Posted in  Daily Briefing  on  Juni 12, 2026 by  Achim Schmidt0 comments

Daily Briefing • 12. Juni 2026

  • Home
  • /
  • Daily Briefing • 12. Juni 2026
Schulungen zu Datenschutz & Cyber-Sicherheit Firmen-Flatrate
mehr erfahren
Daily-Briefing Datenschutz & IT-Sicherheit · 12.06.2026
Cyber-Security.academy

Daily-Briefing Datenschutz & IT-Sicherheit

Deutschland · Datenschutz · Datensicherheit · IT-Sicherheit · Urteile · Bußgelder · Cyber-Sicherheit

Stand: Freitag, 12. Juni 2026

Schnellüberblick für alle ↓  ·  IT-Detailansicht ↓

Worauf Sie heute achten sollten

  • Consorsbank-Phishing mit Frist „13. Juni“: nicht stressen lassen. Eine gefälschte E-Mail im Namen der Consorsbank trägt den Betreff „Verlängerung Ihrer SecurePlus Registrierung ausstehend (Mitteilung: <achtstellige Zahl>)“ und fordert dazu auf, bis zum 13. Juni über einen Link die TAN-Registrierung zu „verlängern“, sonst werde das Konto eingeschränkt. Das ist Betrug: nicht klicken, keine Daten eingeben. Verdächtige Mails an security@consorsbank.de melden und löschen.
  • „SecurePlus“ klingt vertraut — genau das ist die Masche. Die echte SecurePlus-App wurde Ende April durch die neue Consorsbank-App abgelöst; viele kennen den Namen noch. Die Betrüger nutzen diese Vertrautheit plus persönliche Anrede. Ihre SecurePlus-PIN fragt die Bank niemals per Mail oder Web-Formular ab.
  • Privatpatientinnen und -patienten: Briefe zum Abrechnungs-Datenleck prüfen. Im Zuge des bereits gemeldeten Cyberangriffs auf den Abrechnungsdienstleister Unimed verschicken betroffene Unikliniken derzeit Benachrichtigungen. Wer ein Schreiben erhält, sollte es ernst nehmen — abgeflossen sind teils Diagnosedaten. Wer keinen Brief bekommt, ist nach Klinikangaben nicht betroffen.
  • Banking- oder Behörden-Mail mit kurzer Frist? Nie über den Link in der Mail handeln, sondern die offizielle App oder Website direkt öffnen und dort prüfen, ob wirklich etwas zu tun ist.

Aktuelle Phishing- und Betrugswellen

Die auffälligste Welle dieser Tage trifft Kundinnen und Kunden der Consorsbank. Die betrügerische Mail trägt den Betreff „Verlängerung Ihrer SecurePlus Registrierung ausstehend“ samt einer beliebigen achtstelligen „Mitteilungs“-Nummer und behauptet, eine „SecurePlus-Registrierung“ laufe aus. Über einen Link soll die TAN-Registrierung bis zum 13. Juni verlängert werden, andernfalls werde der Kontozugang eingeschränkt.

Besonders perfide ist der Anknüpfungspunkt: Die reale „SecurePlus“-App existierte tatsächlich, wurde aber Ende April 2026 durch die neue Consorsbank-App abgelöst. Der noch bekannte Name verleiht der Fälschung Glaubwürdigkeit, ebenso die persönliche Anrede und die knappe Fristsetzung. Die Verbraucherzentrale ordnet das Muster als klassisches Phishing ein — kurze Frist, Drohung mit Kontosperre, Handlungsaufforderung über einen Link.

Die Consorsbank stellt klar, dass sie die SecurePlus-PIN niemals per Mail oder über ein Web-Formular abfragt, auch wenn die Zielseite täuschend echt aussieht. Wer eine solche Mail erhält, soll nicht auf Buttons oder Links klicken, die Nachricht an security@consorsbank.de weiterleiten und anschließend löschen. Wer bereits Daten eingegeben hat, wendet sich an den Kundendienst; das Online-Banking lässt sich rund um die Uhr über den Sperr-Notruf 116 116 sperren.

Was war los?

Beim US-Cloudanbieter ServiceNow konnten Unbefugte über eine ungeschützte Programmierschnittstelle (API) ohne Anmeldung auf Kundendaten zugreifen. Das Unternehmen schloss die Lücke nach eigenen Angaben am 5. Juni und bestätigte den Vorfall Anfang dieser Woche; an der Börse gab die Aktie daraufhin nach. Für Privatpersonen ist der Fall vor allem ein Beleg dafür, wie häufig nicht spektakuläre Hacks, sondern schlicht offene Schnittstellen zu Datenabflüssen führen.

In Frankreich musste die Digitalbehörde DINUM einräumen, dass der staatliche Messenger Tchap kompromittiert wurde. Bemerkenswert: Die Verschlüsselung wurde nicht geknackt — die Angreifer übernahmen per Social Engineering ein Nutzerkonto und sahen damit, was dieses Konto sah. Die Lehre gilt auch im Alltag: Die beste Verschlüsselung nützt wenig, wenn ein Konto selbst übernommen wird. Mehrfaktor-Anmeldung und Misstrauen gegenüber „Bitte bestätigen Sie kurz Ihren Zugang“-Nachrichten bleiben der wirksamste Schutz.

Was sich rechtlich geändert hat

Das Gericht der Europäischen Union hat am 3. Juni im Verfahren um die Torwächter-Benennung von Meta nach dem Digital Markets Act ein geteiltes Urteil gefällt: Facebook-Messenger bleibt als zentraler Plattformdienst eingestuft, die Benennung von Facebook-Marketplace wurde dagegen für nichtig erklärt. Für Verbraucherinnen und Verbraucher ändert sich unmittelbar nichts — Meta bleibt für seine Kerndienste den strengen DMA-Pflichten unterworfen. Die Entscheidung ist aber ein Signal, dass die Plattformregulierung gerichtlich präzisiert und nicht pauschal durchgewinkt wird.

IT-Detailansicht für Fachpublikum

Der folgende Teil richtet sich an IT- und Datenschutzverantwortliche und umfasst Top-Themen der Woche, Management Summary, Top-Risiken, die sechs Fachkapitel (Datenschutz, Datensicherheit, IT-Sicherheit, Urteile, Bußgelder, Cyber-Sicherheit), Ausblick, Methodik und Quellenverzeichnis. Die heutige Lage ist nachrichtenarm: Aufgenommen sind nur Meldungen mit neuem Sachverhalt; Dauerthemen der Vortage (Check-Point-VPN-Lücke, Chrome-Zero-Day, Microsoft-/SAP-Patchday, Deutsche-Wohnen-Bußgeld) werden nicht erneut ausgerollt.

Top-Themen der Woche

1. Account-Übernahme schlägt Verschlüsselung — Tchap (Frankreich)

Seit 07.06.2026 · zuletzt aktualisiert 12.06.2026

Der Vorfall um Frankreichs Matrix-basierten Staatsmessenger ist das Lehrstück der Woche: Nicht die Ende-zu-Ende-Verschlüsselung wurde gebrochen, sondern ein Konto übernommen.

Letzte Entwicklung: ANSSI entdeckte die Kompromittierung am 7. Juni; DINUM meldete an die CNIL. Die vom Angreifer „Misère“ kolportierten Mengen (73.000 Bedienstete, 643.000 Nachrichten, 13,5 GB, rund 90 als „Diffusion Restreinte“ eingestufte Dokumente) sind unbestätigt und werden von mehreren französischen Analysten ausdrücklich nicht in ihre Breach-Tracker übernommen.

2. Unauthentifizierte API als Einfallstor — ServiceNow

Seit 09.06.2026 · zuletzt aktualisiert 12.06.2026

Der Cloud-Plattformbetreiber bestätigte einen Zugriff auf Kundendaten über eine nicht authentifizierte API; die Lücke wurde am 5. Juni geschlossen.

Letzte Entwicklung: Marktreaktion und Kundeninformation laufen, technische Details zum Umfang sind noch dünn.

Management Summary

Die nachrichtliche Lage am 12. Juni ist ruhig, aber thematisch konsistent: Zwei der drei relevanten Sicherheitsvorfälle dieser Woche — Tchap und ServiceNow — beruhen nicht auf neuartigen Exploits, sondern auf Identitäts- und Schnittstellenschwächen. Bei Tchap übernahmen Angreifer per Social Engineering ein Konto in der Bildungsumgebung des Dienstes und umgingen so die kryptografisch intakte Ende-zu-Ende-Verschlüsselung. Bei ServiceNow genügte eine offene, nicht authentifizierte API. Beide Fälle bestätigen den Befund der Vortage, wonach kompromittierte Identitäten und exponierte Schnittstellen die dominierenden Einfallstore sind — und nicht der spektakuläre Zero-Day. Für Verteidiger verschiebt das den Schwerpunkt von der reinen Schwachstellen-Jagd hin zu Identitäts- und Schnittstellen-Hygiene.

Im Datenschutz steht die Konkretisierung des bereits gemeldeten Unimed-Abrechnungsvorfalls im Vordergrund: Allein bei der Universitätsmedizin Mainz sind 2.764 Personen betroffen, davon 621 mit Gesundheitsdaten. Die Benachrichtigung erfolgt per Brief; betroffen sind ausschließlich Privatpatienten und Selbstzahler. Rechtlich liefert das EuG mit dem Meta-DMA-Urteil eine methodische Leitlinie für Plattform-Benennungen, ohne den Status quo für Nutzer zu verändern. Frische, noch nicht behandelte Meldungen aus den Kapiteln IT-Sicherheit (Schwachstellen) und Bußgelder liegen heute nicht vor; die prioritären Patches der Vortage bleiben unverändert gültig.

Die wichtigsten Punkte im Überblick

  • Consorsbank-Phishing „SecurePlus-Verlängerung“ mit künstlicher Frist 13.06. — TAN-/PIN-Abgriff, hohe Glaubwürdigkeit durch realen App-Namen.
  • ServiceNow: Datenzugriff über nicht authentifizierte API, Lücke am 05.06. geschlossen, offizielle Bestätigung diese Woche.
  • Tchap (FR): Account-Übernahme per Social Engineering, E2E-Verschlüsselung intakt; kursierende Mengenangaben unbestätigt.
  • Unimed-Abrechnungsvorfall konkretisiert: 2.764 Betroffene allein in Mainz (621 mit Gesundheitsdaten), Benachrichtigung per Brief.
  • EuG T-1078/23: Messenger-Gatekeeper-Benennung bestätigt, Marketplace-Benennung nichtig.
  • IKEA/Ingka: Lapsus$ bietet angeblich 180 GB internen Quellcode an — von IKEA nicht bestätigt.

Top-Risiken – Handlungsempfehlungen für heute

  • Phishing-Awareness Banking – Beschäftigte und Kundschaft für die Consorsbank-Welle sensibilisieren; Grundregel: Banking-Aktionen nie über Mail-Links, sondern in der offiziellen App.
  • Identitäts- statt nur Perimeter-Schutz – MFA erzwingen, Konten in Schulungs-/Testumgebungen genauso absichern wie Produktivkonten (Tchap-Lehre); Session-Hijacking in der Erkennung berücksichtigen.
  • API-Inventur – Öffentlich erreichbare Schnittstellen auf fehlende Authentifizierung prüfen (ServiceNow-Muster: „Missing Authentication for Critical Function“).
  • Gesundheits-/Abrechnungsdienstleister – Bei Auftragsverarbeitern mit Gesundheitsdaten den Stand der Unimed-Benachrichtigungen und eigene Betroffenheit (Art. 28/Art. 33 DSGVO) prüfen.

1. Datenschutz

Im Datenschutz dominiert heute die Aufarbeitung des bereits bekannten Abrechnungs-Datenlecks, nun mit konkreten Zahlen für einzelne Kliniken.

1.1 Unimed-Abrechnungsvorfall — Konkretisierung für die Universitätsmedizin Mainz

12.06.2026 · NR-Kurier · byc-news

Zusammenfassung: Nach dem Mitte April erfolgten Angriff auf den saarländischen Abrechnungsdienstleister Unimed (Wadern), der für mehrere deutsche Unikliniken Privat- und Selbstzahler-Abrechnungen erstellt, sind allein bei der Universitätsmedizin Mainz 2.764 Personen betroffen. Bei 2.142 handelt es sich um Stammdaten (Name, Adresse, Geburtsdatum), bei 621 zusätzlich um Gesundheitsdaten (Diagnosen, Diagnosecodes, Inhalte aus Patientenakten), in einem Fall um Finanzdaten.

Hintergrund & Einordnung: Der übergeordnete Vorfall wurde bereits gemeldet; neu ist die klinikspezifische Aufschlüsselung und der Beginn der schriftlichen Benachrichtigung Anfang Juni. Die Täter wollten die Systeme verschlüsseln, was verhindert wurde — Daten flossen jedoch vor dem Stopp ab. Betroffen sind ausschließlich Privatpatientinnen, -patienten und Selbstzahler; die klinische Versorgung und interne Krankenhaussysteme waren nicht beeinträchtigt.

Praxisfolgen / Handlungsempfehlung: Verantwortliche im Gesundheitswesen sollten die eigene Betroffenheit über den gemeinsamen Dienstleister prüfen und Art. 33/34-Pflichten abgleichen. Betroffene erkennen ihre Betroffenheit ausschließlich am individuellen Schreiben; wer keines erhält, ist nach Klinikangaben nicht betroffen. Vorsicht vor Folge-Phishing, das echte Behandlungs- oder Abrechnungsdaten als Köder nutzt.

2. Datensicherheit

Zwei frische Vorfälle zeigen dasselbe Muster: Die Schutztechnik hielt, der Zugang lief über Identität bzw. offene Schnittstelle.

2.1 ServiceNow — Datenzugriff über nicht authentifizierte API

12.06.2026 · computer73

Zusammenfassung: Beim Cloud-Plattformanbieter ServiceNow griffen Unbefugte ohne Authentifizierung über eine API auf Kundendaten zu. Die Schwachstelle in der API-Infrastruktur wurde am 5. Juni geschlossen; die offizielle Bestätigung erfolgte Anfang dieser Woche, woraufhin die Aktie nachgab.

Hintergrund & Einordnung: Der Fall reiht sich in das Wochenmuster „Identität und Schnittstelle vor Exploit“ ein. Eine nicht authentifizierte, kritische Funktion (CWE-306-Klasse) ist ein wiederkehrender Architekturfehler in SaaS-Plattformen; der unmittelbare Kurseffekt zeigt zugleich die Reputations- und Marktrelevanz solcher Vorfälle.

Praxisfolgen / Handlungsempfehlung: Eigene und über Dienstleister bezogene SaaS-APIs auf Authentifizierungs- und Autorisierungslücken prüfen, Zugriffe protokollieren und auf anomale Massenabfragen alarmieren. Bei Nutzung von ServiceNow den Hersteller-Status zu betroffenen Instanzen und Datenkategorien einholen.

2.2 Tchap (Frankreich) — Account-Übernahme bei staatlichem Messenger

12.06.2026 · Help Net Security · heise

Zusammenfassung: Frankreichs Digitalbehörde DINUM bestätigte eine Kompromittierung des staatlichen, Matrix-basierten Messengers Tchap. Der Zugang erfolgte per Social Engineering über ein Konto der Bildungsumgebung, nicht über einen Bruch der Verschlüsselung. ANSSI entdeckte den Vorfall am 7. Juni; das betroffene Konto wurde gesperrt, die CNIL eingeschaltet.

Hintergrund & Einordnung: Ende-zu-Ende-Verschlüsselung schützt Nachrichten bei Übertragung und Speicherung, nicht aber gegen die Übernahme eines eingeloggten Clients: Wer als der Nutzer agiert, sieht, was das Konto sieht — inklusive geöffneter privater Räume. Tchap ist seit August 2025 für französische Beamte verpflichtend (über 300.000 monatlich aktive Nutzer), was die politische Brisanz erhöht. Die vom Angreifer „Misère“ genannten Mengen (u. a. 73.000 Bedienstete, 13,5 GB, rund 90 als „Diffusion Restreinte“ eingestufte Dokumente) sind unbestätigt.

Praxisfolgen / Handlungsempfehlung: Konten in Test-, Schulungs- und Onboarding-Umgebungen mit demselben MFA- und Monitoring-Niveau absichern wie Produktivkonten. Identitätsbasierte Angriffe (Session-Hijacking, Helpdesk-Social-Engineering) in Erkennung und Awareness-Programme aufnehmen.

3. IT-Sicherheit

Heute keine frische, noch nicht behandelte Schwachstellenmeldung. Weiterhin prioritär bleiben die in den Vortagsbriefings ausgeführten, aktiv ausgenutzten Lücken — insbesondere die Check-Point-VPN-Schwachstelle (CVE-2026-50751) und der Chrome/Edge-Zero-Day (CVE-2026-11645) sowie der Microsoft- und SAP-Patchday vom 10. Juni. Sofern noch nicht erfolgt, sind diese Updates unverändert mit hoher Priorität einzuspielen.

4. Urteile

Eine frische, noch nicht behandelte Entscheidung mit Praxisrelevanz: das EuG-Urteil zur DMA-Torwächter-Benennung von Meta.

4.1 Meta als DMA-Gatekeeper — Messenger bestätigt, Marketplace-Benennung nichtig

Gericht der EU · 03.06.2026 · T-1078/23 · curia PM 77/2026 · beck-aktuell · LTO

Sachverhalt: Die Europäische Kommission hatte Meta mit Beschluss vom 5. September 2023 nach dem Digital Markets Act (VO (EU) 2022/1925) als Torwächter benannt und dabei u. a. Facebook-Messenger als interpersonellen Kommunikationsdienst und Facebook-Marketplace als Online-Vermittlungsdienst eingestuft. Meta griff beide Einstufungen mit der Nichtigkeitsklage an.

Entscheidung: Das Gericht der EU bestätigt die Benennung für Messenger und erklärt die Benennung für Marketplace für nichtig.

Begründungs-Kernpunkte: Messenger sei ein eigenständiger, von Facebook getrennter nummernunabhängiger Kommunikationsdienst (eigene Apps, unabhängige Nutzung, dienstspezifische Business-Tools); Überschneidungen der Nutzerbasis seien unschädlich. Bei Marketplace habe die Kommission von Meta noch vor der Entscheidung umgesetzte strukturelle Änderungen ausgeblendet und nicht tragfähig begründet, warum der Dienst weiterhin ein Online-Vermittlungsdienst sei — maßgeblich sei die Sach- und Rechtslage im Zeitpunkt der Benennung.

Praxisfolgen: Für Meta praktisch folgenlos (die Marketplace-Einstufung war bereits im April 2025 zurückgezogen). Methodisch zentral: Teilt ein Unternehmen während des Benennungsverfahrens wesentliche Plattformänderungen mit, muss die Kommission diese konkret würdigen. Gegen das Urteil ist ein auf Rechtsfragen beschränktes Rechtsmittel zum EuGH möglich. Ausführliche Aufbereitung in der Urteils-Sammlung der Academy.

5. Bußgelder

Heute keine frische, noch nicht behandelte Bußgeldentscheidung. Das in dieser Woche bereits behandelte Deutsche-Wohnen-Verfahren (LG Berlin I, Reduzierung auf 900.000 €) wird nicht erneut ausgerollt.

6. Cyber-Sicherheit

Ein unbestätigter, aber prominenter Erpressungsfall mit Lehren für den Schutz von Quellcode.

6.1 IKEA / Ingka Group — Lapsus$ bietet angeblich 180 GB Quellcode an

12.06.2026 · Cybernews

Zusammenfassung: Die Erpressergruppe Lapsus$ inseriert den Verkauf von angeblich 180 GB interner Daten der Ingka Group, des weltgrößten IKEA-Franchisenehmers (32 Länder, über 200.000 Beschäftigte). Betroffen sein soll interner Quellcode — nicht Kundendaten. IKEA bestätigt den Vorfall nicht, untersucht aber.

Hintergrund & Einordnung: In einer Stichprobe fanden Forschende rund 6.300 Verzeichnisnamen mit Verweisen auf interne Tools, CMS-Plattformen und die IKEA-Android-App; die tatsächlichen Inhalte bleiben unverifiziert. Lapsus$ agiert 2026 als Teil des Verbunds „Scattered Lapsus$ Hunters“ (mit Scattered Spider und ShinyHunters) und reklamierte zuletzt Vorfälle u. a. bei Adidas und AstraZeneca. Exponierter Quellcode ist auch ohne Kundendaten riskant: Er kann ungepatchte Schwachstellen, interne Architektur und Vertrauensbeziehungen zwischen Systemen offenlegen.

Praxisfolgen / Handlungsempfehlung: Organisationen mit umfangreichen Eigenentwicklungen sollten Quellcode-Repositories als schützenswertes Gut behandeln (Zugriffstrennung, Secrets-Scanning, Rotation hinterlegter Zugangsdaten). Behauptete, aber unbestätigte Leaks zunächst als solche kennzeichnen und die eigene Exponierung prüfen, statt vorschnell zu dementieren oder zu bestätigen.

Ausblick / Termine

  • 13.06.2026: Künstliche „Frist“ der Consorsbank-Phishing-Welle — mit erhöhtem Mail-Aufkommen und Nachzüglern ist über das Wochenende zu rechnen.
  • 12.06.2026: Der Bundesrat befasst sich heute mit dem Gesetzentwurf zur neuen Vorratsdatenspeicherung (IP-Adressspeicherung); der Rechtsausschuss empfiehlt eine Verdopplung der Speicherfrist auf sechs Monate und eine Ausweitung der Zugriffsberechtigten. Ein konkreter Beschluss lag bei Redaktionsschluss nicht belegt vor — Beobachtung für die Folgetage.
  • Laufend: Tchap- und ServiceNow-Vorfälle — auf belastbare Umfangsangaben und etwaige Nachmeldungen achten.

Methodik

Stichtag dieser Ausgabe ist der 12. Juni 2026; berücksichtigt sind Meldungen der vergangenen Tage, sofern sie in den vorherigen Briefings noch nicht behandelt wurden. Aufgenommen werden ausschließlich über konkrete Quellen (Deep-Links) belegte Sachverhalte; Dauerthemen der Vortage werden nicht erneut als Erstmeldung ausgerollt. Englischsprachige Quellen werden sinngemäß ins Deutsche übersetzt, der Originallink bleibt erhalten. Angreiferbehauptungen (z. B. zu Tchap und IKEA) sind als unbestätigt gekennzeichnet. Dieses Briefing ersetzt keine Rechts- oder Sicherheitsberatung im Einzelfall.

Quellenverzeichnis

  1. netzwelt — Frist bis 13.06.: Consorsbank-Verlängerung
  2. ad-hoc-news — Consorsbank-Kunden: Neue Phishing-Welle nutzt SecurePlus-App
  3. computer73 — ServiceNow informiert Kunden über Datenpanne
  4. Help Net Security — French government messaging platform Tchap breached through account hijacking
  5. heise — Datenleck: Cyberangriff auf französischen Regierungs-Messenger Tchap
  6. NR-Kurier — Cyberangriff auf Mainzer Uniklinik: Gesundheitsdaten von über 600 Patienten betroffen
  7. byc-news — Update zum Cyberangriff auf Dienstleister der Universitätsmedizin Mainz
  8. curia — Pressemitteilung Nr. 77/2026 (EuG, T-1078/23)
  9. beck-aktuell — DMA-Einstufung von Meta-Diensten: Facebook-Marketplace ist doch kein Torwächter
  10. LTO — Meta bleibt bei Messenger Torwächter
  11. Cybernews — IKEA faces data leak threat after hackers claim theft of internal code
Achim Schmidt · cyber-security.academy · Stand: Freitag, 12. Juni 2026

Unsere Kurse

Demozugang  bestellen
Demozugang  bestellen

Die Infos auf unserem Blog stellen grundsätzlich keine Rechtsberatung dar,
sondern dienen lediglich der Information.

Schulungen zu Datenschutz & Cyber-Sicherheit Firmen-Flatrate

mehr erfahren
>