Gefälschte Mails von Ministerien und Behörden. Aktuell häufen sich Phishing-Mails und SMS, die im Namen von Bundesbehörden auftreten — etwa angebliche Bußgeldbescheide des Kraftfahrt-Bundesamts, „Haftbefehle" von Polizei oder Justiz oder Steuererstattungen des Finanzministeriums. Ziel ist Geld oder ein Identitätsdiebstahl über hochgeladene Ausweisdokumente. Faustregel: Behörden verschicken weder Haftbefehle noch Bußgeldbescheide per E-Mail, und kein Amt verlangt Ausweiskopien oder Zahlungen über einen Mail-Link. Im Zweifel die Behörde über die offizielle Website kontaktieren.
Consorsbank-„SecurePlus"-Welle läuft nach. Die in der Vorwoche gemeldete Phishing-Welle mit der künstlichen Frist „13. Juni" verschickt über das Wochenende Nachzügler. Die genannte Frist ist frei erfunden und soll nur Druck erzeugen — nicht klicken, keine PIN/TAN eingeben, verdächtige Mails an security@consorsbank.de melden.
Privatpatientinnen und -patienten: Unimed-Briefe ernst nehmen. Im Zuge des Cyberangriffs auf den Abrechnungsdienstleister Unimed verschicken betroffene Unikliniken weiterhin Benachrichtigungen. Wer ein solches Schreiben erhält, sollte es ernst nehmen; abgeflossen sind teils Diagnosedaten. Vorsicht vor Folge-Phishing, das echte Behandlungsdaten als Köder nutzt.
Bei jeder Frist-Mail innehalten. Ob Bank, Behörde oder Dienstleister: Eine kurze Frist mit Drohung („Konto gesperrt", „Verfahren eingeleitet") ist das häufigste Druckmittel. Nie über den Link in der Nachricht handeln, sondern die offizielle App oder Website direkt öffnen und dort prüfen, ob wirklich etwas ansteht.
Aktuelle Phishing- und Betrugswellen
Im Mittelpunkt steht zum Wochenstart eine breite Welle von Betrugsnachrichten, die sich als Behörden und Ministerien ausgeben. Die Verbraucherzentrale bündelt unter dieser Kategorie zahlreiche aktuelle Maschen: gefälschte Bußgeldbescheide des Kraftfahrt-Bundesamts mit Download-Aufforderung (Ziel: Schadsoftware), angebliche Haftbefehle oder Ermittlungsverfahren von Polizei, Bundeskriminalamt oder Justiz (Ziel: Einschüchterung und Erpressung) sowie Steuererstattungs- und „Identitätsprüfungs"-Mails im Namen von Finanz-, Innen- oder Gesundheitsministerium (Ziel: Bank- und Ausweisdaten). Erkennungsmerkmale sind fast immer dieselben: unpersönliche Anrede, Zeitdruck, ein Link auf eine nicht-amtliche Adresse und die Aufforderung, Daten einzugeben oder Dokumente hochzuladen.
Parallel läuft die Consorsbank-„SecurePlus"-Welle nach. Die gefälschten Mails fordern, bis zu einer erfundenen Frist die TAN-Registrierung zu „verlängern"; ihre Glaubwürdigkeit zieht die Masche aus dem realen App-Namen, der erst Ende April abgelöst wurde. Über das Wochenende ist mit Nachzüglern und Varianten zu rechnen.
Die Grundregel über alle Varianten bleibt gleich: Absenderadresse statt nur Anzeigename prüfen, keine Links aus der Nachricht anklicken, niemals Ausweiskopien oder Zahlungsdaten per Mail-Formular preisgeben und im Zweifel die echte Stelle über einen selbst herausgesuchten Weg kontaktieren.
Was war los?
Technisch war das Wochenende von kritischen Lücken in Unternehmenssoftware geprägt, die für Privatpersonen nicht direkt relevant sind, aber das Umfeld prägen: In der Fernzugriffs-Appliance Ivanti Sentry und im Netzwerk-Verwaltungssystem Cisco Catalyst SD-WAN Manager werden derzeit Schwachstellen aktiv für Angriffe ausgenutzt — bei Ivanti mit der höchstmöglichen Gefahreneinstufung. Beides sind Systeme, die in Unternehmen und Behörden den Zugang zu E-Mail, mobilen Geräten und Netzwerken steuern.
Bemerkenswert ist die Reaktion der Aufsicht: Die US-Cybersicherheitsbehörde CISA hat eine neue Direktive erlassen, die für die gefährlichsten, aktiv ausgenutzten Lücken eine Frist von nur noch drei Tagen zum Schließen vorgibt — als Reaktion darauf, dass Angriffswerkzeuge durch KI immer schneller verfügbar werden. Für Verbraucher heißt das mittelbar: Die Zeit zwischen dem Bekanntwerden einer Lücke und ihrem Missbrauch wird kürzer, weshalb zügige Updates auf allen Geräten wichtiger denn je sind.
Was sich rechtlich geändert hat
Datenschutzpolitisch steht die geplante Vorratsdatenspeicherung von IP-Adressen im Fokus. Die Bundesregierung hatte im April einen Gesetzentwurf beschlossen, der Internetanbieter verpflichten soll, die IP-Adressen ihrer Kundinnen und Kunden drei Monate lang anlasslos zu speichern — der dritte Anlauf nach zwei vor Gericht gescheiterten Gesetzen. Der Bundesrat hat den Entwurf am 12. Juni grundsätzlich begrüßt, will aber deutlich weiter gehen: Die Speicherfrist soll auf sechs Monate verdoppelt und der Zugriff über BKA und Bundespolizei hinaus auf alle 16 Landespolizeien und die Verfassungsschutzbehörden ausgeweitet werden. Branchenverbände wie eco warnen vor einem „Bauplan für digitale Massenüberwachung". Für Bürgerinnen und Bürger bedeutet das Vorhaben, dass künftig nachvollziehbar wäre, welcher Anschluss zu welchem Zeitpunkt im Netz aktiv war; die endgültige Ausgestaltung entscheidet sich im weiteren Gesetzgebungsverfahren im Bundestag.
IT-Detailansicht für Fachpublikum
Der folgende Teil richtet sich an IT- und Datenschutzverantwortliche. Er bündelt die laufenden Schwerpunkte, eine Management Summary mit konkreten Handlungsempfehlungen und sechs Fachkapitel (Datenschutz, Datensicherheit, IT-Sicherheit, Urteile, Bußgelder, Cyber-Sicherheit), gefolgt von Ausblick, Methodik und Quellenverzeichnis.
Seit Dienstag, 9. Juni 2026 · zuletzt aktualisiert Montag, 15. Juni 2026 · Score 92
Eine unauthentifizierte Command-Injection in Ivanti Sentry (CVE-2026-10520, CVSS 10) erlaubt Remote-Code-Ausführung mit Root-Rechten; eine zweite Lücke (CVE-2026-10523, CVSS 9.9) umgeht die Authentifizierung. Beide bilden eine vollständige Übernahme-Kette.
Letzte Entwicklung: Weniger als 48 Stunden nach Patch und öffentlichem PoC bestätigte Shadowserver am 11. Juni gezielte Angriffe auf exponierte Sentry-Appliances („Wer nicht gepatcht hat, ist höchstwahrscheinlich kompromittiert"). CISA setzte die Lücke auf die KEV-Liste mit Drei-Tage-Frist (bis 14. Juni).
2. Cisco Catalyst SD-WAN Manager — aktiv ausgenutztes Zero-Day ohne Patch
Seit Donnerstag, 11. Juni 2026 · zuletzt aktualisiert Montag, 15. Juni 2026 · Score 80
CVE-2026-20245 (CVSS 7.8) erlaubt einem Angreifer mit netadmin-Rechten, über eine manipulierte Datei beliebige Befehle als Root auszuführen — das siebte ausgenutzte SD-WAN-Zero-Day bei Cisco in diesem Jahr.
Letzte Entwicklung: Cisco bestätigte aktive Ausnutzung (entdeckt von Mandiant) und beobachtete bereits an Edge-Geräte ausgerollte Konfigurationsänderungen. Ein Patch existiert noch nicht; die Lücke wird mit CVE-2026-20182/-20127 verkettet.
Management Summary
Die Lage zum Wochenstart ist klar von kritischen, aktiv ausgenutzten Schwachstellen in Unternehmensinfrastruktur dominiert. Im Zentrum steht Ivanti Sentry: Die unauthentifizierte OS-Command-Injection CVE-2026-10520 erreicht den maximalen CVSS-Wert 10.0 und erlaubt Remote-Code-Ausführung mit Root-Rechten über den Endpunkt der Sentry-Web-Anwendung; die begleitende CVE-2026-10523 (CVSS 9.9) hebelt die Authentifizierung aus, sodass beide zusammen eine vollständige Übernahme-Kette bilden. Nach Veröffentlichung eines Proof-of-Concepts durch WatchTowr begannen die Angriffe binnen 48 Stunden; Shadowserver bestätigte am 11. Juni erste kompromittierte Appliances. Parallel warnt Cisco vor dem ungepatchten Zero-Day CVE-2026-20245 im Catalyst SD-WAN Manager (CVSS 7.8), das bereits zu manipulierten Konfigurations-Pushes an Edge-Geräte geführt hat und mit zwei weiteren Lücken verkettet wird. Als Dauerlage bleibt die seit Ende Mai aktiv ausgenutzte Netlogon-Lücke CVE-2026-41089 (CVSS 9.8) auf Domain-Controllern prioritär.
Rahmensetzend wirkt die neue CISA-Direktive BOD 26-04 vom 10. Juni: Für Lücken, die zugleich öffentlich exponiert, automatisiert ausnutzbar, systemübernehmend und nachweislich aktiv angegriffen sind, gilt nun eine Frist von nur drei Tagen — die aggressivste US-Patchvorgabe bislang, ausdrücklich begründet mit KI-beschleunigter Exploit-Entwicklung. Der Ivanti-Fall ist der erste prominente Anwendungsfall dieser Drei-Tage-Logik. Datenschutz- und rechtsseitig ist die ruhigere Lage von der geplanten IP-Vorratsdatenspeicherung geprägt, deren Ausweitung der Bundesrat am 12. Juni forderte. Frische, noch nicht behandelte Urteils- oder Bußgeldentscheidungen liegen heute nicht vor; mit der 111. Datenschutzkonferenz (16.–18. Juni) steht der nächste relevante Termin unmittelbar bevor.
Die wichtigsten Punkte im Überblick
Ivanti Sentry: CVE-2026-10520 (CVSS 10, Pre-Auth-RCE) + CVE-2026-10523 (CVSS 9.9, Auth-Bypass) aktiv ausgenutzt — sofort auf 10.5.2/10.6.2/10.7.1 patchen, Management-Port 8443 nie ins Internet.
Cisco Catalyst SD-WAN Manager CVE-2026-20245: ausgenutztes Zero-Day, kein Patch — Fix für CVE-2026-20182 (14.05.) einspielen, Edge-Konfigurationen auditieren.
CISA BOD 26-04 (10.06.): Drei-Tage-Frist für die höchstriskanten KEV-Lücken; Vier-Variablen-Risikomodell, KI als Begründung.
Netlogon CVE-2026-41089 (CVSS 9.8) auf Domain-Controllern bleibt aktiv ausgenutzt — Carry-over, höchste Patch-Priorität.
Verbraucherseite: Behörden-/Ministeriums-Phishing als frische Welle, Consorsbank-„SecurePlus" läuft nach, Unimed-Benachrichtigungen laufen.
Recht/Politik: Bundesrat will IP-Vorratsdatenspeicherung auf sechs Monate und alle Landespolizeien/Verfassungsschutz ausweiten.
Top-Risiken – Handlungsempfehlungen für heute
Ivanti Sentry sofort patchen – außerhalb des regulären Zyklus auf 10.5.2/10.6.2/10.7.1 heben; Management-Port 8443 vom Internet trennen; exponierte Appliances als potenziell kompromittiert behandeln und forensisch prüfen (IOCs via Shadowserver/Rapid7).
Cisco SD-WAN Manager absichern – mangels Patch die für CVE-2026-20182 (14.05.) bereitgestellten Fixes einspielen, internetexponierte Manager-Instanzen abschotten und alle verwalteten Edge-Geräte auf unautorisierte Konfigurations-Pushes auditieren.
Domain-Controller härten – Netlogon CVE-2026-41089 auf allen DCs im selben Wartungsfenster patchen („half-patched forests" sind kein verteidigbarer Zustand), Netlogon-RPC netzseitig einschränken.
Patch-Regime an BOD 26-04 ausrichten – auch ohne US-Bindung das Vier-Variablen-Modell übernehmen; KEV-Katalog automatisiert auswerten und höchstriskante Lücken in Tagen statt Wochen schließen.
Phishing-Awareness Behörden/Banking – Beschäftigte für Behörden-/Ministeriums-Maschen und die nachlaufende Consorsbank-Welle sensibilisieren; Meldewege kommunizieren.
1. Datenschutz
Datenschutzpolitisch dominiert die geplante Wiedereinführung einer anlasslosen Speicherpflicht — diesmal beschränkt auf IP-Adressen, im Verfahren aber bereits unter Ausweitungsdruck.
Zusammenfassung: Die Bundesregierung hat im April 2026 einen Gesetzentwurf zur dreimonatigen, anlasslosen Speicherung von IP-Adressen beschlossen (dritter Anlauf nach 2007 und 2015, beide gerichtlich gekippt). Hinzu kommt das Instrument der „Sicherungsanordnung" (richterlich, bis zu zweimal drei Monate). Der Bundesrat hat den Entwurf am 12. Juni begrüßt, fordert aber eine Verdopplung der Speicherfrist auf sechs Monate und einen Zugriff über BKA/Bundespolizei hinaus für alle 16 Landespolizeien und die Verfassungsschutzbehörden.
Hintergrund & Einordnung: Die Bundesrats-Stellungnahme ist kein Einspruch, sondern ein Änderungswunsch; ob der Bundestag die Ausweitung übernimmt, ist offen. Der Verband eco warnt vor einem „Bauplan für digitale Massenüberwachung" und verweist auf das Bündel paralleler Vorhaben (biometrischer Internet-Abgleich, verfahrensübergreifende Datenanalysen). Verfassungs- und unionsrechtlich ist die Reichweite der Speicherung der entscheidende Hebel — die früheren Gesetze scheiterten genau an der Anlasslosigkeit und Streubreite.
Praxisfolgen / Handlungsempfehlung: TK- und Zugangsanbieter sollten frühzeitig prüfen, welche Speicher-, Lösch- und Herausgabeprozesse eine IP-Speicherpflicht auslösen würde (Aufbewahrungsdauer, Zugriffsprotokollierung, Schnittstellen für Sicherungsanordnungen). Datenschutzbeauftragte sollten das Verfahren beobachten und Stellungnahmefristen im weiteren Gesetzgebungsgang im Blick behalten.
2. Datensicherheit
Heute keine frische, noch nicht behandelte Datensicherheits-Einzelmeldung. Das Wochenmuster der Vortage bleibt gültig: Die jüngsten größeren Vorfälle — ServiceNow (offene, nicht authentifizierte API) und Tchap (Account-Übernahme trotz intakter Verschlüsselung) — beruhten auf Identitäts- und Schnittstellenschwächen, nicht auf neuartigen Exploits. Belastbare neue Umfangsangaben zu beiden Fällen liegen weiterhin nicht vor.
3. IT-Sicherheit
Der Tag ist von aktiv ausgenutzten Schwachstellen in zentraler Zugangs- und Netzwerkinfrastruktur geprägt. Zwei Fälle sind frisch, ein dritter bleibt als Dauerlage prioritär.
3.1 Ivanti Sentry: Pre-Auth-RCE mit CVSS 10 aktiv ausgenutzt
Zusammenfassung: Ivanti veröffentlichte am 9. Juni ein Advisory zu zwei kritischen Lücken in Sentry (vormals MobileIron Sentry). CVE-2026-10520 (CVSS 10.0, CWE-78) ist eine unauthentifizierte OS-Command-Injection im Endpunkt /mics/api/v2/sentry/mics-config/handleMessage und erlaubt Remote-Code-Ausführung als Root. CVE-2026-10523 (CVSS 9.9, CWE-288) umgeht die Authentifizierung und legt beliebige Admin-Konten an. Betroffen sind Versionen 10.5.1, 10.6.1, 10.7.0 und älter; gepatcht sind 10.5.2, 10.6.2 und 10.7.1.
Hintergrund & Einordnung: Nach Veröffentlichung einer technischen Analyse samt PoC durch WatchTowr bestätigte Shadowserver am 11. Juni — weniger als 48 Stunden später — backdoorte, internetexponierte Appliances und warnte: „Wer nicht gepatcht hat, ist höchstwahrscheinlich kompromittiert." Sentry sitzt inline zwischen mobiler Geräteflotte und Backend (häufig Exchange/ActiveSync); ein Root-Zugriff entspricht praktisch unbeschränktem Zugang zu allen vermittelten Postfächern und Anwendungen. Ivanti relativiert, das reale Risiko sinke deutlich, wenn der Management-Port 8443 nicht im Internet stehe.
Praxisfolgen / Handlungsempfehlung: Sofort außerhalb des regulären Zyklus auf 10.5.2/10.6.2/10.7.1 patchen. Port 8443 strikt vom Internet trennen. Exponierte Appliances als potenziell kompromittiert behandeln, forensische Triage durchführen und auf neu angelegte Admin-Konten sowie Backdoors prüfen.
3.2 Cisco Catalyst SD-WAN Manager: ausgenutztes Zero-Day ohne Patch
Zusammenfassung: Cisco warnt vor dem aktiv ausgenutzten Zero-Day CVE-2026-20245 (CVSS 7.8) im Catalyst SD-WAN Manager. Über unzureichend validierte Datei-Argumente in der CLI kann ein Angreifer mit netadmin-Rechten beliebige Befehle als Root ausführen. Ein Patch ist noch nicht verfügbar, Workarounds gibt es nicht. Betroffen sind alle Bereitstellungsarten (On-Prem, Cloud, Government/FedRAMP).
Hintergrund & Einordnung: Es ist das siebte aktiv ausgenutzte SD-WAN-Zero-Day bei Cisco in diesem Jahr; entdeckt wurde es von Google Mandiant. Cisco beobachtete bereits Fälle, in denen die Ausnutzung zu Konfigurationsänderungen an Edge-Geräten führte. Der Angriff wird mit CVE-2026-20182 und CVE-2026-20127 zu einer Kette verbunden (erst Zugang, dann Root). Die Lücke steht seit dem 9. Juni auf der CISA-KEV-Liste.
Praxisfolgen / Handlungsempfehlung: Mangels Patch die für CVE-2026-20182 am 14. Mai veröffentlichten Fixes einspielen, internetexponierte Manager-Instanzen abschotten und sämtliche verwalteten Edge-Geräte auf unautorisierte Konfigurations-Pushes auditieren.
3.3 Carry-over: Netlogon CVE-2026-41089 weiterhin aktiv ausgenutzt
Zusammenfassung: Die unauthentifizierte Netlogon-RCE CVE-2026-41089 (CVSS 9.8) auf Windows-Domain-Controllern wird weiterhin aktiv ausgenutzt (Warnung des belgischen CCB). Microsoft hatte sie am 12. Mai gepatcht und zunächst als „weniger wahrscheinlich ausnutzbar" eingestuft.
Hintergrund & Einordnung: Über einen Stack-Buffer-Overflow im Netlogon-RPC-Interface lässt sich ohne Authentifizierung oder Nutzerinteraktion SYSTEM-Code ausführen — der Hebel zur forest-weiten Übernahme. Die Lücke bleibt damit das prioritäre Carry-over-Risiko der Vortage.
Praxisfolgen / Handlungsempfehlung: Alle Domain-Controller im selben Wartungsfenster patchen, Netlogon-RPC am Netzwerk einschränken, DC-Exposition prüfen und Netlogon-Aktivität überwachen. Für Legacy-Server außerhalb des Supports stehen 0patch-Micropatches bereit.
4. Urteile
Heute keine frische, noch nicht behandelte Gerichtsentscheidung. Prägend bleiben die in der Vorwoche aufbereiteten Entscheidungen — das EuG-Urteil zur DMA-Gatekeeper-Einstufung von Meta (T-1078/23) und der EuGH zum Auskunftsrecht und Rechtsmissbrauch („Brillen Rottler", C-526/24). Mit der 111. Datenschutzkonferenz (16.–18. Juni) ist neuer rechtspolitischer Input zu erwarten.
5. Bußgelder
Heute keine frische, noch nicht behandelte Bußgeldentscheidung. Das in der Vorwoche behandelte Deutsche-Wohnen-Verfahren (LG Berlin I, Festsetzung auf 900.000 €, nicht rechtskräftig) wird nicht erneut ausgerollt.
6. Cyber-Sicherheit
Über den Einzelvorfall hinaus verschiebt sich der regulatorische Rahmen: Aufsichtsbehörden reagieren auf die beschleunigte Exploit-Entwicklung mit drastisch verkürzten Patch-Fristen.
6.1 CISA BOD 26-04 — Drei-Tage-Frist für die höchstriskanten Lücken
Zusammenfassung: CISA hat am 10. Juni die Binding Operational Directive 26-04 erlassen. Für Schwachstellen, die zugleich vier Kriterien erfüllen — öffentlich exponiertes Asset, automatisierbare Ausnutzung, Systemübernahme als Wirkung und nachgewiesene aktive Ausnutzung —, gilt für US-Bundesbehörden eine Frist von nur drei Kalendertagen. Die Direktive ersetzt BOD 19-02 und 22-01 und führt ein risikogestuftes Vier-Variablen-Modell ein, das geringstriskante Lücken bis zum nächsten Upgrade aufschieben darf.
Hintergrund & Einordnung: CISA begründet die Verschärfung ausdrücklich mit KI, die die Schwachstellen-Entdeckung für Angreifer wie Verteidiger beschleunigt. Der Druck ist real: Laut Verizon DBIR 2026 wurden 2025 nur 26 % der KEV-Lücken vollständig behoben (Vorjahr 38 %), die mediane Behebungsdauer stieg auf 43 Tage. Der Ivanti-Sentry-Fall ist der erste prominente Anwendungsfall der Drei-Tage-Logik (Frist bis 14. Juni). Die Umsetzung erfolgt in drei Phasen (sofort, +60, +180 Tage).
Praxisfolgen / Handlungsempfehlung: Auch ohne US-Bindung lohnt die Übernahme der Logik: KEV-Katalog automatisiert auswerten, Assets nach Exponierung und Wirkung taggen und für die höchstriskante Kombination ein Schnell-Patch-Regime (Tage statt Wochen) etablieren. Domain-Controller und internetexponierte Gateways verdienen ein eigenes, schnelleres Fenster.
Ausblick / Termine
14.06.2026: Ablauf der CISA-Drei-Tage-Frist für Ivanti Sentry (CVE-2026-10520) — verbleibende exponierte Instanzen gelten als hochgefährdet.
16.–18.06.2026: 111. Datenschutzkonferenz (DSK) des Bundes und der Länder; Vorsitz 2026: Baden-Württemberg. Erwartet werden Beschlüsse u. a. zu DSGVO-Reform/„Digital Fitness Check" und KI.
Laufend: Cisco Catalyst SD-WAN Manager (CVE-2026-20245) ohne Patch — Mitigation einspielen und Edge-Konfigurationen überwachen; Bundestags-Verfahren zur IP-Vorratsdatenspeicherung beobachten.
24.06.2026: Beginn des planmäßigen Ablaufzyklus der Legacy-UEFI-Secure-Boot-Zertifikate von 2011 — Validierung über die Geräteflotte abschließen.
Methodik
Stichtag dieser Ausgabe ist der 15. Juni 2026; berücksichtigt sind Meldungen der vergangenen Tage (über das Wochenende bis zu sieben Tage zurück), sofern sie in den vorherigen Briefings noch nicht behandelt wurden. Aufgenommen werden ausschließlich über konkrete Quellen (Deep-Links) belegte Sachverhalte; bevorzugt Primärquellen (Hersteller-Advisories, Behörden, Gesetzesmaterialien) sowie etablierte Fachmedien. Englischsprachige Quellen werden sinngemäß ins Deutsche übersetzt, der Originallink bleibt erhalten. Carry-over-Themen (Netlogon, ServiceNow/Tchap, Unimed, Deutsche Wohnen) sind als solche gekennzeichnet und nur bei neuer Sachlage fortgeschrieben. Dieses Briefing ersetzt keine Rechts- oder Sicherheitsberatung im Einzelfall.