1. unimed-Datenpanne — Patientendaten im Umlauf, Folgebetrug aktiv

Seit Anfang Juni 2026 · zuletzt aktualisiert Mittwoch, 10. Juni 2026 · Score 88

Aus der Datenpanne rund um unimed sind Patientendaten von mehr als 120.000 Betroffenen abgeflossen, die seither für gezielte Betrugsanrufe und Phishing missbraucht werden. Das Thema läuft als Dauerlage weiter.

Letzte Entwicklung: Heute keine neue Sachverhaltsentwicklung; der Schwerpunkt verlagert sich auf den Folgebetrug (Anrufe mit echten Behandlungsdaten). Betroffene sollten bei Anrufen mit korrekten Gesundheitsdaten besonders misstrauisch bleiben.

2. Behörden- und Finanz-Phishing als Dauerwelle

Seit Mai 2026 · zuletzt aktualisiert Mittwoch, 10. Juni 2026 · Score 80

Gefälschte Mails im Namen von Rentenversicherung, Finanzamt/ELSTER, Rundfunkbeitrag und Banken lösen einander in kurzer Folge ab und werden durch KI-Texte immer schwerer erkennbar.

Letzte Entwicklung: Heute neu prominent die Rentenversicherungs-Masche mit fixer Summe von 389,88 Euro und GwG-Vorwand.

1.1 Datenpannen-Meldungen auf neuem Höchststand

Juni 2026 · consense communications

Zusammenfassung: Die Zahl der gemeldeten Datenpannen in Deutschland ist im vergangenen Jahr deutlich gestiegen; einzelne Aufsichtsbehörden verzeichnen im Schnitt rund 65 Meldungen pro Monat. Parallel greifen neben Art. 33 DSGVO zunehmend NIS-2- und sektorspezifische Meldepflichten, die teils kürzere Fristen und zusätzliche Adressaten vorsehen.

Hintergrund & Einordnung: Die 72-Stunden-Frist des Art. 33 DSGVO trifft im Ernstfall auf parallele Meldeketten. Wer Datenschutz-, NIS-2- und vertragliche Meldepflichten nicht vorab zusammenführt, riskiert widersprüchliche oder verspätete Meldungen. Die Krisenkommunikation gegenüber Betroffenen nach Art. 34 DSGVO kommt hinzu, sobald ein hohes Risiko vorliegt.

Praxisfolgen / Handlungsempfehlung: Melde- und Eskalationsprozesse als ein integriertes Playbook führen (Datenschutz, Informationssicherheit, Recht, Kommunikation). Vorlagen für Behörden- und Betroffenenmeldung bereithalten und in Tabletop-Übungen testen.

2.1 Booking.com-Datenleck über Hotelpartner und „ClickFix“

Juni 2026 · Tuta — Booking.com hacked

Zusammenfassung: Booking.com informiert Kundinnen und Kunden, dass Unbefugte möglicherweise auf bestimmte Buchungsinformationen zugreifen konnten. Der Zugang erfolgte offenbar nicht über Booking.com selbst, sondern über kompromittierte Hotelpartner; Angreifer brachten Hotelmitarbeitende mit der „ClickFix“-Technik dazu, Schadsoftware zu installieren.

Hintergrund & Einordnung: „ClickFix“ tarnt eine Schadaktion als harmlose Fehlerbehebung (etwa ein vermeintliches CAPTCHA oder einen „Reparatur“-Befehl), den das Opfer selbst ausführt. Die so erlangten Buchungsdaten — Name, Reisezeitraum, Unterkunft — eignen sich hervorragend für glaubwürdige Folgenachrichten, häufig per WhatsApp mit Bezug auf eine echte Reservierung.

Praxisfolgen / Handlungsempfehlung: Reisende: keine Zahlungs- oder Verifizierungsaufforderungen außerhalb der offiziellen Plattform befolgen. Unternehmen mit Partnernetzen: Partnerzugänge mit MFA absichern, „On-Connect“-Skripte und Self-Service-Installationen einschränken und Mitarbeitende gezielt gegen ClickFix-Social-Engineering schulen.

3.1 Microsoft Patchday Juni 2026: ~200 Lücken, drei Zero-Days

10.06.2026 · BleepingComputer

Zusammenfassung: Microsoft schließt rund 200 Sicherheitslücken, davon 33 kritische (28 Remote Code Execution, vier Elevation of Privilege, eine Information Disclosure). Drei Schwachstellen waren öffentlich bekannt: CVE-2026-45586 (Rechteausweitung im Windows Collaborative Translation Framework/CTFMON), CVE-2026-49160 (HTTP.sys-Denial-of-Service, „HTTP/2 Bomb“) und CVE-2026-50507 (BitLocker-Security-Feature-Bypass). Nach Herstellerangaben war keine der drei vor dem Patch aktiv ausgenutzt.

Hintergrund & Einordnung: Die BitLocker-Lücke lässt sich durch präparierte Dateien auf USB-Laufwerk oder EFI-Partition und einen Start in die Windows-Wiederherstellungsumgebung ausnutzen — ein physischer Angriff, der die Festplattenverschlüsselung aushebelt. Für On-Premises-Exchange liefert Microsoft mehrere Korrekturen, darunter die als „Important“ eingestufte RCE-Lücke CVE-2026-45583. Insgesamt sind mehrere Lücken mit „Ausnutzung wahrscheinlich“ markiert.

Praxisfolgen / Handlungsempfehlung: Updates priorisiert ausrollen, beginnend mit exponierten Servern und Geräten mit physischem Zugriffsrisiko (Laptops, Kioske). BitLocker-Konfiguration und Recovery-Umgebung prüfen, Exchange-Patches einspielen und temporäre Mitigations erst danach zurücknehmen.

3.2 Carry-over: FortiClient EMS (CVE-2026-35616) weiterhin aktiv ausgenutzt

Juni 2026 · Börse Express

Zusammenfassung: Die Schwachstelle CVE-2026-35616 im FortiClient Enterprise Management Server (EMS) erlaubt nicht authentifizierten Angreifern, die API-Authentifizierung zu umgehen. Über manipulierte Remote-Access-Profile und „On-Connect“-Direktiven werden Skripte auf verbundene Endgeräte geschoben; beobachtet wurde die Verbreitung eines Infostealers.

Hintergrund & Einordnung: Der EMS verwaltet zentral tausende Endgeräte — ein erfolgreicher Angriff skaliert entsprechend. Die Lücke ist bereits seit dem Frühjahr bekannt und wird weiter ausgenutzt; sie bleibt damit ein Carry-over-Risiko für Unternehmen, die das Management-System exponiert betreiben.

Praxisfolgen / Handlungsempfehlung: Auf die gepatchte Version aktualisieren, EMS-Zugriff netzseitig einschränken und Server auf unbekannte lokale Konten sowie auf manipulierte Remote-Access-Profile prüfen.

4.1 LG Berlin I reduziert Deutsche-Wohnen-Bußgeld auf 900.000 Euro

Landgericht Berlin I · 09.06.2026 · 526 OWi LG 1/20 · Berlin.de — PM 24/2026

Sachverhalt: Die Berliner Datenschutzbeauftragte hatte 2019 gegen die Deutsche Wohnen SE ein Bußgeld von rund 14,5 Millionen Euro verhängt, weil personenbezogene Daten ehemaliger Mieter — darunter Gehaltsbescheinigungen, Kontoauszüge und Ausweisdokumente — zu lange gespeichert und nicht rechtzeitig gelöscht wurden. Nach einer Vorlage zum EuGH und mehreren Verfahrensschritten landete der Fall erneut beim Landgericht Berlin I.

Entscheidung: Die 26. Große Strafkammer (Bußgeldkammer) setzte das Bußgeld auf 900.000 Euro fest. Die Entscheidung ist noch nicht rechtskräftig und kann mit der Rechtsbeschwerde angefochten werden.

Begründungs-Kernpunkte: Das Unternehmen habe nach Ablauf der zweijährigen DSGVO-Übergangsfrist (ab 25. Mai 2018) nicht rechtzeitig die erforderlichen Änderungen im IT-System vorgenommen, um die Daten fristgerecht zu löschen, obwohl dies zumutbar und technisch möglich gewesen sei. Festgestellt wurden Verstöße gegen Art. 5 Abs. 1 lit. c (Datenminimierung) und lit. e (Speicherbegrenzung) sowie in Einzelfällen Art. 6 Abs. 1 DSGVO.

Praxisfolgen: Speicher- und Löschpflichten werden justiziabel durchgesetzt — entscheidend ist die technische Umsetzung im System, nicht nur ein dokumentiertes Löschkonzept. Verantwortliche sollten Aufbewahrungsfristen automatisiert durchsetzen und Altbestände aktiv bereinigen.

5.1 Deutsche-Wohnen-Bußgeld im Kontext der europäischen Sanktionspraxis

09.06.2026 · datenschutzticker.de · CMS Enforcement Tracker

Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit (Ausgangsbescheid), gerichtlich festgesetzt durch das Landgericht Berlin I · Adressat: Deutsche Wohnen SE · Höhe: 900.000 Euro (ursprünglich ~14,5 Mio.)

Verstoß / Rechtsgrundlage: Art. 5 Abs. 1 lit. c und e DSGVO (Datenminimierung, Speicherbegrenzung), in Einzelfällen Art. 6 Abs. 1 DSGVO.

Begründung: Die deutliche Reduktion zeigt das strukturelle Muster im OWiG-Verfahren: Legt das Unternehmen Einspruch ein, wandert der Fall vom Bescheid der Aufsichtsbehörde ins gerichtliche Verfahren, in dem die Behörde weitgehend die Kontrolle über Ausgang und Höhe verliert. Europaweit hat das Gesamtvolumen verhängter DSGVO-Bußgelder inzwischen die Sechs-Milliarden-Euro-Marke überschritten, bei einem länderübergreifenden Durchschnitt von rund 2,28 Millionen Euro je Bußgeld.

Praxisfolgen: Für Unternehmen bedeutet das einerseits eine realistische Chance auf Reduktion im Rechtsweg, andererseits keine Entwarnung: Die zugrunde liegenden Pflichten (Löschung, Datenminimierung) bleiben unverändert und werden geprüft. Compliance sollte auf die materielle Erfüllung zielen, nicht auf das Kalkül späterer Reduktion.

6.1 Ransomware-Lage: über tausend Angriffsversuche pro Woche

Juni 2026 · firewalls24 — Cybersicherheit Deutschland 2026

Zusammenfassung: Deutsche Unternehmen sehen sich im Schnitt mit über tausend Cyberangriffsversuchen pro Woche konfrontiert — ein zweistelliger Zuwachs gegenüber dem Vorjahr. Ransomware bleibt die gefährlichste Einzelbedrohung, häufig kombiniert mit Datendiebstahl (Double Extortion). Besonders betroffen sind KMU sowie Energieversorger, Bildungs- und Gesundheitseinrichtungen.

Hintergrund & Einordnung: Moderne Ransomware-Gruppen verschlüsseln nicht nur, sondern exfiltrieren Daten und drohen mit Veröffentlichung. Gerade Kliniken sind verwundbar, weil medizinische Geräte aus Zulassungsgründen oft nicht zeitnah gepatcht werden können und neben veralteten Systemen betrieben werden.

Praxisfolgen / Handlungsempfehlung: Offline-Backups (3-2-1-Regel) vorhalten und Wiederherstellung regelmäßig testen, Netzsegmentierung umsetzen, MFA flächendeckend ausrollen und Notfallpläne für den Ausfall zentraler Systeme einüben.