beschäftigte aus unterschiedlichsten Branchen erreicht. Für Verantwortliche bei den Mandanten ist relevant, ob die eigene Belegschaft betroffen ist – und ob die eigene Datenschutzdokumentation einen solchen Fehlversand als Auftragsverarbeiter-Risiko explizit antizipiert.

Praxisfolgen / Handlungsempfehlung: Datev-Mandanten sollten beim Anbieter konkrete Auskunft anfordern, welche Mitarbeiter betroffen sind, und nach Art. 33 DSGVO eigenständig prüfen, ob eine Meldepflicht ausgelöst wird. In Kommunikations-Templates sollten Hinweise zur Vigilanz gegenüber Versicherungs- und Sozialversicherungs-Identitätsbetrug ergänzt werden.

2.4 Cyberangriff auf ARWINI in Niedersachsen – bis zu 80.000 Patientendaten betroffen

04.05.2026 · Borncity

Zusammenfassung: Die Kassenärztliche Vereinigung Niedersachsen hat einen Cyberangriff auf den Prüfdienst ARWINI bestätigt. Alle Systeme wurden sofort abgeschaltet. Potenziell sind bis zu 80.000 Patientendatensätze aus der Rezeptprüfung betroffen. Trägerinnen sind unter anderem die KV Niedersachsen, AOK und Techniker Krankenkasse.

Hintergrund & Einordnung: Der ARWINI-Fall ist insbesondere mit Blick auf Art. 9 DSGVO heikel: Rezept- und Verordnungsdaten erlauben Rückschlüsse auf Gesundheit, Diagnosen und Lebenssituation. Bei einem Datenabfluss steigt das Risiko gezielten Identitäts- oder Versicherungs-Betrugs. Gleichzeitig zeigt der Fall, wie stark zentrale Prüfdienstleister im Gesundheitswesen zu Single-Point-of-Failures werden können, wenn sie für mehrere Krankenkassen und Kassenärztliche Vereinigungen parallel arbeiten.

Praxisfolgen / Handlungsempfehlung: Auftraggeber-Krankenkassen sollten ihre Auftragsverarbeitungsverträge mit ARWINI auf Pflichten zur Meldung, Forensik und Wiederherstellung prüfen und parallel eigene Risikoabwägungen für die Information der betroffenen Versicherten vornehmen. Versicherte werden über die jeweilige Krankenkasse informiert; eigeninitiatives Handeln ist nicht erforderlich.

2.5 Cyberangriff auf das Bauunternehmen Heberger (Schifferstadt)

07.05.2026 · ComputerWeekly DE (KW20)

Zusammenfassung: Das Bauunternehmen Heberger mit Sitz in Schifferstadt wurde nach Bestätigung einer Unternehmenssprecherin am 7. Mai 2026 in den frühen Morgenstunden Opfer eines Cyberangriffs. Eine Pressemitteilung mit Details zum Umfang liegt nicht vor; eine Einstufung als Ransomware-Vorfall ist nach öffentlichen Quellen nicht abschließend bestätigt.

Hintergrund & Einordnung: Der Vorfall reiht sich in eine fortwährende Welle von Angriffen auf mittelständische Bauunternehmen und Zulieferer ein, in der Angreifer häufig zu wenig segmentierte Active-Directory-Strukturen sowie offene RDP- oder VPN-Zugänge ausnutzen. Im NIS-2-Kontext sind Bauunternehmen je nach Größenordnung als „besonders wichtige Einrichtungen" oder „wichtige Einrichtungen" registrierungspflichtig; ein Cyberangriff dieser Größenordnung wird typischerweise auch zu Meldepflichten beim BSI führen.

Praxisfolgen / Handlungsempfehlung: Vergleichbare Mittelständler sollten die laufenden NIS-2-Selbst­einstufungen auf Aktualität prüfen, Notfall- und Meldeprozesse mit dem BSI gegenüber dem Vorfall „Heberger" durchspielen und externe Backup-Strecken (Offline, Immutable) verifizieren. Die Erkenntnis aus 2025 bleibt: Wer den ersten Login nicht hart absichert, verliert in der Regel die ganze Domäne.

3.1 Cisco Catalyst SD-WAN: CVE-2026-20182 (CVSS 10.0) – Metasploit-Modul öffentlich

19.05.2026 · The Hacker News · THN (CISA-KEV) · Cisco Security Advisory · Rapid7 · Cisco Talos

Zusammenfassung: CVE-2026-20182 ist eine Authentication-Bypass-Schwachstelle im Peering-Dienst „vdaemon" des Cisco Catalyst SD-WAN Controllers (vormals vSmart) und des Catalyst SD-WAN Managers (vormals vManage). Über DTLS auf UDP 12346 können nicht authentifizierte Angreifer aus dem Netz als authentifizierte Peers auftreten und administrative Operationen durchführen. CVSS 10.0; CISA-KEV; Frist für US-Behörden am 17. Mai abgelaufen.

Hintergrund & Einordnung: Cisco führt die Aktivitäten mit hoher Konfidenz auf das Cluster UAT-8616 zurück, das bereits zuvor mit CVE-2026-20127 die SD-WAN-Strecke ins Visier genommen hat. Mit der Veröffentlichung des Rapid7-Metasploit-Moduls dürften nun auch nicht zielgerichtete Massenscans und „Spray-and-Pray"-Kampagnen zunehmen. Erste Patch-Zweige sind 20.9.9.1, 20.12.5.4/20.12.6.2/20.12.7.1, 20.15.4.4/20.15.5.2, 20.18.2.2 sowie 26.1.1.1.

Praxisfolgen / Handlungsempfehlung: Sofortige Aktualisierung; Workarounds sind nach Cisco nicht hinreichend. DTLS-Strecke segmentieren, ungewöhnliche Peering-Versuche im UDP-12346-Verkehr loggen, SSH-Authorized-Keys (insb. /home/vmanage-admin/.ssh/authorized_keys) auf nicht autorisierte Einträge prüfen, NetFlow/SD-WAN-Telemetrie nach UAT-8616-IoCs durchsuchen.

3.2 Microsoft Exchange OWA CVE-2026-42897: aktive Ausnutzung, weiterhin kein regulärer Patch

14.05.2026 · Microsoft Tech Community · NVD · The Hacker News · Help Net Security

Zusammenfassung: Microsoft hat die Schwachstelle CVE-2026-42897 in Exchange Outlook Web Access bestätigt. Eine Spoofing-Lücke auf Basis eines Cross-Site-Scripting-Fehlers (CVSS 8.1) erlaubt es Angreifern, mit präparierten Mails JavaScript im OWA-Kontext eines Nutzers auszuführen. Betroffen sind die On-Prem-Versionen Subscription Edition RTM, 2019 und 2016; Exchange Online ist nicht betroffen. CISA hat die Lücke am 15. Mai in den KEV-Katalog aufgenommen, Frist 5. Juni 2026.

Hintergrund & Einordnung: Microsoft hat über den Exchange-Emergency-Mitigation-Service die automatische Mitigation M2.1.0 ausgerollt. Ein regulärer Patch steht weiterhin aus; Administratoren müssen sich also darauf verlassen, dass die Mitigation greift und die EM-Komponente erreichbar ist. Wer die Mitigation deaktiviert, öffnet die Lücke wieder.

Praxisfolgen / Handlungsempfehlung: Aktivierung von M2.1.0 verifizieren, OWA-Frontends bei Bedarf zusätzlich hinter Reverse-Proxy/WAF mit strikten CSP-Headern legen, Mail-Filter auf Spoofing-Indikatoren (HTML-Mailbody, suspekte iframe-/script-Kontexte, untypische Display-Namen) tunen. Mail-Gateways auf bekannte Exploit-Payloads scannen; Backups der EM-Konfiguration anlegen.

3.3 CISA-KEV-Update 21.05.2026: Langflow (CVE-2025-34291) und Trend Micro Apex One (CVE-2026-34926)

21.05.2026 · CISA Alert · Obsidian Security (Langflow) · BleepingComputer (Apex One)

Zusammenfassung: CISA hat am 21. Mai 2026 zwei neue Schwachstellen in den KEV-Katalog aufgenommen. CVE-2025-34291 in Langflow (CVSS 9.4) ist eine Kombination aus zu weit gefasstem CORS (allow_origins='*' mit allow_credentials=True) und Refresh-Cookies mit SameSite=None; eine schadhafte Webseite kann Refresh-Tokens des Opfers abgreifen und damit RCE auslösen. Aktive Ausnutzung wurde bereits ab 23. Januar 2026 beobachtet. CVE-2026-34926 in Trend Micro Apex One On-Prem ist eine Directory-Traversal-Schwachstelle (CVSS 6.7) auf der Management-Konsole, die ein Angreifer mit Admin-Zugriff auf die Konsole zur Schadcode-Verteilung an Endpunkte missbrauchen kann.

Hintergrund & Einordnung: Beide Lücken treffen sicherheitsnahe Komponenten: Langflow ist ein verbreitetes Open-Source-Framework für KI-Agenten und LLM-Workflows; ein Account-Takeover hier kann ganze Agenten-Stacks samt Schlüsseln und Cloud-Ressourcen kompromittieren. Trend Micro Apex One ist eine zentrale Endpoint-Security-Plattform – ein Angreifer auf der Konsole kann Sicherheitsrichtlinien und Software-Deployments auf den geschützten Endpunkten manipulieren.

Praxisfolgen / Handlungsempfehlung: Langflow-Deployments aktualisieren bzw. Konfiguration härten (Origin-Allow-List, SameSite=Lax/Strict für Refresh-Cookies, Trennung Frontend/Backend). Trend Micro Apex One On-Prem auf den von Trend bereitgestellten Patchstand heben, administrativen Zugriff auf die Konsole strikt einschränken (Jump-Host, MFA, IP-Allow-List) und Logs auf Pfad-Traversal-Versuche prüfen.

3.4 Drupal Core: CVE-2026-9082 Highly Critical SQL Injection (PostgreSQL)

20.05.2026 · Drupal SA-CORE-2026-004 · The Hacker News

Zusammenfassung: Drupal hat eine als „highly critical" eingestufte SQL-Injection-Schwachstelle (CVE-2026-9082, Score 20/25) im Database Abstraction Layer geschlossen. Betroffen sind Drupal-Sites auf PostgreSQL; anonyme Angreifer können über speziell formulierte Anfragen beliebige SQL-Anweisungen einschleusen. Patches stehen für 11.3, 11.2, 10.6, 10.5 sowie 11.1, 10.4, 9.5 und 8.9 bereit.

Hintergrund & Einordnung: Dass Patches bis zurück zu 8.9 ausgerollt wurden, verdeutlicht die Tragweite – Drupal pflegt sehr alte Branches nur ausnahmsweise. Sites auf MySQL/MariaDB sind nach Maintainer-Angaben nicht betroffen. Massenscans nach verwundbaren Endpunkten sind zu erwarten; deutsche Behörden- und Bildungs-Sites laufen häufig auf Drupal und sollten ihre Datenbank-Backends sauber inventarisieren.

Praxisfolgen / Handlungsempfehlung: Drupal-Sites auf die jeweils gepflegten Branch-Versionen heben, PostgreSQL-Logs auf untypische SQL-Patterns prüfen, WAF-Regeln gegen einfache SQLi-Vektoren aktivieren. Ältere 9.5/8.9-Sites, die nicht migriert werden können, gesondert priorisieren.

3.5 Mozilla CVE-2026-8958: Sandbox-Escape in Firefox und Thunderbird (CVSS 8.6)

19.05.2026 · Mozilla Security Advisories

Zusammenfassung: Mozilla hat eine als hochkritisch eingestufte Sandbox-Escape- und Information-Disclosure-Schwachstelle (CVE-2026-8958, CVSS 8.6) in Firefox und Thunderbird geschlossen. Betroffen sind Firefox vor 151 und ESR vor 140.11 sowie Thunderbird vor 151 und ESR vor 140.11.

Hintergrund & Einordnung: Sandbox-Escapes in Browsern und Mail-Clients eignen sich besonders gut als Initialvektor für gezielte Angriffe gegen Beschäftigte, weil sie typische EDR-Annahmen (kompromittierter Browser ≠ kompromittiertes System) untergraben. Zusammen mit den OWA- und Outlook-Lücken aus dem Mai-Patchday entsteht ein bemerkenswerter Stack an Initialzugriffspunkten über E-Mail- und Browser-Komponenten.

Praxisfolgen / Handlungsempfehlung: Firefox auf 151 / ESR 140.11 und Thunderbird auf 151 / ESR 140.11 ausrollen, Mail-Frontends absichern, JavaScript-Last in Mail-Vorschau minimieren, Drive-by-Filterung im Web-Proxy aktivieren.

3.6 SonicWall SSL-VPN: anhaltende MFA-Bypass-Welle (CVE-2024-12802)

20.05.2026 · BleepingComputer · SecurityAffairs

Zusammenfassung: Angreifer brute-forcen Zugangsdaten auf SonicWall Gen6 SSL-VPN-Geräten und umgehen MFA über die unvollständige Behebung von CVE-2024-12802. Hintergrund ist eine fehlende MFA-Erzwingung für das UPN-Login-Format, das auch nach einem reinen Firmware-Update bestehen bleibt.

Hintergrund & Einordnung: Die Angriffe werden mit der Akira-Ransomware-Gruppe in Verbindung gebracht. SonicWall verlangt zusätzlich zur Firmware eine manuelle LDAP-Rekonfiguration, was bei vielen Betreibern bislang übersehen wurde. Damit bleibt das SSL-VPN ein lohnender Initial-Access-Vektor in den Mittelstand.

Praxisfolgen / Handlungsempfehlung: Nach dem Firmware-Update prüfen, ob die manuelle LDAP-Rekonfiguration durchgeführt wurde; UPN-Login-Format gezielt prüfen. VPN-Logs auf Brute-Force-Muster und ungewöhnliche Anmeldungen scannen, exponierte SSL-VPN-Logins durch Conditional Access oder Geofencing absichern.

3.7 SAP Patchday Mai 2026: zwei CVSS-9.6-Lücken in Commerce Cloud und S/4HANA

12.05.2026 · SAP Security Patch Day Mai 2026 · heise online (en)

Zusammenfassung: SAP hat 17 neue bzw. aktualisierte Security Notes veröffentlicht, darunter drei HotNews-Hinweise. Besonders kritisch sind CVE-2026-34263 (SAP Commerce Cloud, fehlerhafte Spring-Security-Konfiguration, Code Injection; CVSS 9.6) und CVE-2026-34260 (SAP S/4HANA Enterprise Search, SQL Injection bei authentifiziertem Zugriff; CVSS 9.6). CVE-2026-34259 (SAP Forecasting & Replenishment, OS-Command-Injection; CVSS 8.2) wurde ebenfalls geschlossen.

Hintergrund & Einordnung: SAP-Landschaften gehören in deutschen Großunternehmen zu den am stärksten regulierten Plattformen und unterliegen über NIS-2 und sektorale Vorgaben hohen Resilienz-Anforderungen. Die SAP-Note-Lage zeigt diesen Monat erneut, dass „Standard-Spring-Security-Defaults" in unternehmenskritischen Plattformen nicht ausreichen – Konfigurations-Härtung muss aktiv betrieben werden.

Praxisfolgen / Handlungsempfehlung: Commerce-Cloud- und S/4HANA-Instanzen mit Priorität patchen, Wartungsfenster konsolidieren und Spring-Security-Konfigurationen in der Commerce Cloud reviewen. Bei Forecasting & Replenishment OS-Befehlsketten auf Eingabe-Validierung prüfen.

4.1 KG Berlin 30.04.2026 – 20 VKl 1/25: DSGVO-Sammelklage SOMI ./. X unzulässig

Kammergericht Berlin · 30.04.2026 · 20 VKl 1/25 · Pressemitteilung KG Berlin

Sachverhalt: Die Stiftung Onderzoek Marktinformatie (SOMI) hat eine Abhilfeklage nach VDuG gegen X (vormals Twitter) erhoben und mindestens 750 Euro pro deutschem Nutzer sowie weitere 250 Euro pro Datenleck-Betroffenem gefordert. Hintergrund waren mehrere Datenpannen bei der Plattform.

Entscheidung: Das KG Berlin hat die Klage als unzulässig abgewiesen.

Begründungs-Kernpunkte: Die Ansprüche sind nicht „im Wesentlichen gleichartig" im Sinne von § 15 Abs. 1 VDuG. Kontrollverlust und etwaige schadensvergrößernde Umstände hängen zu sehr vom Einzelfall ab; eine pauschale Bündelung in einer Abhilfeklage ist deshalb nicht möglich. Die Linie folgt der EuGH-Rechtsprechung zu Art. 82 DSGVO, nach der ein konkreter, kausaler Schaden erforderlich ist.

Praxisfolgen: Massenverfahren bleiben in DSGVO-Konstellationen vorerst auf den Einzelklageweg verwiesen. Für Unternehmen ist die Entscheidung eine Entlastung gegenüber „Abhilfeklage-Strategien"; die individuelle Klagewelle bleibt erhalten. Verbraucherinnen und Verbraucher sollten – wie auch die Verbraucherzentrale in der Office-Übersicht hervorhebt – ihre Rechte einzeln dokumentieren und geltend machen. Revision zum BGH ist möglich.

4.2 VG Berlin 06.05.2026 – VG 42 K 73/25: Ausweis­kontrollen und Videoüberwachung in Sommerbädern datenschutzkonform

VG Berlin · 06.05.2026 · VG 42 K 73/25 · Pressemitteilung VG Berlin · LTO

Sachverhalt: Die Berliner Bäder-Betriebe haben 2023 nach dokumentierten Sicherheitsvorfällen – darunter Drohungen, körperliche Angriffe und dreimalige Bäderräumungen – Ausweis­kontrollen ab 14 Jahren und punktuelle Videoüberwachung in fünf Sommerbädern eingeführt. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hatte die Bäder-Betriebe deswegen verwarnt.

Entscheidung: Das VG Berlin hat die Verwarnung der BlnBDI aufgehoben und die Maßnahmen für datenschutzkonform erklärt.

Begründungs-Kernpunkte: Der Schutz von Leben, Gesundheit und Freiheit der Badegäste überwiegt den niedrigschwelligen Eingriff in das Recht auf informationelle Selbstbestimmung. Die Ausweisdaten werden nicht dokumentiert; die Videoaufnahmen sind nur 72 Stunden gespeichert. Das Urteil ist noch nicht rechtskräftig; die BlnBDI prüft die Berufung zum OVG Berlin-Brandenburg.

Praxisfolgen: Erste verwaltungsgerichtliche Maßstabsbildung für flächendeckende Identifizierungsmaßnahmen in öffentlichen Einrichtungen mit dokumentierter Sicherheitslage. Betreiber öffentlicher Einrichtungen sollten ihre Maßnahmen entlang der vom VG genannten Kriterien (dokumentierte Vorfälle, kurze Speicherfristen, keine Dokumentation der Ausweisdaten) ausgestalten und in den Verzeichnissen entsprechend abbilden.

4.3 EuGH C-526/24 „Brillen Rottler": Auskunftsanspruch kann rechtsmissbräuchlich sein

EuGH · 19.03.2026 · C-526/24 · LTO

Sachverhalt: Ein Antragsteller hatte einen Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht und nach Angaben des Verantwortlichen mit dem erkennbaren Ziel verbunden, anschließend immateriellen Schadensersatz wegen DSGVO-Verstößen zu fordern.

Entscheidung: Der EuGH hat klargestellt, dass bereits der erste Auskunftsanspruch als rechtsmissbräuchlich abgelehnt werden kann, wenn er allein in der Absicht gestellt wird, anschließend Schadensersatz zu generieren.

Begründungs-Kernpunkte: Die DSGVO schützt informationelle Selbstbestimmung, nicht die systematische Generierung von Schadensersatzansprüchen. Wenn die Auskunft erkennbar nur als Vorstufe für eine Schadensersatzforderung dient, kann sie als „offensichtlich unbegründet oder exzessiv" im Sinne von Art. 12 Abs. 5 DSGVO behandelt werden.

Praxisfolgen: Verantwortliche sollten ihre Auskunfts-Prozesse weiter standardisieren und dabei das „Brillen Rottler"-Urteil in Argumentationsleitfäden für eindeutig missbräuchliche Anträge integrieren. Die Hürde bleibt hoch: Im Zweifel ist Auskunft zu erteilen; nur bei klaren Indizien für reine Geld-Erzeugung kann die Auskunft verweigert oder eine Gebühr nach Art. 12 Abs. 5 DSGVO erhoben werden.

4.4 VG Hamburg (BeckRS 2026, 5914): Keine proaktive Filterpflicht für Suchmaschinen

VG Hamburg · Mai 2026 · BeckRS 2026, 5914 · beck-online

Sachverhalt: Google hatte gegen einen Bescheid des HmbBfDI geklagt, der den Anbieter verpflichten sollte, weltweit proaktiv alle Suchergebnisse mit pornografischen Inhalten zu blockieren, die bei Eingabe des Namens einer Betroffenen erscheinen. Das Begehren ging über die klassische Löschung konkret benannter Treffer hinaus.

Entscheidung: Das VG Hamburg hat der Klage von Google stattgegeben.

Begründungs-Kernpunkte: Art. 58 Abs. 2 lit. f und g DSGVO erlauben nur die Löschung oder Einschränkung konkret benannter Suchergebnisse nach entsprechendem Antrag. Eine allgemeine Pflicht, zukünftige Treffer anhand abstrakter inhaltlicher Kriterien vorab zu blockieren, besteht nicht. Das Gericht stützt sich auf die EuGH- und BVerfG-Rechtsprechung, die die Verantwortung von Suchmaschinen bewusst begrenzt.

Praxisfolgen: Suchmaschinen müssen weiterhin auf konkret benannte URLs reagieren, sind aber nicht zu vorbeugenden Kategoriefiltern verpflichtet. Für Plattform- und Hosting-Dienste mit unmittelbarer Bereitstellung von Inhalten können hingegen weitergehende präventive Pflichten bestehen. Betroffene sollten konkrete Links sammeln und gezielt melden, statt pauschale Sperrungen anhand des eigenen Namens zu fordern.

4.5 LG Köln 13.11.2025 – 30 O 146/25: Gehaltsdaten dürfen an Personalvermittler übermittelt werden

LG Köln · 13.11.2025 · 30 O 146/25 · NRWE

Sachverhalt: Ein durch eine Personalvermittlung vermittelter Beschäftigter widersprach der Übermittlung seiner Gehaltsdaten an die Personalvermittlung. Diese benötigt die Daten, um ihr Honorar als Prozentanteil des Bruttojahresgehalts zu berechnen.

Entscheidung: Das LG Köln hat entschieden, dass der Arbeitgeber die Gehaltsdaten auch gegen den Widerspruch übermitteln darf.

Begründungs-Kernpunkte: Die Übermittlung ist nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt; die Vermittlung kann ihre Vergütung anders nicht abrechnen. Die zwingenden schutzwürdigen Gründe des Verantwortlichen nach Art. 21 Abs. 1 Satz 2 DSGVO überwiegen den Widerspruch des Beschäftigten.

Praxisfolgen: Arbeitgeber sollten den Widerspruch dokumentieren, die Interessenabwägung schriftlich durchführen und das Ergebnis der betroffenen Person mitteilen. Das Urteil ist auf vergleichbare Konstellationen übertragbar – etwa Recruiting-Agenturen, Auskunfteien, Versicherer und Inkasso mit gehaltsabhängiger Honorierung.

4.6 LG Nürnberg-Fürth 16.07.2025 – 7 O 6928/24: Drei-Jahres-Speicherfrist bei Auskunfteien rechtmäßig

LG Nürnberg-Fürth · 16.07.2025 · 7 O 6928/24 · openJur

Sachverhalt: Der Kläger begehrte von einer Wirtschaftsauskunftei die Löschung eines Eintrags über eine nach 13 Jahren beglichene Kontoüberziehung in Höhe von 1.612,46 Euro.

Entscheidung: Das LG Nürnberg-Fürth hat die Klage abgewiesen.

Begründungs-Kernpunkte: Die dreijährige Speicherfrist gemäß dem Code of Conduct der Auskunfteien ist sowohl nach Art. 17 Abs. 1 lit. a als auch nach Art. 6 Abs. 1 lit. f DSGVO rechtmäßig. Statistische Auswertungen und die Rechtsprechung des OLG München (Urteil vom 11.04.2025, Az. 14 U 3590/24 e) belegen ein in den ersten drei Jahren nach Erledigung signifikant erhöhtes Risiko erneuter Zahlungsstörungen. Eine kürzere Frist von sechs Monaten wäre nicht angemessen.

Praxisfolgen: Auskunfteien können weiterhin auf die Drei-Jahres-Frist verweisen. Eine vorzeitige Löschung kommt nur bei substantiiert dargelegten besonderen Einzelfallumständen in Betracht. Verbraucherrechtsanwälte werden die Argumentation in laufende Löschverfahren einarbeiten.

5.1 Rekordbußgeld 100 Mio. EUR gegen Yango (MLU B.V.) wegen Datentransfers nach Russland

18.05.2026 · Boerse-Express · Datatilsynet Norwegen

Behörde: Niederländische AP gemeinsam mit Finnland und Norwegen · Adressat: MLU B.V. (Yandex-Tochter / Yango-Betreiberin) · Höhe: 100.000.000 EUR

Verstoß / Rechtsgrundlage: Unzulässige Drittlandsübermittlung nach Kap. V DSGVO, insb. Art. 44, 46. Standortdaten, Bankverbindungen und Ausweiskopien wurden an Server in Russland übermittelt; SCC waren unzureichend, weil die Verschlüsselungsschlüssel ebenfalls in Russland lagerten und das „Jarowaja-Gesetz" einen weitreichenden Behördenzugriff erlaubt.

Begründung: Schrems-II-Linie: Ein Transfer Impact Assessment hätte zwingend die Verschlüsselungs-Architektur, die Schlüsselablage und die Drittlands-Rechtslage berücksichtigen müssen. Die Aufsicht ordnete den sofortigen Stopp aller Datentransfers an. MLU hat Berufung angekündigt.

Praxisfolgen: Unternehmen mit Datentransfers nach Russland, China und ähnlichen Drittländern sollten ihre TIAs aktualisieren, Verschlüsselungs- und Schlüssel-Architekturen explizit dokumentieren und sicherstellen, dass keine Schlüssel im selben Land wie die übermittelten Daten lagern. Für Tochterunternehmen aus Sanktions-relevanten Ländern wächst das Risiko, mit dem Yango-Fall als Leitfall konfrontiert zu werden.

5.2 Vodafone 45 Mio. EUR Gesamtbußgeld (BfDI, im 34. Tätigkeitsbericht bestätigt)

19.05.2026 · BfDI Pressemitteilung 34. TB

Behörde: BfDI · Adressat: Vodafone GmbH · Höhe: 45.000.000 EUR (15 Mio. EUR + 30 Mio. EUR)

Verstoß / Rechtsgrundlage: 15 Mio. EUR wegen mangelhafter Auftragsverarbeiter-Kontrolle (Art. 28 DSGVO), 30 Mio. EUR wegen Sicherheitsmängeln im „MeinVodafone"-Authentifizierungsprozess (Art. 32 DSGVO).

Begründung: Die BfDI führt die hohe Gesamtsumme im 34. Tätigkeitsbericht als Schwerpunkt-Maßnahme zu Identifizierungs- und Authentifizierungsprozessen sowie zur Kontrolle externer Dienstleister. Maßgeblich war, dass Sicherheitslücken in einem Identifizierungsprozess unmittelbar zur Übernahme von Kundenkonten und Beeinträchtigungen von Telekommunikationsdiensten führten – ein klassischer Großschaden mit Massenwirkung.

Praxisfolgen: Telekommunikations- und Plattformanbieter sollten ihre Identifizierungs- und Self-Service-Strecken (Hotline, App, Web) anhand der Vodafone-Linie sicherheitstechnisch und prozessual überprüfen; insbesondere Step-up-Authentifizierung, Rate Limits und Anti-Fraud-Strukturen kritisch reviewen. Auftragsverarbeiter-Verträge und Kontrollroutinen explizit dokumentieren.

5.3 BlnBDI: Verwarnung der BVG wegen Datenpanne bei Auftragsverarbeiter

06.05.2026 · datensicherheit.de · BlnBDI Pressemitteilung

Behörde: BlnBDI Berlin · Adressat: Berliner Verkehrsbetriebe AöR · Höhe: Förmliche Verwarnung (kein Bußgeld)

Verstoß / Rechtsgrundlage: Art. 5 Abs. 2 i.V.m. Abs. 1 lit. c, e, f, Art. 28 Abs. 3 Satz 2 lit. f, Art. 32 Abs. 1 und Art. 33 DSGVO. Ein Auftragsverarbeiter hatte rund 180.000 Kundendatensätze nach Auftragsende nicht gelöscht; nach einem Cyberangriff beim Dienstleister wurden die Daten exfiltriert.

Begründung: Die BVG hat die tatsächliche Löschung nicht kontrolliert, sondern sich allein auf vertragliche Zusicherungen verlassen, den Vorfall verspätet gemeldet und keinen konkreten Vorfall-Prozess im AV-Vertrag dokumentiert. Die BlnBDI verweist auf die BGH-Linie (VI ZR 396/24), wonach sich Verantwortliche nicht allein auf vertragliche Zusicherungen verlassen dürfen.

Praxisfolgen: Verantwortliche müssen bei Auftragsverarbeitern Lösch-Kontrollen verfahrensförmig dokumentieren und im Vertrag konkret die Vorfalls-Meldewege regeln. Wer Auftragsverarbeiter „turnusmäßig" beauftragt und nach Auftragsende nicht aktiv nach Löschnachweisen fragt, riskiert eine vergleichbare Verwarnung.

6.1 BKA-Bundeslagebild Cybercrime 2025: 335.000 Fälle, 202 Mrd. EUR Schaden

12.05.2026 · BKA Pressemitteilung · BMI Pressemitteilung

Zusammenfassung: Das BKA hat am 12. Mai 2026 das Bundeslagebild Cybercrime 2025 veröffentlicht: rund 335.000 Fälle Cybercrime im engeren Sinne, ein geschätzter Wirtschaftsschaden von 202,4 Milliarden Euro (rund 4,5 Prozent des BIP), 1.041 Ransomware-Anzeigen (+10 Prozent). Etwa zwei Drittel der Taten wurden aus dem Ausland oder von unbekannten Orten begangen.

Hintergrund & Einordnung: Bundesinnenminister Dobrindt und BKA-Vizepräsidentin Link betonen die Rolle KI-gestützter Angriffe – von Spear-Phishing über Deepfake-Anrufe bis zu maschinell generierten Malware-Varianten. Das Lagebild ist eine wichtige Argumentationsgrundlage für laufende Investitionen in Awareness, MFA und Notfall-Übungen.

Praxisfolgen / Handlungsempfehlung: Verantwortliche sollten die Zahlen aktiv in Vorstandskommunikation und Budget-Argumentation einbauen; konkrete Lehren: MFA flächendeckend, Passwort-Manager als Standard, Endpoint-Detection mit menschlichem 24/7-Hintergrund, Backup-Übungen quartalsweise und klare Krisenkommunikations-Templates für Datenpannen.

6.2 Microsoft „OpFauxSign": Disruption des Malware-Signing-Dienstes „Fox Tempest"

19.05.2026 · Microsoft Security Blog · The Hacker News

Zusammenfassung: Die Digital Crimes Unit von Microsoft hat zusammen mit Partnern den Malware-Signing-as-a-Service-Anbieter „Fox Tempest" zerschlagen. Über die Plattform konnten zahlende Cyberkriminelle Malware-Dateien mit missbräuchlich erworbenen Zertifikaten signieren lassen; Schadcode tarnte sich als legitime Software wie AnyDesk, Teams, PuTTY oder Webex. Microsoft attribuiert dem Akteur über 1.000 Zertifikate und hunderte Azure-Tenants/Subscriptions; verbunden mit Ransomware-Akteuren wie Vanilla Tempest, Storm-0501, Storm-2561 und Storm-0249. Im Rahmen der Operation „OpFauxSign" wurde unter anderem signspace[.]cloud beschlagnahmt.

Hintergrund & Einordnung: Der Fall illustriert die Verzahnung von Initial Access Brokern, Signing-Services und Ransomware-Crews. Signaturen vermitteln Vertrauen, das Endgeräte und EDR-Plattformen oft genug honorieren – ein zentraler Bypass-Vektor gegen Defaults wie Microsoft Defender SmartScreen. Die Disruption alleine genügt selten; die signierten Binaries bleiben in der Welt und werden über Monate weiterverwendet.

Praxisfolgen / Handlungsempfehlung: Code-Signing-Policys schärfen, Trust-on-First-Sign-Strategien skeptisch evaluieren, Hash-basierte Allow-Lists statt reiner Signatur-Listen pflegen und EDR-Telemetrie auf Treiber- und Kernel-Signaturen analysieren, die Microsoft im Rahmen von „OpFauxSign" als kompromittiert markiert.

6.3 BfV/BSI: Gemeinsamer Sicherheitshinweis zu Phishing über Messengerdienste

19.05.2026 · BSI Sicherheitshinweis · BfV Kurzmeldung

Zusammenfassung: BfV und BSI warnen in einem gemeinsamen Sicherheitshinweis vor Phishing-Kampagnen über Messengerdienste wie WhatsApp, Telegram und Signal. Die Angreifer adressieren gezielt Beschäftigte sicherheitsrelevanter Branchen.

Hintergrund & Einordnung: Das öffentliche Aufmerksamkeits-Niveau zu Mail-Phishing ist heute deutlich höher als zu Messenger-Phishing – obwohl die Konversation auf WhatsApp oder Signal als „privater" Raum wahrgenommen wird. Das macht den Angriff besonders wirksam. Die Warnung schließt sich an die laufenden Verbraucherzentralen-Warnungen an, ist aber auf Beschäftigte sicherheitsrelevanter Branchen fokussiert.

Praxisfolgen / Handlungsempfehlung: Unternehmensrichtlinien zum Umgang mit dienstlichen Messengernachrichten überarbeiten, Awareness-Trainings gezielt um Messenger-Szenarien ergänzen, „Kontaktwechsel"-Anfragen über mindestens einen zweiten etablierten Kanal verifizieren.

6.4 Bundesnetzagentur: Warnung vor gefälschten Briefen an Solaranlagen-Besitzer

18.05.2026 · BNetzA Warnhinweis · Mimikama

Zusammenfassung: Die Bundesnetzagentur warnt vor gefälschten Schreiben, in denen Betreibern von PV-Anlagen vorgeworfen wird, die Anlage nicht ordnungsgemäß im Marktstammdatenregister registriert zu haben. Gefordert werden 41,60 Euro „EEG-Sanktionszahlung" mit Frist von 14 Tagen, andernfalls drohten 208 Euro „volle Sanktion" und „rechtliche Schritte". Die genannte Mailadresse „bnetza@mail.de" existiert nicht; das Schreiben hat keine Unterzeichnerin und keinen Unterzeichner.

Hintergrund & Einordnung: Die Welle ergänzt das bekannte Bild aus „Abmahn-" und Inkasso-Imitaten um eine sehr deutsche Variante mit Energiewende-Bezug. Die Zielgruppe (Privathaushalte mit PV-Anlage, häufig ältere Eigentümer) ist gerade in Beratungssituationen tendenziell überdurchschnittlich anfällig für Behörden-Imitate.

Praxisfolgen / Handlungsempfehlung: Beratungs- und Multiplikator-Stellen (Verbraucherzentralen, Energieberatungen, Stadtwerke) sollten den BNetzA-Warnhinweis in eigenen Kanälen aufgreifen; Privatpersonen sollten nichts überweisen, die Registrierung der Anlage direkt im Marktstammdatenregister prüfen und ggf. Strafanzeige erstatten.

6.5 Phishing-Welle „Letzte Zahlungsaufforderung: Deutschland Ticket"

Mai 2026 · Verbraucherzentrale Phishing-Radar · ms-aktuell

Zusammenfassung: In Mails mit dem Betreff „Letzte Zahlungsaufforderung: Deutschland Ticket" behaupten Betrüger, der monatliche Betrag sei wegen eines SEPA-Lastschrift-Problems nicht eingegangen. Die Empfänger sollen kurzfristig per Instant-SEPA-Überweisung zahlen; parallel laufen vergleichbare Wellen rund um GEZ/Rundfunkbeitrag, Volksbank, Telekom und Behörden-Imitate.

Hintergrund & Einordnung: Das Deutschland-Ticket adressiert eine breite, jüngere Zielgruppe, die routinemäßig per App verlängert. Damit ist die Empfängergruppe gegenüber „klassischen" Rentner-Phishing-Mustern verschoben. Die Verwendung des Instant-Mechanismus (Echtzeitüberweisung) verschärft die Lage: Wenn die Überweisung einmal angestoßen ist, lässt sie sich kaum zurückrufen.

Praxisfolgen / Handlungsempfehlung: Beschäftigte sensibilisieren, generelle Skepsis gegenüber Mails mit Sofortüberweisungs-Aufforderungen kultivieren, Anbieter ausschließlich direkt über offizielle App- oder Web-Adressen kontaktieren. IT-Sicherheits-Teams sollten ihre internen Phishing-Trainings um aktuelle Köder erweitern.

6.6 BSI-Cybersicherheitsmonitor 2026: Jeder Zehnte von Cyberkriminalität betroffen

11.05.2026 · BSI

Zusammenfassung: Das BSI hat am 11. Mai 2026 den Cybersicherheitsmonitor 2026 veröffentlicht. Demnach war jede zehnte Person in Deutschland im Vorjahr von Cyberkriminalität betroffen; Schwerpunkte sind Phishing, Identitätsdiebstahl, Schadsoftware und Betrug im Online-Handel.

Hintergrund & Einordnung: Der Monitor ergänzt das BKA-Lagebild aus der Opferperspektive. Bei Großvorfällen wie ARWINI, BVG oder Datev addieren sich gefühlte und tatsächliche Betroffenheit weiter, sodass die Politik in Sachen Awareness und Anlaufstellen unter wachsendem Druck steht.

Praxisfolgen / Handlungsempfehlung: Awareness-Trainings sollten konkrete Hilfsangebote benennen – Verbraucherzentralen, Polizei-Online-Wachen, „IT-Sicherheitsmonitor"-Daten. Wer als Arbeitgeber Beschäftigte um Sensibilisierung bittet, sollte gleichzeitig eine niederschwellige interne Meldestelle für Phishing- und Betrugsverdachtsfälle anbieten.