Banken- und PayPal-Phishing nimmt weiter zu. In den vergangenen Tagen kursieren erneut massenhaft gefälschte E-Mails, die angeblich von Sparkasse, Volksbank, Commerzbank, DKB oder von PayPal stammen und behaupten, der Zugang sei „eingeschränkt" oder die TAN-App müsse „erneuert" werden. Klicken Sie keine Links in solchen Nachrichten an, sondern öffnen Sie Ihre Banking- oder PayPal-App ausschließlich direkt. Seriöse Anbieter sperren Konten nie per E-Mail mit Zeitdruck und Link.
Gestohlene Patientendaten der Universitätskliniken. Nach dem Angriff auf den Abrechnungsdienstleister unimed sind Daten von mehr als 100.000 Patientinnen und Patienten mehrerer Universitätskliniken abgeflossen. Betroffene sollten in den kommenden Wochen besonders wachsam gegenüber Anrufen oder Mails sein, die sich auf Behandlungen oder Rechnungen beziehen, und keine persönlichen Angaben am Telefon bestätigen.
Große Datenlecks bei internationalen Konzernen. Sowohl Carnival (rund 6 Mio. Betroffene) als auch der US-Kabelanbieter Charter (rund 42 Mio. Datensätze) haben Datenabflüsse nach Angriffen der Gruppe „ShinyHunters" bestätigt. Wer dort Kunde ist oder war, sollte Passwörter ändern und mit verstärkten Betrugsversuchen per Telefon und E-Mail rechnen.
Vodafone-Bußgeld bestätigt. Die Bundesdatenschutzbehörde hat ein Gesamtbußgeld von 45 Mio. Euro gegen Vodafone bestätigt – unter anderem wegen Missständen im Partnervertrieb und bei der Authentifizierung. Für Verbraucherinnen und Verbraucher ist das ein Signal, bei Vertragsabschlüssen über Drittfirmen aufmerksam zu bleiben.
Aktuelle Phishing- und Betrugswellen
Im Zentrum der aktuellen Betrugswellen stehen weiterhin Nachrichten im Namen von Banken und Bezahldiensten. Die Verbraucherzentralen und mehrere Fachportale berichten von einer anhaltend hohen Zahl gefälschter Sparkassen-, Volksbank- und PayPal-Mails. Das Muster ist nahezu immer gleich: Angeblich sei das Online-Banking gesperrt, die TAN- oder Sicherheits-App müsse „erneuert" werden, oder es bestehe „ungewöhnliche Aktivität". Über einen Link sollen Opfer ihre Zugangsdaten auf täuschend echt nachgebauten Seiten eingeben. Typische Erkennungsmerkmale sind eine unpersönliche Anrede, eine Frist mit Drohung („andernfalls wird Ihr Konto gesperrt") und ein Absender, der bei genauem Hinsehen nicht zur echten Domain des Anbieters passt.
Bei PayPal-Phishing wird häufig behauptet, der Zugriff sei „aus Sicherheitsgründen eingeschränkt" worden und müsse über einen mitgelieferten Link wiederhergestellt werden. Auffällig ist die fehlende vollständige persönliche Ansprache, wie sie echte PayPal-Nachrichten verwenden. Grundsätzlich gilt: Loggen Sie sich niemals über einen Link aus einer E-Mail ein, sondern tippen Sie die Adresse selbst ein oder nutzen Sie die offizielle App. Im Zweifel verschieben Sie die verdächtige Nachricht unbeantwortet in den Spam-Ordner und prüfen den Kontostatus direkt beim Anbieter.
Parallel bleiben Maschen rund um Logistik und Behörden aktuell – etwa gefälschte Versand- und Zollnachrichten von DHL sowie Schreiben, die Rentenversicherung, Rundfunkbeitrag oder das Deutschlandticket vortäuschen. Diese spielen mit Alltagsthemen und kleinen Geldbeträgen, um zur schnellen Eingabe von Zahlungs- oder Kontodaten zu verleiten. Wer eine echte Forderung erwartet, sollte diese stets über die offizielle Stelle oder den bekannten Kundenbereich gegenprüfen und nicht über die in der Nachricht angegebenen Kontaktwege.
Was war los?
Der Datendiebstahl beim Abrechnungsdienstleister unimed beschäftigt weiter mehrere deutsche Universitätskliniken. Inzwischen ist von mehr als 100.000 Betroffenen die Rede, deren persönliche und teils medizinische Daten in fremde Hände gelangt sind. Solche Gesundheitsdaten sind besonders sensibel, weil sie sich für gezielte Betrugsanrufe und Erpressungsversuche missbrauchen lassen. Betroffene Kliniken informieren die Patientinnen und Patienten; wer ein Schreiben erhält, sollte es ernst nehmen, aber keine Daten über unaufgefordert eingehende Anrufe oder Mails preisgeben.
International sorgten zwei große Datenlecks für Schlagzeilen: Die Reederei Carnival bestätigte den Abfluss von Daten aus ihrem Treueprogramm mit knapp sechs Millionen Betroffenen, und der US-Kabelriese Charter räumte ein Datenleck mit rund 42 Millionen Datensätzen ein. In beiden Fällen wird die Gruppe „ShinyHunters" verantwortlich gemacht, die zunehmend per Telefonbetrug („Vishing") an Zugänge gelangt. Auch wenn beide Vorfälle US-Unternehmen betreffen, zeigen sie eine Methode, die längst auch deutsche Firmen trifft: Mitarbeitende werden am Telefon zur Herausgabe von Zugangsdaten überredet.
Was sich rechtlich geändert hat
Die Bundesdatenschutzbehörde hat ein Gesamtbußgeld von 45 Mio. Euro gegen Vodafone bestätigt. Hintergrund sind unter anderem Versäumnisse im Partnervertrieb sowie Schwächen bei der Kundenauthentifizierung. Für Privatpersonen ist das ein deutliches Signal, dass Unternehmen für den sorgsamen Umgang mit Kundendaten – auch über beauftragte Dritte – haftbar gemacht werden können.
Wichtig für alle, die regelmäßig Auskunft über ihre gespeicherten Daten verlangen: Der Europäische Gerichtshof hat in der Rechtssache C-526/24 (Brillen Rottler) präzisiert, wann ein Auskunftsantrag als „exzessiv" zurückgewiesen werden darf. Das Auskunftsrecht bleibt bestehen, doch wiederholte, offenkundig zweckfremde Anträge können künftig leichter eingeschränkt werden – ein Punkt, der vor allem im Arbeitsverhältnis relevant wird.
IT-Detailansicht für Fachpublikum
Im Folgenden finden Sie die fachliche Aufbereitung der Lage: eine Management Summary mit den zentralen Entwicklungen des Tages, eine Box mit den dringendsten Handlungsempfehlungen sowie sechs Kapitel zu Datenschutz, Datensicherheit, IT-Sicherheit, Urteilen, Bußgeldern und Cyber-Sicherheit. Den Abschluss bilden Ausblick, Methodik und das vereinte Quellenverzeichnis. Die Schwerpunkte liegen heute auf aktiv ausgenutzten Schwachstellen in Netzwerk- und Webserver-Komponenten sowie auf datenschutzrechtlichen Konsequenzen großer Datenabflüsse.
Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Sonntag, 31. Mai 2026 · Score 95
Eine kritische Authentifizierungs-Umgehung im Cisco Catalyst SD-WAN Controller (vormals vManage) erlaubt es unauthentifizierten Angreifern, administrative Kontrolle über die zentrale Management-Ebene von SD-WAN-Umgebungen zu erlangen. Die Lücke wird seit der Veröffentlichung aktiv ausgenutzt; Cisco, Rapid7 und Cisco Talos berichten von laufenden Angriffen.
Letzte Entwicklung: Cisco Talos dokumentiert eine fortgesetzte Ausnutzungskampagne. Betreiber sollten umgehend auf die fehlerbereinigten Versionen aktualisieren und die Management-Schnittstellen strikt vom Internet trennen sowie auf Anzeichen kompromittierter Admin-Sitzungen prüfen.
Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Sonntag, 31. Mai 2026 · Score 92
In Cisco Secure Workload besteht eine kritische Schwachstelle, über die unauthentifizierte Angreifer API-Funktionen ohne gültige Berechtigung aufrufen können. Cisco hat einen Patch bereitgestellt; betroffen sind Mikrosegmentierungs-Deployments, die in vielen Rechenzentren eine zentrale Sicherheitsfunktion erfüllen.
Letzte Entwicklung: Es liegt weiterhin kein bestätigter In-the-wild-Exploit vor, das Risiko bleibt wegen der hohen Privilegien jedoch erheblich. Administratoren sollten den Patch zeitnah einspielen und API-Zugänge zusätzlich netzseitig absichern.
3. LiteSpeed cPanel-Plugin CVE-2026-48172 (CVSS 10.0): Root-Eskalation aktiv ausgenutzt
Seit Donnerstag, 28. Mai 2026 · zuletzt aktualisiert Sonntag, 31. Mai 2026 · Score 90
Über die Funktion lsws.redisAble im LiteSpeed User-End cPanel-Plugin (Versionen 2.3 bis 2.4.4) kann jeder authentifizierte cPanel-Nutzer – auch ein kompromittiertes, niedrig privilegiertes Konto – beliebige Skripte als root ausführen und damit den gesamten Server übernehmen. CISA hat die Lücke am 27. Mai in den KEV-Katalog aufgenommen.
Letzte Entwicklung: Die Ausnutzung erfolgt breit gestreut gegen verwundbare Hosting-Umgebungen. Betreiber sollten das Plugin sofort aktualisieren und cPanel-Konten auf nicht autorisierte Skript-Ausführungen untersuchen.
4. Microsoft Defender CVE-2026-41091: aktiv ausgenutzte SYSTEM-Privilegieneskalation
Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Sonntag, 31. Mai 2026 · Score 90
Microsoft warnt vor zwei aktiv ausgenutzten Defender-Schwachstellen (CVE-2026-41091 zur Rechteausweitung und CVE-2026-45498 als Denial-of-Service). CVE-2026-41091 ermöglicht lokalen Angreifern die Eskalation auf SYSTEM-Rechte und wurde von CISA in den KEV-Katalog aufgenommen.
Letzte Entwicklung: Die Aktualisierung der Defender-Plattform erfolgt überwiegend automatisch; Administratoren sollten dennoch verifizieren, dass die korrigierten Engine-Versionen tatsächlich ausgerollt sind, da die Lücke bereits angegriffen wird.
Seit Sonntag, 31. Mai 2026 · zuletzt aktualisiert Sonntag, 31. Mai 2026 · Score 90
Palo Alto Networks hat sein Advisory zu CVE-2026-0257 aktualisiert und bestätigt „begrenzte Ausnutzungsversuche" gegen ungepatchte Systeme. Die Schwachstelle erlaubt eine Authentifizierungs-Umgehung in PAN-OS und betrifft Firewalls mit konfiguriertem GlobalProtect-Portal oder -Gateway, über die unbefugte VPN-Verbindungen aufgebaut werden können.
Letzte Entwicklung: Rapid7 berichtet von beobachteter Ausnutzung. Betreiber sollten die bereitgestellten Fixes umgehend einspielen und GlobalProtect-Konfigurationen auf verdächtige Sitzungen prüfen.
Management Summary
Die Sicherheitslage zum Wochenbeginn ist geprägt von einer Häufung aktiv ausgenutzter Schwachstellen in Netzwerk-, Hosting- und Webserver-Komponenten. Im Vordergrund steht die Authentifizierungs-Umgehung im Cisco Catalyst SD-WAN Controller (CVE-2026-20182, CVSS 10.0), für die Cisco Talos eine fortlaufende Ausnutzungskampagne dokumentiert. Parallel bleibt die maximalkritische Root-Eskalation im LiteSpeed cPanel-Plugin (CVE-2026-48172) ein Problem für Massen-Hosting-Umgebungen, während Palo Alto die Ausnutzung der GlobalProtect-Authentifizierungs-Umgehung (CVE-2026-0257) bestätigt hat. Mit Apache HTTP/2 (CVE-2026-23918) und der NGINX-„Rift"-Lücke (CVE-2026-42945) stehen zudem zwei weit verbreitete Webserver-Komponenten unter Druck, die in praktisch jeder Webinfrastruktur vorkommen. Die neunjährige Linux-Kernel-Lücke „Copy Fail" (CVE-2026-31431) zeigt, wie tief liegende Logikfehler in zentralen Subsystemen ganze Container-Flotten gefährden. In Summe verlangt die Lage von Betreibern ein konsequentes, priorisiertes Patch-Management mit besonderem Fokus auf öffentlich erreichbare Management- und VPN-Schnittstellen. Die Geschwindigkeit, mit der Proof-of-Concepts und automatisierte Angriffe folgen, verkürzt die verfügbaren Reaktionsfenster weiter.
Datenschutz- und rechtsseitig dominieren die Aufarbeitung großer Datenabflüsse und die Konkretisierung des Auskunftsrechts. Der unimed-Vorfall mit über 100.000 Betroffenen aus dem Umfeld deutscher Universitätskliniken unterstreicht die Verwundbarkeit der Lieferkette im Gesundheitswesen, während Carnival und Charter zeigen, dass „Vishing" als Einbruchsvektor in großem Stil funktioniert. Die Bundesdatenschutzbehörde hat ihr 45-Mio-Euro-Bußgeld gegen Vodafone bestätigt und im 34. Tätigkeitsbericht einen Anstieg der Eingaben um rund 36 Prozent dokumentiert. Aus Brüssel kommt mit dem MLU-Bußgeld (100 Mio. Euro für unzulässige Drittlandtransfers) ein weiteres Signal verschärfter Durchsetzung. Der EuGH hat in der Sache C-526/24 die Grenzen „exzessiver" Auskunftsanträge präzisiert und damit Arbeitgebern erstmals belastbare Leitlinien gegeben. Zusammen mit dem im Kabinett beschlossenen Cybersicherheitsgesetz verdichtet sich ein Trend zu strengerer Aufsicht und erweiterten staatlichen Befugnissen. Für Verantwortliche heißt das: Auftragsverarbeiter-Ketten, Authentifizierungsprozesse und Auskunftsverfahren gehören jetzt auf den Prüfstand.
Die wichtigsten Punkte im Überblick
Cisco Catalyst SD-WAN (CVE-2026-20182, CVSS 10.0) wird laut Talos weiterhin aktiv ausgenutzt – Management-Ebene sofort patchen und isolieren.
LiteSpeed cPanel (CVE-2026-48172) und Palo Alto GlobalProtect (CVE-2026-0257) stehen unter aktiver Ausnutzung; beide CISA-KEV-gelistet.
Apache HTTP/2 (CVE-2026-23918) und NGINX „Rift" (CVE-2026-42945) gefährden breit eingesetzte Webserver – Update auf httpd 2.4.67 bzw. gepatchte NGINX-Builds.
Linux-Kernel-Lücke „Copy Fail" (CVE-2026-31431) ermöglicht triviale Root-Eskalation, besonders riskant in Container-Umgebungen.
unimed-Datenpanne: über 100.000 Betroffene aus dem Klinikumfeld; Lieferketten-Risiko im Gesundheitswesen.
BfDI bestätigt 45 Mio. Euro Bußgeld gegen Vodafone; MLU-Bußgeld über 100 Mio. Euro für Drittlandtransfers.
EuGH C-526/24 präzisiert die Grenzen „exzessiver" Auskunftsanträge nach Art. 15 DSGVO.
Top-Risiken – Handlungsempfehlungen für heute
Cisco SD-WAN sofort härten – CVE-2026-20182 patchen, Management-Schnittstellen vom Internet trennen, Admin-Sitzungen auf Auffälligkeiten prüfen.
Hosting-Plattformen patchen – LiteSpeed cPanel-Plugin (CVE-2026-48172) auf ≥ 2.4.5 anheben, cPanel-Konten auf Skript-Ausführung als root prüfen.
Webserver aktualisieren – Apache auf 2.4.67 (CVE-2026-23918) und NGINX auf gepatchte Versionen (CVE-2026-42945) bringen.
Linux-Kernel aktualisieren – „Copy Fail" (CVE-2026-31431) durch Kernel 6.18.22 / 6.19.12 / 7.0 schließen; in Containern Zugriff auf AF_ALG einschränken.
Belegschaft gegen Vishing sensibilisieren – telefonische Herausgabe von Zugangsdaten unterbinden, Rückrufverfahren etablieren.
1. Datenschutz
Der Datenschutz-Schwerpunkt liegt heute auf der Aufarbeitung großer Datenabflüsse und auf der jährlichen Bilanz der Bundesaufsicht. Beide Themen verdeutlichen, dass die Durchsetzung des Datenschutzes an Intensität gewinnt und Verantwortliche zunehmend für Schwächen in ihren Verarbeitungs- und Lieferketten einstehen müssen.
1.1 unimed-Datenpanne: über 100.000 Patientendaten deutscher Universitätskliniken betroffen
Zusammenfassung: Der Angriff auf den Abrechnungsdienstleister unimed weitet sich aus: Inzwischen melden mehrere deutsche Universitätskliniken, dass Daten von mehr als 100.000 Patientinnen und Patienten gestohlen wurden. Betroffen sind persönliche Stamm- und teils medizinische Abrechnungsdaten. Der ursprüngliche Vorfall geht auf einen Cyberangriff im April 2026 zurück, dessen Tragweite sich erst nach und nach offenbart. Die Kliniken informieren die Betroffenen entsprechend ihrer Meldepflichten.
Hintergrund & Einordnung: Der Fall ist ein Lehrstück über die Verwundbarkeit von Auftragsverarbeitern im Gesundheitswesen. Universitätskliniken lagern Abrechnungsprozesse an spezialisierte Dienstleister aus; wird ein solcher Knoten kompromittiert, sind sofort Daten zahlreicher Verantwortlicher betroffen. Gesundheitsdaten zählen zu den besonderen Kategorien nach Art. 9 DSGVO und sind für Folgebetrug besonders attraktiv. Die schrittweise wachsende Betroffenenzahl deutet auf eine komplexe forensische Aufarbeitung hin.
Praxisfolgen / Handlungsempfehlung: Verantwortliche im Gesundheitswesen sollten ihre Auftragsverarbeiter-Verträge, technisch-organisatorischen Maßnahmen und Meldeketten überprüfen. Für Betroffene gilt erhöhte Wachsamkeit gegenüber Anrufen und Mails mit Klinik- oder Abrechnungsbezug. Eine frühzeitige, transparente Information der Betroffenen nach Art. 34 DSGVO ist hier nicht nur Pflicht, sondern auch vertrauensbildend.
1.2 BfDI: 34. Tätigkeitsbericht 2025 dokumentiert Anstieg der Eingaben um 36 Prozent
Zusammenfassung: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Louisa Specht-Riemenschneider, hat ihren 34. Tätigkeitsbericht für das Jahr 2025 übergeben. Die Behörde verzeichnete 11.824 Eingaben – rund 36 Prozent mehr als im Vorjahr und etwa 52 Prozent mehr als 2023. 2025 wurden 80 Vor-Ort-Kontrollen, 40 schriftliche Kontrollen und insgesamt 129 aufsichtsrechtliche Maßnahmen durchgeführt.
Hintergrund & Einordnung: Der deutliche Anstieg der Eingaben spiegelt sowohl ein gewachsenes Datenschutzbewusstsein als auch die zunehmende Zahl meldepflichtiger Vorfälle wider. Die BfDI betont neue Formate wie das „ReguLab" als Datenschutz-Sandbox, das „Datenbarometer" und einen Strategic-Foresight-Prozess zu Neurodaten. Inhaltlich rücken Künstliche Intelligenz, Gesundheitsdaten und digitale Projekte der Bundesregierung in den Mittelpunkt.
Praxisfolgen / Handlungsempfehlung: Verantwortliche sollten den Bericht als Indikator für künftige Prüfschwerpunkte lesen, insbesondere bei KI-Einsatz und der Verarbeitung von Gesundheitsdaten. Wer Beschwerden frühzeitig und nachvollziehbar bearbeitet, reduziert das Risiko aufsichtsrechtlicher Maßnahmen. Die steigende Kontrolldichte macht ein dokumentiertes Datenschutzmanagement umso wichtiger.
1.3 Internationale Datenlecks bei Carnival und Charter durch „ShinyHunters"
Zusammenfassung: Carnival bestätigte den Abfluss von rund 5,99 Mio. Datensätzen aus seinem „Mariner Society"-Treueprogramm, Charter Communications räumte ein Leck mit etwa 42 Mio. Datensätzen ein. In beiden Fällen wird die Erpressergruppe „ShinyHunters" verantwortlich gemacht, die zunehmend über Telefonbetrug („Vishing") an Zugangsdaten gelangt.
Hintergrund & Einordnung: Die Fälle illustrieren ein wiederkehrendes Muster: Nicht technische Zero-Days, sondern die gezielte Manipulation von Mitarbeitenden ist der entscheidende Einbruchsvektor. „ShinyHunters" kombiniert Social Engineering mit anschließender Datenexfiltration und Erpressung. Auch wenn die Unternehmen US-amerikanisch sind, ist die Methode für deutsche Organisationen unmittelbar relevant.
Praxisfolgen / Handlungsempfehlung: Organisationen sollten Helpdesk- und Identitätsprüfprozesse gegen Vishing härten, etwa durch Rückrufverfahren und mehrstufige Verifikation bei Zugriffs- oder Passwortanfragen. Betroffene Kundinnen und Kunden sollten Passwörter ändern und mit Folge-Phishing rechnen. Awareness-Schulungen mit realistischen Telefon-Szenarien sind hier wirksamer als reine E-Mail-Trainings.
2. Datensicherheit
Im Bereich Datensicherheit dominieren tief liegende Schwachstellen in Betriebssystem-Kernen und Entwicklungs-Lieferketten. Sie zeigen, dass die Angriffsfläche zunehmend dort liegt, wo Vertrauen implizit vorausgesetzt wird – in geteilten Kernel-Subsystemen, Container-Plattformen und Editor-Erweiterungen.
Zusammenfassung: CISA hat die als „Copy Fail" bezeichnete Schwachstelle CVE-2026-31431 (CVSS 7.8) in den KEV-Katalog aufgenommen. Der Logikfehler in einem kryptografischen Authentifizierungs-Template des Linux-Kernels erlaubt unprivilegierten lokalen Nutzern über einen rund 732 Byte großen Python-Exploit eine zuverlässige Eskalation auf Root-Rechte. Fixes liegen in den Kernel-Versionen 6.18.22, 6.19.12 und 7.0 vor.
Hintergrund & Einordnung: Der Fehler entstand durch drei für sich harmlose Änderungen in den Jahren 2011, 2015 und 2017 und betrifft sämtliche seit 2017 ausgelieferten Distributionen. Besonders kritisch ist die Lage in Container-Umgebungen: Laut Kaspersky gewähren Docker, LXC und Kubernetes Prozessen im Container standardmäßig Zugriff auf das AF_ALG-Subsystem, wenn das Modul algif_aead geladen ist. Damit lässt sich potenziell die Container-Isolation durchbrechen. Funktionierende PoCs in Python, Go und Rust kursieren bereits.
Praxisfolgen / Handlungsempfehlung: Betreiber sollten betroffene Kernel umgehend aktualisieren und, wo das nicht sofort möglich ist, den Zugriff auf AF_ALG einschränken sowie Netzwerk- und Zugriffsisolation verstärken. Da der Exploit ausschließlich legitime Systemaufrufe nutzt, ist eine Erkennung schwierig – Verteidiger sollten verstärkt auf ungewöhnliche Privilegienwechsel achten. In Multi-Tenant- und CI/CD-Umgebungen ist die Priorität besonders hoch.
2.2 Lieferketten-Kompromittierung über Nx Console (CVE-2026-48027) und „Megalodon"-Kampagne
Zusammenfassung: CISA warnt vor Lieferketten-Kompromittierungen, die über die manipulierte VS-Code-Erweiterung „Nx Console" und nachgelagerte GitHub-Repositories laufen. Die als „Megalodon" bezeichnete Kampagne schleust schädliche CI/CD-Workflows in eine große Zahl von Repositories ein, um Zugangsdaten und Geheimnisse von Entwickler-Workstations abzugreifen.
Hintergrund & Einordnung: Entwickler-Arbeitsplätze rücken damit endgültig in die Software-Lieferkette: Editor-Erweiterungen und Automatisierungs-Pipelines verfügen über weitreichende Berechtigungen und Zugriff auf Secrets. Eine einzige kompromittierte Erweiterung kann sich über automatisierte Workflows kaskadenartig verbreiten. Der Vorfall steht im Kontext einer Serie von Angriffen auf Build- und Veröffentlichungsketten.
Praxisfolgen / Handlungsempfehlung: Organisationen sollten installierte IDE-Erweiterungen inventarisieren, Versionsstände prüfen und kompromittierte Pakete entfernen. CI/CD-Geheimnisse sind zu rotieren, Workflow-Berechtigungen nach dem Least-Privilege-Prinzip zu beschränken und Pipeline-Änderungen einem Review zu unterziehen. Entwickler-Workstations gehören in das reguläre Endpoint-Monitoring.
2.3 FortiClient EMS CVE-2026-35616 (CVSS 9.1): „EKZ-Stealer" tarnt sich als Fortinet-Patch
Zusammenfassung: Im Umfeld der kritischen FortiClient-EMS-Schwachstelle CVE-2026-35616 (CVSS 9.1) beobachten Sicherheitsforscher eine Kampagne, bei der ein als „EKZ-Stealer" bezeichneter Schadcode als vermeintlicher Fortinet-Patch verteilt wird. Angreifer nutzen die hohe Aufmerksamkeit für die Lücke aus, um manipulierte „Updates" unterzuschieben.
Hintergrund & Einordnung: Die Masche verbindet eine echte, schwerwiegende Schwachstelle mit Social Engineering rund um den Patch-Prozess. Gerade in Phasen erhöhten Handlungsdrucks neigen Administratoren dazu, Updates aus weniger verlässlichen Quellen zu beziehen. Das macht den Beschaffungsweg selbst zum Angriffsvektor.
Praxisfolgen / Handlungsempfehlung: Updates ausschließlich über die offiziellen Hersteller-Kanäle und mit Prüfung der Signaturen beziehen. Patch-Quellen und -Prozesse sollten klar dokumentiert und Administratoren entsprechend sensibilisiert werden. Eine zentrale, verifizierte Update-Verteilung verringert das Risiko untergeschobener Schadsoftware.
3. IT-Sicherheit
Der IT-Sicherheits-Block versammelt die aktiv ausgenutzten Schwachstellen in zentralen Infrastruktur-Komponenten. Auffällig ist die Konzentration auf Netzwerk-Edge, Webserver und Mail-Systeme – also genau jene Bausteine, die exponiert sind und in vielen Organisationen geschäftskritische Funktionen tragen.
3.1 Apache HTTP/2 CVE-2026-23918 (CVSS 8.8): Double-Free mit DoS und möglicher RCE
Zusammenfassung: Die Apache Software Foundation hat CVE-2026-23918 (CVSS 8.8) im HTTP/2-Modul mod_http2 behoben. Es handelt sich um einen Double-Free im Stream-Cleanup-Pfad von h2_mplx.c, der Denial-of-Service und potenziell Remote Code Execution ermöglicht. Betroffen ist Apache HTTP Server 2.4.66; die Korrektur erfolgt in 2.4.67.
Hintergrund & Einordnung: Der DoS ist laut den Entdeckern trivial auslösbar: Eine TCP-Verbindung mit einem HEADERS-Frame, unmittelbar gefolgt von einem RST_STREAM mit Fehlercode, bringt einen Worker-Prozess zum Absturz – ohne Authentifizierung oder spezielle URL. Der RCE-Pfad erfordert eine APR mit mmap-Allokator, der auf Debian-Derivaten und im offiziellen httpd-Docker-Image Standard ist. Die Forscher demonstrierten einen funktionierenden Proof-of-Concept auf x86_64. Die MPM-„prefork"-Konfiguration ist nicht betroffen, doch mod_http2 ist in Standard-Builds enthalten und HTTP/2 in der Produktion weit verbreitet.
Praxisfolgen / Handlungsempfehlung: Betreiber sollten zeitnah auf Apache 2.4.67 aktualisieren. Wo ein sofortiges Update nicht möglich ist, kann das Deaktivieren von mod_http2 oder ein Wechsel zu MPM prefork als Übergangsmaßnahme dienen. Angesichts der trivialen DoS-Ausnutzbarkeit ist die Lücke auch ohne RCE-Risiko dringlich.
Zusammenfassung: Die Authentifizierungs-Umgehung CVE-2026-20182 im Cisco Catalyst SD-WAN Controller erlaubt unauthentifizierten Angreifern administrativen Zugriff auf die zentrale Management-Ebene. Cisco Talos dokumentiert eine andauernde Ausnutzungskampagne.
Hintergrund & Einordnung: Der SD-WAN-Controller orchestriert die gesamte Netzwerk-Topologie verteilter Standorte. Ein Angreifer mit Admin-Zugriff kann Routing, Richtlinien und Telemetrie manipulieren und sich tief im Netzwerk verankern. Die maximale CVSS-Bewertung von 10.0 unterstreicht das kritische Risiko, zumal Management-Schnittstellen in der Praxis nicht immer ausreichend abgeschottet sind.
Praxisfolgen / Handlungsempfehlung: Sofortiges Einspielen der korrigierten Versionen, strikte Trennung der Management-Ebene vom Internet und Prüfung auf kompromittierte Admin-Sitzungen. Eine retrospektive Log-Analyse ist angeraten, da die Lücke bereits aktiv ausgenutzt wird.
Zusammenfassung: Die als „Rift" bezeichnete Heap-Overflow-Schwachstelle CVE-2026-42945 (CVSS 9.2) steckt im Rewrite-Modul (ngx_http_rewrite) und betrifft NGINX-Versionen von 0.6.27 bis 1.30.0. Ein unauthentifizierter Angreifer kann Worker-Prozesse zum Absturz bringen oder potenziell Code aus der Ferne ausführen; eine Ausnutzung in freier Wildbahn wurde beobachtet.
Hintergrund & Einordnung: Das betroffene Modul ist seit fast zwei Jahrzehnten Bestandteil von NGINX und in nahezu jeder produktiven Konfiguration mit Rewrite-Regeln aktiv. Die enorme Verbreitung von NGINX als Webserver, Reverse-Proxy und Load-Balancer macht die Lücke zu einem attraktiven Massenziel.
Praxisfolgen / Handlungsempfehlung: Update auf eine gepatchte NGINX-Version durchführen und Rewrite-Konfigurationen überprüfen. Vorgelagerte Web Application Firewalls können das Risiko reduzieren, ersetzen aber nicht das Patchen. Exponierte Instanzen sind prioritär zu behandeln.
3.4 Microsoft Exchange Server OWA CVE-2026-42897 aktiv über präparierte E-Mails ausgenutzt
Zusammenfassung: Die On-Premises-Schwachstelle CVE-2026-42897 in Microsoft Exchange Server (OWA) wird über speziell gestaltete E-Mails ausgenutzt und ermöglicht Spoofing- bzw. Cross-Site-Scripting-Angriffe. CISA hatte die Lücke bereits in den KEV-Katalog aufgenommen mit Patch-Frist bis 29. Mai für Bundesbehörden.
Hintergrund & Einordnung: On-Prem-Exchange-Server sind ein dauerhaftes Hochrisikoziel, da sie an der Schnittstelle zwischen Internet und internem Verzeichnisdienst stehen. Eine über eine E-Mail auslösbare Lücke senkt die Hürde für Angreifer erheblich, weil keine direkte Nutzerinteraktion auf einer manipulierten Seite nötig ist.
Praxisfolgen / Handlungsempfehlung: Die bereitgestellten Sicherheitsupdates sind unverzüglich einzuspielen. Organisationen sollten zudem den Umstieg von On-Prem-Exchange prüfen oder zumindest die Angriffsfläche durch vorgelagerte Mail-Filter und striktes Monitoring reduzieren.
4. Urteile
Die rechtliche Entwicklung kreist um die Reichweite des Auskunftsrechts und die Grenzen der Datenverarbeitung im öffentlichen und arbeitsrechtlichen Kontext. Die Entscheidungen geben Verantwortlichen mehr Rechtssicherheit, verlangen aber zugleich eine sorgfältige Einzelfallabwägung.
Sachverhalt: Gegenstand war die Frage, unter welchen Voraussetzungen ein Auskunftsantrag nach Art. 15 DSGVO als „exzessiv" zurückgewiesen oder mit einem Entgelt belegt werden darf. Der Fall betrifft die in der Praxis häufige Konstellation wiederholter, teils zweckfremder Auskunftsbegehren – insbesondere im Arbeitsverhältnis.
Entscheidung: Der EuGH hat präzisiert, dass das Auskunftsrecht zwar grundsätzlich voraussetzungslos besteht, Verantwortliche aber bei offenkundig unbegründeten oder exzessiven Anträgen Einschränkungen geltend machen können. Damit reduziert das Gericht die zuvor bestehende Unsicherheit.
Begründungs-Kernpunkte: Maßgeblich ist eine Gesamtbetrachtung von Häufigkeit, Zweck und Intention des Antrags. Eine bloße sachfremde Motivation – etwa zur Vorbereitung anderer Streitigkeiten – macht einen Antrag nicht automatisch unzulässig, kann aber im Zusammenspiel mit Wiederholung und fehlendem Datenschutzbezug das Merkmal „exzessiv" begründen.
Praxisfolgen: Arbeitgeber und Verantwortliche erhalten erstmals belastbare Leitlinien, um missbräuchlichem „DSGVO-Hopping" zu begegnen. Die Ablehnung oder Bepreisung eines Antrags muss jedoch dokumentiert und begründet werden; die Beweislast für die Exzessivität liegt beim Verantwortlichen.
4.2 VG Berlin: Partei muss Auskunft zu personalisierter Wahlwerbung erteilen
Sachverhalt: Eine betroffene Person verlangte Auskunft darüber, auf welcher Datengrundlage sie personalisierte Wahlwerbung einer Partei erhalten hatte. Die Partei verweigerte zunächst eine umfassende Auskunft über die verwendeten personenbezogenen Daten und deren Herkunft.
Entscheidung: Das Verwaltungsgericht Berlin verpflichtete die Partei, Auskunft über die zur Ansprache genutzten personenbezogenen Daten zu erteilen. Das Auskunftsrecht nach Art. 15 DSGVO erstreckt sich auch auf die Logik und die Quellen einer personalisierten Ansprache.
Begründungs-Kernpunkte: Auch politische Parteien sind als Verantwortliche an die DSGVO gebunden, wenn sie personenbezogene Daten zu Werbezwecken verarbeiten. Die Transparenzpflichten gelten unabhängig vom besonderen Schutz politischer Betätigung; Betroffene müssen nachvollziehen können, warum und auf welcher Datenbasis sie adressiert wurden.
Praxisfolgen: Organisationen, die personalisierte Ansprache betreiben, müssen Herkunft und Verarbeitungslogik der genutzten Daten dokumentieren und auf Anfrage offenlegen. Das Urteil stärkt die Transparenz bei datengetriebenem Targeting auch jenseits des klassischen Marketings.
4.3 BVerwG: Grenzen der Auswertung von Gesundheitsdaten für Vorsorgezwecke
Sachverhalt: Gegenstand war die Frage, in welchem Umfang Gesundheitsdaten für Vorsorge- und Verwaltungszwecke ausgewertet werden dürfen, ohne die besonderen Anforderungen des Art. 9 DSGVO zu verletzen. Im Streit stand die Reichweite der Datenverarbeitung durch eine öffentliche Stelle.
Entscheidung: Das Bundesverwaltungsgericht hat die Grenzen einer solchen Auswertung enger gezogen und betont, dass die Verarbeitung besonderer Datenkategorien einer klaren Rechtsgrundlage und strikten Zweckbindung bedarf.
Begründungs-Kernpunkte: Gesundheitsdaten genießen nach Art. 9 DSGVO einen erhöhten Schutz. Eine Verarbeitung für Vorsorgezwecke ist nur zulässig, soweit sie erforderlich und verhältnismäßig ist; eine pauschale oder vorratsartige Auswertung verstößt gegen die Zweckbindung und das Erforderlichkeitsprinzip.
Praxisfolgen: Öffentliche Stellen und Verantwortliche im Gesundheitsbereich müssen ihre Verarbeitungszwecke präzise definieren und dokumentieren. Pauschale Datenanalysen ohne klare Rechtsgrundlage sind zu unterlassen; eine Datenschutz-Folgenabschätzung ist regelmäßig geboten.
5. Bußgelder
Die Bußgeldpraxis zeigt eine klare Tendenz zu hohen Summen bei strukturellen Mängeln und unzulässigen Datentransfers. Sowohl die deutsche als auch die europäische Aufsicht setzen auf spürbare Sanktionen, um Verantwortliche zur Nachbesserung zu bewegen.
5.1 BfDI: 45 Mio. Euro Gesamtbußgeld gegen Vodafone bestätigt
Behörde: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) · Adressat: Vodafone GmbH · Höhe: 45 Mio. Euro (Gesamtbußgeld)
Verstoß / Rechtsgrundlage: Das Gesamtbußgeld setzt sich aus mehreren Verstößen zusammen, unter anderem im Zusammenhang mit dem Partnervertrieb (Art. 28 DSGVO, Auftragsverarbeitung/Aufsicht über Vertriebspartner) und Schwächen bei der Authentifizierung von Kundinnen und Kunden (Art. 32 DSGVO, Sicherheit der Verarbeitung).
Begründung: Nach Darstellung der Aufsicht ermöglichten Mängel in der Kontrolle externer Vertriebspartner unzulässige Vertragsvorgänge zulasten von Betroffenen, während unzureichende Authentifizierungsverfahren das Risiko unbefugter Kontozugriffe erhöhten. Die Behörde wertet dies als strukturelle Versäumnisse.
Praxisfolgen: Unternehmen mit ausgelagertem Vertrieb sollten ihre Auftragsverarbeiter- und Partnerverträge sowie die laufende Kontrolle der Partner überprüfen. Authentifizierungsprozesse im Kundenservice sind gegen Identitätsmissbrauch zu härten. Das Bußgeld unterstreicht die Haftung des Verantwortlichen für das Handeln seiner Dienstleister.
5.2 MLU B.V. (Yandex/Yango): 100 Mio. Euro Bußgeld für Drittlandtransfers
Behörde: Europäische Datenschutzaufsicht (im Rahmen der grenzüberschreitenden Durchsetzung) · Adressat: MLU B.V. (Yandex/Yango) · Höhe: 100 Mio. Euro
Verstoß / Rechtsgrundlage: Im Zentrum stehen unzulässige Übermittlungen personenbezogener Daten in Drittländer ohne hinreichende Garantien (Kapitel V DSGVO, Art. 44 ff.). Betroffen sind insbesondere Standort- und Nutzungsdaten aus Mobilitätsdiensten.
Begründung: Die Aufsicht sah keine ausreichende Rechtsgrundlage und keine angemessenen Schutzmaßnahmen für die Transfers in Drittländer mit unzureichendem Datenschutzniveau. Die Höhe des Bußgelds reflektiert die Sensibilität der betroffenen Daten und das Ausmaß der Übermittlungen.
Praxisfolgen: Verantwortliche mit internationalen Datenflüssen sollten ihre Transfermechanismen, Standardvertragsklauseln und Transfer-Folgenabschätzungen erneut prüfen. Das Bußgeld bestätigt den fortgesetzt scharfen Kurs der Aufsicht bei Drittlandtransfers nach der „Schrems"-Rechtsprechung.
6. Cyber-Sicherheit
Im Bereich Cyber-Sicherheit zeigen sich zwei Entwicklungen besonders deutlich: die gezielte Ausnutzung von Hosting-Infrastruktur gegen staatliche und dienstleistende Ziele sowie der zunehmende Einsatz von Künstlicher Intelligenz auf der Angreiferseite. Hinzu kommt die nationale Gesetzgebung, die den staatlichen Handlungsrahmen erweitert.
6.1 cPanel CVE-2026-41940: kritische Lücke gegen Behörden und MSPs eingesetzt
Zusammenfassung: Neben der bereits aktiv ausgenutzten LiteSpeed-Lücke wird eine weitere kritische cPanel-Schwachstelle (CVE-2026-41940) gezielt gegen staatliche und militärische Domains sowie gegen Managed-Service-Provider und Hosting-Anbieter eingesetzt. Die Angriffe stammen den Berichten zufolge unter anderem von der IP-Adresse 95.111.250.175 und richteten sich gegen Ziele in den Philippinen und Laos. Bei erfolgreichem Angriff installieren die Täter eine Filemanager-Backdoor.
Hintergrund & Einordnung: cPanel ist eine der weltweit verbreitetsten Hosting-Verwaltungsplattformen; ein Treffer erlaubt Zugriff auf zahlreiche gehostete Mandanten. Der gezielte Fokus auf Behörden und MSPs ist besonders kritisch, da MSPs als Multiplikatoren fungieren und ein einzelner kompromittierter Anbieter viele nachgelagerte Kunden gefährdet. Die Kampagne fügt sich in das Muster, Hosting- und Lieferketten-Infrastruktur als Hebel zu nutzen.
Praxisfolgen / Handlungsempfehlung: Hosting-Betreiber sollten cPanel und zugehörige Plugins umgehend aktualisieren, eingehende Verbindungen von verdächtigen IP-Adressen blockieren und Server auf nicht autorisierte Filemanager-Komponenten prüfen. MSPs tragen eine besondere Verantwortung, ihre Kundenumgebungen aktiv zu überwachen und Kompromittierungsindikatoren weiterzugeben.
6.2 Erster KI-gebauter Zero-Day für 2FA-Bypass identifiziert
Zusammenfassung: Die Google Threat Intelligence Group (GTIG) hat nach eigenen Angaben den ersten bekannten Zero-Day-Exploit identifiziert, der maßgeblich mithilfe von KI für einen geplanten Massenangriff zur Umgehung der Zwei-Faktor-Authentifizierung entwickelt wurde. Die Täter setzten KI ein, um den Exploit zu entwickeln und vorzubereiten.
Hintergrund & Einordnung: Der Fall markiert einen qualitativen Sprung: KI senkt die Hürden für die Entwicklung funktionsfähiger Exploits und beschleunigt den Weg von der Schwachstelle zum Massenangriff. Zugleich berichten Sicherheitsanbieter, dass auch die Verteidigerseite KI einsetzt – Microsofts MDASH-System fand etwa 16 Windows-Schwachstellen. Die Dynamik verkürzt klassische Patch-Zyklen weiter.
Praxisfolgen / Handlungsempfehlung: Organisationen sollten phishing-resistente Mehrfaktor-Verfahren (z. B. FIDO2/Passkeys) priorisieren, da SMS- und OTP-basierte 2FA zunehmend unter Druck steht. Detektions- und Reaktionsfähigkeiten müssen auf kürzere Zeitfenster ausgelegt werden. Die Entwicklung unterstreicht den Bedarf an automatisiertem, kontinuierlichem Schwachstellenmanagement.
6.3 Bundeskabinett: Cybersicherheitsgesetz mit erweiterten Befugnissen beschlossen
Zusammenfassung: Das Bundeskabinett hat einen Gesetzentwurf zur Stärkung der Cybersicherheit beschlossen, der BSI, Polizei und BKA erweiterte Befugnisse zur Cyberabwehr einräumt. Der Entwurf dient unter anderem der Umsetzung europäischer Vorgaben (NIS-2) und stärkt die Rolle des BSI als zentrale Stelle.
Hintergrund & Einordnung: Mit der Ausweitung der Befugnisse reagiert die Bundesregierung auf die anhaltend hohe Bedrohungslage durch Ransomware und staatsnahe Akteure. Der Entwurf ist Teil eines breiteren Trends zu strengerer Aufsicht und erweiterten staatlichen Eingriffsmöglichkeiten, der auch datenschutzrechtliche Abwägungsfragen aufwirft.
Praxisfolgen / Handlungsempfehlung: Betreiber kritischer und wichtiger Einrichtungen sollten ihre Melde- und Nachweispflichten frühzeitig auf die kommenden Anforderungen ausrichten. Der Gesetzgebungsprozess ist zu verfolgen, da sich Pflichtenkataloge und Fristen im parlamentarischen Verfahren noch ändern können.
10.06.2026: Microsoft Patch Tuesday (Juni) – erwartbar umfangreiches Sammelupdate; Exchange- und Defender-Umgebungen priorisieren.
Laufend: Parlamentarisches Verfahren zum Cybersicherheitsgesetz – Entwicklung der Pflichten für KRITIS- und wichtige Einrichtungen verfolgen.
Laufend: Aufarbeitung der unimed-Datenpanne – mit weiteren Betroffenen-Benachrichtigungen und aufsichtsrechtlicher Befassung ist zu rechnen.
Methodik
Stichtag dieses Briefings ist Montag, 1. Juni 2026. Berücksichtigt wurden Meldungen der vergangenen rund 24 bis 48 Stunden sowie fortlaufend relevante Vorgänge der zurückliegenden Tage. Bevorzugt herangezogen wurden Primärquellen – Behörden (BfDI, CISA), Hersteller (Cisco, Apache, F5/NGINX, Microsoft, Palo Alto) und Gerichte – ergänzt um etabliertes Fachjournalismus (The Hacker News, BleepingComputer, SecurityWeek, Dr. Datenschutz, Haufe). Englischsprachige Quellen wurden ins Deutsche übersetzt; die Originallinks bleiben erhalten. Es gilt strikte Deep-Link-Disziplin: Jede angegebene Quelle verweist auf den konkreten Artikel, das konkrete Advisory, das Aktenzeichen oder die konkrete Pressemitteilung, nicht auf Übersichts- oder Startseiten. Inhalte, für die sich kein belastbarer Deep-Link verifizieren ließ, wurden nicht aufgenommen. Dieses Briefing dient der Information und ersetzt keine Rechts- oder Sicherheitsberatung im Einzelfall.