1. Browser- und Plattform-Patchwelle — Chrome-Zero-Day im Zentrum

Seit Dienstag, 9. Juni 2026 · zuletzt aktualisiert Donnerstag, 11. Juni 2026 · Score 86

Innerhalb weniger Tage trafen Microsoft-Patchday, SAP-Patchday und ein aktiv ausgenutzter Chrome-Zero-Day zusammen. Die Angriffsfläche reicht vom Endgerät-Browser bis zu zentralen ERP-Systemen.

Letzte Entwicklung: Google schließt mit CVE-2026-11645 einen aktiv ausgenutzten V8-Zero-Day (der fünfte 2026); das BSI verschärft seine Warnung. Parallel adressiert SAP kritische NetWeaver-Lücken (u. a. CVE-2026-44748, CVSS 9.9).

2. unimed-Datenpanne — Patientendaten im Umlauf, Folgebetrug aktiv

Seit Anfang Juni 2026 · zuletzt aktualisiert Donnerstag, 11. Juni 2026 · Score 84

Aus der Datenpanne beim Abrechnungsdienstleister unimed (Angriff am 14. April 2026) sind Daten von mehr als 120.000 Privatpatienten abgeflossen; einzelne Kliniken sind sehr unterschiedlich stark betroffen.

Letzte Entwicklung: Keine neue Sachverhaltsentwicklung. Das Bild zum Ausmaß verdichtet sich (u. a. Uniklinik Freiburg rund 54.000, Uniklinik Köln rund 30.000 Datensätze; das UKD selbst nur rund 3.000 Fälle). Der Schwerpunkt liegt weiter auf Folgebetrug mit echten Behandlungsdaten.

1.1 unimed-Datenpanne: Ausmaß über die Kliniken verteilt

22.05.2026 · Uniklinik Düsseldorf — Pressemitteilung · Börse Express

Zusammenfassung: Beim Angriff auf den Abrechnungsdienstleister unimed (Sitz Wadern) am 14. April 2026 flossen Stammdaten, Abrechnungsinformationen, Diagnosen und Bankverbindungen von mehr als 120.000 Privatpatienten ab. Die Betroffenheit ist über die Kliniken sehr ungleich verteilt: Das Universitätsklinikum Freiburg meldet rund 54.000, die Uniklinik Köln rund 30.000 betroffene Datensätze; in Baden-Württemberg meldeten 17 Krankenhäuser Datenpannen im Zusammenhang mit dem Vorfall. Das UKD beziffert für sich nur rund 3.000 Fälle mit allgemeineren Daten sowie 162 Fälle mit möglicherweise betroffenen Gesundheitsdaten und war bis 2024 Vertragspartner von unimed.

Hintergrund & Einordnung: Der Vorfall ist ein Lehrstück über Drittdienstleister-Risiken: Nicht die Kliniksysteme wurden kompromittiert — diese blieben nach Angaben der Häuser unangetastet, die Patientenversorgung war zu keinem Zeitpunkt betroffen —, sondern ein gemeinsamer externer Auftragsverarbeiter. Ein einziger erfolgreicher Angriff dort multipliziert sich über alle angeschlossenen Verantwortlichen. Im Gesundheitsmarkt liegt der durchschnittliche Schaden pro Cybervorfall bei rund 4,9 Millionen Euro.

Praxisfolgen / Handlungsempfehlung: Auftragsverarbeiter nach Art. 28 DSGVO nicht nur vertraglich, sondern technisch-organisatorisch prüfen (Audit-Rechte tatsächlich ausüben). Meldeketten nach Art. 33/34 DSGVO für Dienstleister-Vorfälle vorab definieren, Betroffene transparent informieren und vor Folgebetrug mit echten Behandlungsdaten warnen.

2.1 „ClickFix“ auf dem Vormarsch — gefälschte Fehlerbehebung als Einfallstor

Juni 2026 · materialfluss — Check Point Cyber Security Report 2026

Zusammenfassung: Sicherheitsanalysen verzeichnen einen starken Zuwachs bei „ClickFix“-Angriffen, bei denen Nutzer durch gefälschte technische Aufforderungen (etwa ein vermeintliches CAPTCHA oder einen „Reparatur“-Befehl) dazu gebracht werden, selbst Schadcode auszuführen. Auch das Booking.com-Datenleck ist über kompromittierte Hotelpartner auf diese Weise entstanden; die erbeuteten Buchungsdaten dienen anschließend für glaubwürdige Folgenachrichten.

Hintergrund & Einordnung: ClickFix umgeht klassische technische Schutzmaßnahmen, weil das Opfer die schädliche Aktion selbst und freiwillig auslöst — Mail-Gateways und Linkfilter greifen ins Leere. Die Technik kombiniert sich gut mit echten Daten aus Lecks: Wer Name, Buchung oder Behandlung kennt, wirkt glaubwürdig genug, um zur Ausführung zu verleiten.

Praxisfolgen / Handlungsempfehlung: Beschäftigte gezielt gegen ClickFix schulen („kein seriöser Anbieter lässt Sie Befehle ins Terminal oder ins Ausführen-Fenster tippen“). Self-Service-Skriptausführung und „On-Connect“-Direktiven einschränken, Partnerzugänge mit MFA absichern und verdächtige Aufforderungen über etablierte Meldewege erfassen.

3.1 Chrome/Edge: aktiv ausgenutzter V8-Zero-Day CVE-2026-11645

09.06.2026 · BleepingComputer · The Hacker News

Zusammenfassung: Google hat in Chrome eine Out-of-bounds-Lese-/Schreibschwachstelle in der JavaScript-Engine V8 geschlossen (CVE-2026-11645, CVSS 8.8), für die ein Exploit in freier Wildbahn existiert. Die Lücke erlaubt es, über eine präparierte HTML-Seite Code im Browser-Kontext auszuführen. Sie wurde am 27. April 2026 von einem anonymen Forscher gemeldet; das Sammelupdate behebt insgesamt 74 Schwachstellen. Sichere Versionen sind 149.0.7827.102 (Windows/Linux) und .103 (macOS) — es ist der fünfte ausgenutzte Chrome-Zero-Day in diesem Jahr.

Hintergrund & Einordnung: Microsoft Edge und andere Chromium-Browser teilen dieselbe V8-Engine und sind daher ebenfalls betroffen. V8-Speicherfehler eignen sich, um Schutzmechanismen wie ASLR zu unterlaufen, und werden in realen Angriffen typischerweise mit einem Sandbox-Escape gekettet, um aus dem Browser auszubrechen. Das BSI hat seine Warnung zu der Lücke verschärft.

Praxisfolgen / Handlungsempfehlung: Update priorisiert ausrollen und — entscheidend — den Browser-Neustart erzwingen, da die Korrektur erst nach dem Relaunch greift. In verwalteten Umgebungen den Rollout über die Browser-Management-Richtlinien kontrollieren und den Patchstand verifizieren statt auf automatische Aktualisierung zu vertrauen.

3.2 SAP-Patchday Juni 2026: kritische NetWeaver-Lücken

09.06.2026 · heise online · All About Security

Zusammenfassung: SAP hat zum Juni-Patchday 15 Sicherheitshinweise veröffentlicht, darunter mehrere kritische Lücken. CVE-2026-44748 (CVSS 9.9) ist ein XML-Signature-Wrapping in der SAML-Authentifizierung von NetWeaver AS ABAP, über das authentifizierte Angreifer manipulierte signierte XML-Dokumente unterschieben und sich gefälschte Identitätsinformationen bestätigen lassen. CVE-2026-27671 (CVSS 9.8) ist eine unauthentifizierte Speicherkorruption im SAP-Kernel über eine unzureichende RFC-Protokollprüfung. Hinzu kommen CVE-2026-22732 (Spring Security, betrifft u. a. Commerce Cloud) und ein Path-Traversal in NetWeaver Java (CVE-2026-40128).

Hintergrund & Einordnung: NetWeaver ist die Laufzeitbasis zahlreicher SAP-Anwendungen; eine unauthentifizierte Kernel-Lücke skaliert entsprechend weit. Für CVE-2026-44748 nennen Berichte als einzigen temporären Workaround das Deaktivieren der SAML-Authentifizierung — operativ heikel, weil damit auch Single-Sign-On-Anmeldungen entfallen.

Praxisfolgen / Handlungsempfehlung: Betroffene SAP-Landschaften identifizieren und die Hinweise priorisiert einspielen. Wo ein Sofort-Patch nicht möglich ist, RFC-Schnittstellen netzseitig strikt einschränken und die SAML-Konfiguration prüfen. Exponierte NetWeaver-Java-Instanzen besonders beachten.

4.1 EuGH „Brillen Rottler“: Auskunftsrecht, Missbrauch und Schadensersatz

EuGH · 2026 · Rs. C-526/24 (Vorlage AG Arnsberg, 42 C 434/23) · CMS

Sachverhalt: Eine in Österreich ansässige Person abonnierte 2023 den Newsletter eines deutschen Brillenhändlers und stellte bereits 13 Tage später einen Auskunftsantrag nach Art. 15 DSGVO. Das Unternehmen hielt das Ersuchen für rechtsmissbräuchlich, weil Hinweise auf ein systematisches Vorgehen bestanden, und verweigerte die Auskunft; die Person forderte daraufhin Schadensersatz.

Entscheidung: Der EuGH stellt klar, dass auch die Verletzung des Auskunftsrechts nach Art. 15 DSGVO grundsätzlich einen Schadensersatzanspruch nach Art. 82 DSGVO begründen kann — Kompensation ist nicht auf reine Verarbeitungsverstöße beschränkt. Zugleich kann bereits ein erstmaliger Auskunftsantrag als „exzessiv“ qualifiziert und zurückgewiesen werden.

Begründungs-Kernpunkte: Für die Annahme eines exzessiven/missbräuchlichen Antrags müssen ein objektives und ein subjektives Element zusammentreffen: Objektiv muss das mit dem Auskunftsrecht verfolgte Ziel verfehlt werden, subjektiv muss eine missbräuchliche Absicht vorliegen. Der Verantwortliche darf dabei öffentlich zugängliche Informationen berücksichtigen — etwa erkennbar wiederholte Anträge an verschiedene Unternehmen mit anschließenden Schadensersatzforderungen („DSGVO-Hopper“). Ein immaterieller Schaden kann im Kontrollverlust oder in der Ungewissheit über die Verarbeitung liegen; die Darlegungs- und Beweislast trägt die betroffene Person.

Praxisfolgen: Unternehmen sollten Auskunftsersuchen weiterhin fristgerecht und vollständig bearbeiten, dürfen aber ein dokumentiertes Missbrauchs-Prüfschema vorhalten. Eine Ablehnung als „exzessiv“ verlangt belastbare, dokumentierte Anhaltspunkte für die missbräuchliche Absicht — eine pauschale Verweigerung bleibt riskant und kann selbst Schadensersatz auslösen.

5.1 Carry-over: Deutsche-Wohnen-Bußgeld auf 900.000 Euro festgesetzt

09.06.2026 · Berlin.de — Pressemitteilung 24/2026 · netzpolitik.org

Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit (Ausgangsbescheid 2019), gerichtlich festgesetzt durch das Landgericht Berlin I · Adressat: Deutsche Wohnen SE · Höhe: 900.000 Euro (ursprünglich ~14,5 Mio.)

Verstoß / Rechtsgrundlage: Art. 5 Abs. 1 lit. c und e DSGVO (Datenminimierung, Speicherbegrenzung), in Einzelfällen Art. 6 Abs. 1 DSGVO — rechtswidrig verwendetes Archivsystem ohne Löschmöglichkeit für Mieterdaten.

Begründung: Die 26. Große Strafkammer würdigte mildernd, dass das Unternehmen externe Prüfer und IT-Fachleute zur DSGVO-Umstellung eingeschaltet hatte und die Verstöße in die Einführungsphase der DSGVO fielen. Die deutliche Reduktion zeigt das strukturelle Muster im OWiG-Verfahren: Nach dem Einspruch verliert die Aufsichtsbehörde weitgehend die Kontrolle über Ausgang und Höhe. Die Entscheidung ist noch nicht rechtskräftig und kann mit der Rechtsbeschwerde angefochten werden.

Praxisfolgen: Realistische Chance auf Reduktion im Rechtsweg, aber keine Entwarnung — die zugrunde liegenden Pflichten (Löschung, Datenminimierung) bleiben unverändert und werden geprüft. Compliance sollte auf die materielle, technisch durchgesetzte Erfüllung zielen, nicht auf das Kalkül späterer Reduktion.

6.1 Cyber-Erpressung in Deutschland stark gestiegen — Mittelstand im Fokus

Juni 2026 · unternehmen-cybersicherheit.de

Zusammenfassung: Nach dem Security Navigator 2026 ist die Zahl der bekannten Opfer von Cyber-Erpressung in Deutschland gegenüber dem Vorjahr um rund 91 Prozent gestiegen. Besonders häufig geraten kleine und mittlere Unternehmen mit bis zu 250 Mitarbeitenden ins Visier — also Organisationen mit oft begrenzten Sicherheitsressourcen.

Hintergrund & Einordnung: Ransomware-Gruppen kombinieren Verschlüsselung zunehmend mit Datendiebstahl und Veröffentlichungsdrohung (Double Extortion). Der Anstieg passt zum beobachteten Zuwachs von Ransomware-as-a-Service-Angeboten und ClickFix-Einstiegen: Die Eintrittshürde sinkt, während die Professionalisierung steigt. Kennzahlen aus Anbieter-Reports sind mit Vorsicht zu lesen, der Trend ist über mehrere Quellen aber konsistent.

Praxisfolgen / Handlungsempfehlung: Offline-Backups (3-2-1-Regel) vorhalten und Wiederherstellung regelmäßig testen, MFA flächendeckend ausrollen, Netzsegmentierung umsetzen und Notfallpläne für den Ausfall zentraler Systeme einüben. Gerade KMU sollten Identitäts- und Zugangsschutz priorisieren, weil kompromittierte Zugangsdaten der häufigste Einstieg sind.