1. Cisco Catalyst SD-WAN Controller: Authentication-Bypass (CVSS 10.0) aktiv ausgenutzt

Seit Montag, 19. Mai 2026 · zuletzt aktualisiert Donnerstag, 4. Juni 2026 · Score 95

Eine mit dem Höchstwert CVSS 10.0 bewertete Authentifizierungs-Umgehung in der Catalyst-SD-WAN-Controller-Plattform (CVE-2026-20182) wird seit Wochen in Zero-Day-Angriffen ausgenutzt und steht im KEV-Katalog. Angreifer können ohne gültige Anmeldedaten administrativen Zugriff auf die zentrale Steuerungsebene von SD-WAN-Fabrics erlangen.

Letzte Entwicklung: Die Lage bleibt aktiv und hochrelevant; betroffene Betreiber sollten die von Cisco bereitgestellten Fixes priorisiert einspielen und die Controller-Zugänge auf Anomalien prüfen.

2. Windows Netlogon RCE (CVE-2026-41089, CVSS 9.8) auf Domänencontrollern

Seit Donnerstag, 4. Juni 2026 · zuletzt aktualisiert Donnerstag, 4. Juni 2026 · Score 90

Eine kritische Schwachstelle in der Windows-Netlogon-Komponente erlaubt über ein präpariertes Paket die Codeausführung mit SYSTEM-Rechten direkt auf Domänencontrollern. Die Lücke wird aktiv ausgenutzt und betrifft das Herzstück der Active-Directory-Authentifizierung.

Letzte Entwicklung: Microsoft und mehrere Sicherheitsdienste bestätigen laufende Angriffe; das Patchen der Domänencontroller hat höchste Priorität, da eine erfolgreiche Ausnutzung die Kompromittierung der gesamten Domäne nach sich ziehen kann.

3. Microsoft Defender CVE-2026-41091 (CVSS 7.8): aktiv ausgenutzte SYSTEM-Privilegieneskalation

Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Donnerstag, 4. Juni 2026 · Score 90

Über eine Schwachstelle im Windows Defender (zusammen mit CVE-2026-45498) können lokale Angreifer SYSTEM-Rechte erlangen. Beide Lücken wurden von CISA in den KEV-Katalog aufgenommen, da aktive Ausnutzung belegt ist.

Letzte Entwicklung: Die Defender-Plattform aktualisiert sich in der Regel automatisch über die Engine- und Signatur-Updates; Administratoren sollten den Rollout der aktualisierten Plattformversion dennoch aktiv verifizieren.

4. Palo Alto PAN-OS GlobalProtect CVE-2026-0257: Authentifizierungs-Umgehung aktiv ausgenutzt

Seit Sonntag, 31. Mai 2026 · zuletzt aktualisiert Donnerstag, 4. Juni 2026 · Score 90

Eine Authentifizierungs-Umgehung im GlobalProtect-VPN von PAN-OS (CVE-2026-0257) wird seit Mitte Mai ausgenutzt, um in Unternehmensnetze einzudringen. Rapid7 und weitere Quellen dokumentieren die Ausnutzung in freier Wildbahn.

Letzte Entwicklung: Betreiber exponierter GlobalProtect-Portale sollten die Hersteller-Fixes umgehend einspielen, Sessions invalidieren und ihre VPN-Zugänge forensisch auf unautorisierte Anmeldungen prüfen.

5. LiteSpeed cPanel-Plugin CVE-2026-48172 (CVSS 10.0): Root-Eskalation aktiv ausgenutzt

Seit Donnerstag, 28. Mai 2026 · zuletzt aktualisiert Donnerstag, 4. Juni 2026 · Score 90

Eine mit CVSS 10.0 bewertete Schwachstelle im LiteSpeed-cPanel-Plugin erlaubt eine Root-Eskalation und wird aktiv ausgenutzt. Besonders Shared-Hosting-Umgebungen sind exponiert, da eine einzelne kompromittierte Instanz viele Kundenpräsenzen betreffen kann.

Letzte Entwicklung: Hosting-Anbieter sollten ihre cPanel-Server zeitnah aktualisieren; Kundinnen und Kunden können bei ihrem Provider den Patch-Stand erfragen.

1.1 unimed-Datenpanne: 100.000+ Patientendaten aus BW-Unikliniken kompromittiert

04.06.2026 · aerzteblatt.de · BornCity · Versicherungsmonitor

Zusammenfassung: Beim externen Abrechnungsdienstleister unimed sind durch einen Cyberangriff im April Patientendaten aus mehreren baden-württembergischen Universitätskliniken abgeflossen. Inzwischen melden weitere Kliniken betroffene Datensätze, sodass die Gesamtzahl 100.000 deutlich übersteigt. Neben Stamm- und Abrechnungsdaten können je nach Klinik auch sensible Behandlungsinformationen betroffen sein. Der Vorfall zählt damit zu den schwerwiegendsten Gesundheitsdatenpannen des laufenden Jahres in Deutschland.

Hintergrund & Einordnung: Der Fall ist ein Musterbeispiel für das Drittparteienrisiko im Gesundheitswesen: Die Kliniken als Verantwortliche bleiben gegenüber den Betroffenen in der Pflicht, obwohl der Abfluss bei einem Auftragsverarbeiter stattfand. Gesundheitsdaten sind besonders schützenswerte Daten nach Art. 9 DSGVO, was sowohl die Meldepflichten als auch das Schadenspotenzial erhöht. Die schrittweise Aufdeckung weiterer betroffener Einrichtungen deutet darauf hin, dass das volle Ausmaß erst nach forensischer Aufarbeitung feststeht.

Praxisfolgen / Handlungsempfehlung: Verantwortliche sollten ihre Auftragsverarbeitungsverträge im Gesundheitsbereich auf belastbare technisch-organisatorische Maßnahmen, Meldeketten und Audit-Rechte prüfen. Betroffene Patientinnen und Patienten sind transparent zu informieren und auf das erhöhte Risiko zielgerichteter Folgebetrugsversuche hinzuweisen. Aufsichtsbehörden erwarten eine saubere Dokumentation der Art.-33/34-Prozesse; verspätete oder unterlassene Meldungen sind der häufigste Bußgeldauslöser.

1.2 Carnival Corporation: rund 6 Mio. Mariner-Society-Datensätze nach Vishing abgeflossen

04.06.2026 · BleepingComputer (Kontext Angriffsmuster)

Zusammenfassung: Bei Carnival Corporation sind nach einem Vishing-Angriff im April rund 5.995.277 Datensätze des Mariner-Society-Programms abgeflossen. Der Fall reiht sich in eine Serie von ShinyHunters-zugeschriebenen Social-Engineering-Angriffen ein, bei denen Support- und Helpdesk-Prozesse über Telefonanrufe ausgehebelt werden. Auch europäische Kundinnen und Kunden internationaler Konzerne können betroffen sein.

Hintergrund & Einordnung: Die Kampagnen dieser Akteursgruppe setzen weniger auf technische Exploits als auf die Manipulation von Menschen – ein Muster, das sich auch in der hiesigen Sparkassen-Phishing-Welle wiederfindet. Für die DSGVO-Bewertung ist relevant, dass Konzerne mit EU-Bezug betroffener Personen die europäischen Meldepflichten erfüllen müssen, unabhängig vom Sitz des Mutterunternehmens. Die schiere Datensatzzahl macht den Vorfall zu einem Referenzfall für Identitäts- und Phishing-Folgerisiken.

Praxisfolgen / Handlungsempfehlung: Organisationen sollten ihre Helpdesk- und Account-Recovery-Prozesse gegen Vishing härten, etwa durch Rückrufverfahren und strikte Identitätsprüfung vor Kontoänderungen. Betroffene sollten Passwörter und Sicherheitsfragen erneuern und auf Phishing achten, das sich auf das Treueprogramm bezieht. Die Episode unterstreicht, dass Awareness-Maßnahmen die technischen Schutzlinien flankieren müssen.

2.1 Microsoft Defender CVE-2026-41091 / CVE-2026-45498: aktive Ausnutzung bestätigt

04.06.2026 · Help Net Security · BleepingComputer · CISA-Alert

Zusammenfassung: Microsoft hat zwei Schwachstellen im Windows Defender bestätigt, über die lokale Angreifer ihre Rechte bis auf SYSTEM-Ebene ausweiten können. CISA hat beide Lücken in den KEV-Katalog aufgenommen, da Ausnutzung in freier Wildbahn belegt ist. Die Defender-Plattform ist als Sicherheitskomponente besonders sensibel, weil ihre Kompromittierung zugleich Schutzmechanismen aushebeln kann.

Hintergrund & Einordnung: Privilegieneskalationen im Endpoint-Schutz sind in mehrstufigen Angriffsketten besonders wertvoll, weil sie nach einem initialen Zugriff den Sprung zu vollständiger Systemkontrolle ermöglichen. Da der Defender weit verbreitet und tief im Betriebssystem verankert ist, ist die Angriffsfläche entsprechend groß. Die Aufnahme in den KEV-Katalog setzt für US-Bundesbehörden verbindliche Fristen und dient global als Priorisierungssignal.

Praxisfolgen / Handlungsempfehlung: Administratoren sollten den Rollout der aktualisierten Defender-Plattform- und Engine-Versionen aktiv verifizieren, statt sich allein auf das automatische Update zu verlassen. In verwalteten Umgebungen empfiehlt sich eine Bestandsabfrage der ausgerollten Plattformversion. Ergänzend sollten Endpoint-Logs auf Anzeichen lokaler Rechteausweitung geprüft werden.

2.2 CVE-2025-48595: aktiv ausgenutzter Integer-Overflow im Android-Framework (KEV)

03.06.2026 · CISA-Alert · Help Net Security

Zusammenfassung: CISA hat am 2. Juni 2026 die Android-Framework-Schwachstelle CVE-2025-48595 (Integer-Overflow, CVSS 8,4) sowie die Linux-Kernel-Lücke CVE-2022-0492 in den KEV-Katalog aufgenommen. Beide werden aktiv ausgenutzt. Die Android-Lücke betrifft das Framework als zentrale Komponente und kann je nach Angriffskette zur Privilegieneskalation beitragen.

Hintergrund & Einordnung: Mobile Frameworks-Schwachstellen sind besonders relevant, weil mobile Endgeräte zunehmend als Zugangsschicht zu Unternehmensdaten und Authentifizierung (etwa pushTAN, MFA-Apps) dienen. Die parallele Aufnahme einer mehrere Jahre alten Linux-Kernel-Lücke (CVE-2022-0492, cgroups v1) zeigt, dass Altlasten weiterhin aktiv ausgenutzt werden, wenn Patches nicht flächendeckend ausgerollt sind. Der KEV-Eintrag ist ein klares Priorisierungssignal.

Praxisfolgen / Handlungsempfehlung: Organisationen sollten die Verteilung der Android-Sicherheitspatches über ihr MDM erzwingen und Geräte ohne aktuellen Patch-Level vom Zugriff auf sensible Ressourcen ausschließen. Für Linux-Systeme ist der Patch-Stand gegen CVE-2022-0492 zu verifizieren, insbesondere in Container-Umgebungen mit cgroups v1. Ein konsequentes Lifecycle-Management mobiler und containerisierter Systeme bleibt entscheidend.

3.1 Windows Netlogon RCE (CVE-2026-41089, CVSS 9.8) auf Domänencontrollern aktiv ausgenutzt

04.06.2026 · Help Net Security · SecurityWeek · BleepingComputer

Zusammenfassung: Eine kritische Schwachstelle in der Windows-Netlogon-Komponente (CVE-2026-41089, CVSS 9,8) erlaubt über ein präpariertes Paket die Codeausführung mit SYSTEM-Rechten auf Domänencontrollern. Microsoft und mehrere Sicherheitsdienste bestätigen laufende Angriffe. Netlogon ist zentral für die Authentifizierung in Active-Directory-Umgebungen.

Hintergrund & Einordnung: Eine SYSTEM-RCE direkt auf dem Domänencontroller gehört zu den gravierendsten denkbaren Szenarien, weil sie potenziell die Kompromittierung der gesamten Domäne und damit aller verbundenen Identitäten ermöglicht. Die Parallele zu früheren Netlogon-Schwächen (etwa „Zerologon") verdeutlicht, wie attraktiv dieser Angriffspunkt für Ransomware- und Spionageakteure ist. Bei bestätigter Ausnutzung verschiebt sich die Frage von „ob" zu „wie schnell" gepatcht wird.

Praxisfolgen / Handlungsempfehlung: Das Patchen der Domänencontroller hat oberste Priorität und sollte gegebenenfalls außerhalb regulärer Wartungsfenster erfolgen. Begleitend sind Authentifizierungs- und Netlogon-Telemetrie auf Anomalien sowie Indikatoren einer bereits erfolgten Kompromittierung zu prüfen. Wo ein sofortiges Patchen nicht möglich ist, sind kompensierende Maßnahmen und eine verschärfte Überwachung der DC-Zugänge erforderlich.

3.2 Palo Alto PAN-OS GlobalProtect CVE-2026-0257: Authentifizierungs-Umgehung aktiv ausgenutzt

04.06.2026 · Palo Alto Security Advisory · Rapid7 · BornCity

Zusammenfassung: Eine Authentifizierungs-Umgehung im GlobalProtect-VPN von PAN-OS (CVE-2026-0257) wird seit Mitte Mai genutzt, um in Unternehmensnetze einzudringen. Palo Alto hat ein Advisory veröffentlicht; Rapid7 dokumentiert die beobachtete Ausnutzung. Betroffen sind internet-exponierte GlobalProtect-Portale.

Hintergrund & Einordnung: VPN-Gateways sind ein bevorzugtes Ziel, weil sie definitionsgemäß aus dem Internet erreichbar sind und bei erfolgreicher Umgehung den direkten Eintritt ins interne Netz ermöglichen. Authentifizierungs-Umgehungen sind besonders kritisch, da sie keine gültigen Zugangsdaten voraussetzen. Die Kombination aus hoher Verbreitung und aktiver Ausnutzung macht die Lücke zu einem Schwerpunkt der Woche.

Praxisfolgen / Handlungsempfehlung: Betreiber sollten die Hersteller-Fixes umgehend einspielen, bestehende Sessions invalidieren und die Authentifizierungs-Logs forensisch auf unautorisierte Anmeldungen prüfen. Wo möglich, sollte die Exposition der Management- und Portal-Schnittstellen reduziert werden. Eine nachgelagerte Prüfung auf bereits etablierte Persistenz ist angeraten.

3.3 Cisco Catalyst SD-WAN Controller CVE-2026-20182 (CVSS 10.0) weiterhin aktiv ausgenutzt

04.06.2026 · Cisco Security Advisory · The Hacker News · BleepingComputer

Zusammenfassung: Die mit CVSS 10.0 bewertete Authentifizierungs-Umgehung im Catalyst SD-WAN Controller (CVE-2026-20182) wird seit Mitte Mai in Zero-Day-Angriffen ausgenutzt und steht im KEV-Katalog. Angreifer können administrativen Zugriff auf die zentrale Steuerungsebene erlangen. Cisco hat Fixes bereitgestellt.

Hintergrund & Einordnung: Ein Höchstwert von CVSS 10.0 signalisiert maximale Ausnutzbarkeit ohne Vorbedingungen; bei einer SD-WAN-Steuerungsebene bedeutet das potenziell die Kontrolle über die Netzwerk-Fabric mehrerer Standorte. Solche zentralen Orchestrierungskomponenten sind besonders attraktiv, weil ein einzelner Zugriff weitreichende laterale Bewegung erlaubt. Die anhaltende Ausnutzung über Wochen unterstreicht die Dringlichkeit.

Praxisfolgen / Handlungsempfehlung: Betroffene Betreiber sollten die Fixes priorisiert einspielen und die Controller-Zugänge auf Anomalien und unautorisierte Konfigurationsänderungen prüfen. Der administrative Zugriff auf die Steuerungsebene sollte streng segmentiert und nicht aus dem offenen Internet erreichbar sein. Eine forensische Prüfung auf bereits erfolgte Manipulationen ist angezeigt.

3.4 CVE-2026-45247 (Mirasvit Cache Warmer, Magento/Adobe Commerce): unauthentifizierte RCE im KEV-Katalog

04.06.2026 · All About Security · CISA-Alert · Sansec Research

Zusammenfassung: CISA hat am 3. Juni 2026 die Schwachstelle CVE-2026-45247 (CVSS 9,8) in den KEV-Katalog aufgenommen. Betroffen ist der Mirasvit Cache Warmer, eine weit verbreitete Vollseiten-Cache-Erweiterung für Magento und Adobe Commerce. Ein serverseitiges Plugin verarbeitet einen vom Client kontrollierten Cookie-Wert ohne Authentifizierung mit der PHP-Funktion unserialize(), was eine PHP-Objekt-Injection (CWE-502) und in der Folge die Ausführung beliebiger Systembefehle ermöglicht. Alle Installationen unterhalb von Version 1.11.12 sind verwundbar; der Patch wurde am 25. Mai 2026 veröffentlicht.

Hintergrund & Einordnung: Die Ausnutzung gelingt mit einer einzigen HTTP-Anfrage an eine beliebige Storefront-Seite – ohne Sitzung, ohne Administratorrechte. Magento und seine Abhängigkeiten enthalten bereits geeignete Gadget-Ketten, sodass kein eigener Code eingeschleust werden muss. Das niederländische Sicherheitsunternehmen Sansec, das die Lücke am 24. April 2026 entdeckte, zählte rund 6.000 Shops mit Mirasvit-Erweiterungen; die Dunkelziffer dürfte höher liegen, da der Cache Warmer Teil mehrerer gebündelter Pakete ist und oft unbemerkt aktiv läuft. Die einfache Automatisierbarkeit macht die Lücke zu einem idealen Ziel für großangelegte, opportunistische Kampagnen.

Praxisfolgen / Handlungsempfehlung: Shop-Betreiber sollten den Mirasvit Cache Warmer umgehend auf Version 1.11.12 oder höher aktualisieren. Server-Logs und WAF-Regeln sind auf das charakteristische Cookie-Muster CacheWarmer:(Tz|Qz|YT) zu prüfen, öffentlich zugängliche Verzeichnisse wie pub/ auf unbekannte PHP-Dateien zu untersuchen. Bei Verdacht auf Kompromittierung sollte der Shop mit einem spezialisierten Scanner auf Webshells und Backdoors durchsucht werden. Für ungepatchte Installationen zählt angesichts der laufenden Ausnutzung jede Stunde.

4.1 BAG (8 AZR 61/24): bloßes „Störgefühl" begründet keinen DSGVO-Schadensersatz

Bundesarbeitsgericht · 04.06.2026 · 8 AZR 61/24 · LTO

Sachverhalt: Ein Beschäftigter machte einen immateriellen Schadensersatzanspruch nach Art. 82 DSGVO wegen einer Datenverarbeitung durch den Arbeitgeber geltend. Als Schaden berief er sich im Kern auf ein allgemeines Unbehagen über den Umgang mit seinen Daten. Eine konkrete, über dieses Unbehagen hinausgehende Beeinträchtigung wurde nicht hinreichend dargelegt.

Entscheidung: Das Bundesarbeitsgericht stellte klar, dass ein bloßes „Störgefühl" über eine Datenverarbeitung allein keinen ersatzfähigen immateriellen Schaden begründet. Erforderlich ist die Darlegung eines tatsächlichen immateriellen Schadens, etwa eines konkreten Kontrollverlusts oder einer nachvollziehbaren Belastung.

Begründungs-Kernpunkte: Das Gericht grenzt seine Linie an die Rechtsprechung des BGH und des EuGH an: Zwar ist keine Erheblichkeitsschwelle erforderlich, ein Schaden muss aber überhaupt vorliegen und dargelegt werden. Ein abstraktes Missfallen ohne erkennbare Folgen genügt dafür nicht. Die Beweislast für den Schaden verbleibt bei der anspruchstellenden Person.

Praxisfolgen: Arbeitgeber erhalten eine belastbare Argumentationslinie gegen pauschale Schadensersatzforderungen ohne substantiierten Schaden. Gleichwohl bleibt jede Datenverarbeitung sorgfältig zu dokumentieren, da bei nachweisbarem Kontrollverlust weiterhin Ansprüche bestehen können. Für Beschäftigte bedeutet die Entscheidung, dass ein konkreter Schaden vorgetragen werden muss.

4.2 EuGH (C-526/24, Brillen Rottler): erster Auskunftsantrag kann „exzessiv" sein

Europäischer Gerichtshof · C-526/24 · LTO · Haufe

Sachverhalt: Gegenstand war die Frage, ob bereits der erste Auskunftsantrag nach Art. 15 DSGVO als exzessiv zurückgewiesen werden kann, wenn er erkennbar allein dem Ziel dient, anschließend Schadensersatz zu fordern. Der Verantwortliche verweigerte die Auskunft unter Berufung auf Rechtsmissbrauch.

Entscheidung: Der EuGH stellte fest, dass auch ein erster Auskunftsantrag als „exzessiv" eingestuft und abgelehnt werden kann, wenn er ausschließlich mit der Absicht gestellt wird, einen vermeintlichen Verstoß für eine Schadensersatzforderung zu instrumentalisieren.

Begründungs-Kernpunkte: Das Auskunftsrecht dient dem Zweck, die Rechtmäßigkeit der Verarbeitung überprüfen zu können – nicht der systematischen Generierung von Schadensersatzansprüchen. Die Darlegungs- und Beweislast für den exzessiven Charakter trägt allerdings der Verantwortliche. Der Missbrauchseinwand bleibt damit die Ausnahme, nicht die Regel.

Praxisfolgen: Verantwortliche können in klar gelagerten Missbrauchsfällen die Auskunft verweigern, müssen den Missbrauch aber sorgfältig belegen und dokumentieren. In der Regel ist die Auskunft weiterhin fristgerecht und vollständig zu erteilen. Die Entscheidung setzt dem „DSGVO-Hopping" Grenzen, ohne das Auskunftsrecht generell zu schwächen.

5.1 MLU B.V. (Yandex/Yango): 100 Mio. EUR Bußgeld für Drittlandtransfers

04.06.2026 · Kiteworks · Bußgeld-Radar (Eintrag MLU/Yango)

Behörde: Niederländische Aufsicht (im EU-Verbund) · Adressat: MLU B.V. (Yandex/Yango) · Höhe: 100 Mio. EUR

Verstoß / Rechtsgrundlage: Im Zentrum stehen unzulässige Transfers personenbezogener Daten in ein Drittland ohne ausreichende Garantien im Sinne der Art. 44 ff. DSGVO. Betroffen sind insbesondere Nutzungs- und Standortdaten im Kontext der Mobilitäts- und Plattformdienste des Konzerns. Die Höhe der Sanktion verweist auf eine als gravierend bewertete, strukturelle Verletzung.

Begründung: Die Aufsicht sah die Voraussetzungen für rechtmäßige Drittlandübermittlungen als nicht erfüllt an, da weder ein Angemessenheitsbeschluss noch belastbare geeignete Garantien einen dem EU-Niveau entsprechenden Schutz sicherstellten. Das hohe Bußgeld unterstreicht die Bedeutung, die die Aufsichtsbehörden dem Transfer-Regime nach „Schrems II" beimessen.

Praxisfolgen: Unternehmen sollten ihre Drittlandtransfers systematisch erfassen, Transfer-Impact-Assessments durchführen und die eingesetzten Garantien (Standardvertragsklauseln, ergänzende Maßnahmen) belastbar dokumentieren. Besondere Sorgfalt gilt bei Anbietern mit Konzernverflechtungen in Drittländer. Der Fall ist ein deutliches Signal, dass internationale Datenflüsse ein Durchsetzungsschwerpunkt bleiben.

5.2 BfDI: 45 Mio. EUR Gesamtbußgeld gegen Vodafone (34. Tätigkeitsbericht)

04.06.2026 · BfDI-Pressemitteilung · LegalData

Behörde: BfDI · Adressat: Vodafone · Höhe: 45 Mio. EUR (Gesamtbußgeld)

Verstoß / Rechtsgrundlage: Das im 34. Tätigkeitsbericht bestätigte Gesamtbußgeld bündelt Verstöße unter anderem im Bereich der Auftragsverarbeitung und der Sicherheit der Verarbeitung. Die Sanktion fasst mehrere beanstandete Sachverhalte zusammen und verweist auf strukturelle Defizite in den betroffenen Prozessen.

Begründung: Der BfDI macht im Tätigkeitsbericht deutlich, dass insbesondere unzureichende Kontrolle von Dienstleistern und Schwächen in den technisch-organisatorischen Maßnahmen sanktionsbewehrt sind. Die Bündelung im Bericht unterstreicht den systemischen Charakter der Beanstandungen. Das Bußgeld reiht sich in eine konsequentere Durchsetzungslinie der Bundesbehörde ein.

Praxisfolgen: Verantwortliche sollten ihr Auftragsverarbeiter-Management, ihre Kontrollpflichten nach Art. 28 DSGVO und die Sicherheit der Verarbeitung nach Art. 32 DSGVO prüfen und nachweisbar dokumentieren. Besonders telekommunikations- und plattformnahe Geschäftsmodelle stehen im Fokus der Aufsicht. Der Fall zeigt, dass strukturelle Mängel auch ohne spektakuläre Einzelpanne hohe Bußgelder nach sich ziehen können.

6.1 Bundeskabinett: Cybersicherheitsgesetz mit erweiterten Befugnissen für BSI, BKA und Bundespolizei

04.06.2026 · Bundesregierung · t-online · IT-Business

Zusammenfassung: Das Bundeskabinett hat einen Gesetzentwurf zur Stärkung der Cybersicherheit auf den Weg gebracht, der BSI, BKA und Bundespolizei erweiterte Befugnisse zur Cyberabwehr einräumt. Der Entwurf zielt unter anderem auf eine schnellere Reaktion auf Angriffe und eine klarere Aufgabenverteilung zwischen den Behörden. Er ist Teil der Umsetzung europäischer Vorgaben und der nationalen Sicherheitsstrategie.

Hintergrund & Einordnung: Die Reform fällt in eine Phase anhaltend hoher Bedrohung durch Ransomware und staatlich gelenkte Akteure und flankiert die laufende NIS2-Umsetzung. Erweiterte Eingriffsbefugnisse werfen zugleich Fragen des Grundrechtsschutzes und der Verhältnismäßigkeit auf, die im weiteren Gesetzgebungsverfahren zu klären sind. Für Unternehmen ist absehbar, dass Melde- und Mitwirkungspflichten weiter zunehmen.

Praxisfolgen / Handlungsempfehlung: Verantwortliche sollten das Gesetzgebungsverfahren beobachten und ihre Incident-Response- und Meldeprozesse auf künftig strengere Anforderungen ausrichten. Schnittstellen zu BSI und Strafverfolgung sollten vorab definiert sein, um im Ernstfall handlungsfähig zu bleiben. Eine frühzeitige Gap-Analyse gegenüber NIS2 und dem neuen Rahmen reduziert späteren Anpassungsdruck.

6.2 Hybrides Banking-Phishing: Caller-ID-Spoofing und pushTAN-Geräte-Enrollment im Fokus

04.06.2026 · BornCity · DsiN · t-online

Zusammenfassung: Mehrere Sicherheitsdienste warnen vor einer zweistufigen Phishing-Welle gegen Bankkundinnen und -kunden. Auf eine gefälschte Webseite zur Dateneingabe folgt unmittelbar ein Anruf, bei dem die Täter per Caller-ID-Spoofing die Nummer der Hausbank vortäuschen. Ziel ist es, die pushTAN-Initialisierung abzufangen und ein eigenes Gerät der Angreifer mit dem Konto zu verknüpfen.

Hintergrund & Einordnung: Die Masche zeigt, dass auch moderne Zwei-Faktor-Verfahren durch konsequente psychologische Manipulation umgangen werden können, wenn die Geräte-Registrierung in den Angriff einbezogen wird. Der nahtlose Übergang von E-Mail/SMS zu Telefonanruf erhöht die Glaubwürdigkeit erheblich und verkürzt die Reaktionszeit der Opfer. Das Muster reiht sich in die international beobachteten Vishing-Kampagnen ein.

Praxisfolgen / Handlungsempfehlung: Banken und Unternehmen sollten ihre Kundenkommunikation klar darauf ausrichten, dass weder TAN-Freigaben noch Geräte-Autorisierungen telefonisch oder per Link angefordert werden. Awareness-Maßnahmen sollten gezielt die Kombination aus Phishing und nachgeschaltetem Spoofing-Anruf adressieren. Technisch helfen strenge Verifikationsschritte beim Geräte-Enrollment und Benachrichtigungen bei jeder Neuregistrierung.