1. FortiBleed: rund 74.000 Fortinet-Firewalls mit geknackten Zugangsdaten

Seit Donnerstag, 18. Juni 2026 · zuletzt aktualisiert Freitag, 19. Juni 2026 · Score 88

Eine großangelegte Kampagne gegen Fortinet-Appliances hat nach Angaben von Sicherheitsforschern bei rund 74.000 Geräten weltweit erfolgreich Zugangsdaten abgegriffen.

Letzte Entwicklung: Entdecker Volodymyr Diachenko spricht von 320.000 angegriffenen und 73.932 erfolgreich kompromittierten Geräten; rund 120 betroffene Geräte lassen sich Deutschland zuordnen (u. a. im Netz von Telekom und Mercedes-Benz). Fortinet bestätigt eine Zugangsdaten-Diebstahl-Kampagne, ordnet die Daten aber älteren Vorfällen plus Brute-Force zu — Kevin Beaumont widerspricht und sieht überwiegend neue, noch online befindliche Geräte.

2. Joomla-JCE-Editor: aktiv ausgenutzte RCE-Lücke (CVSS 10.0)

Seit Montag, 16. Juni 2026 · zuletzt aktualisiert Freitag, 19. Juni 2026 · Score 85

Die CISA hat die Höchstschwere-Schwachstelle CVE-2026-48907 im verbreiteten Joomla-Editor-Plugin „JCE“ in ihren Katalog aktiv ausgenutzter Lücken aufgenommen.

Letzte Entwicklung: Eine fehlerhafte Zugriffskontrolle erlaubt unauthentifizierten Angreifern das Hochladen und Ausführen von PHP-Code (RCE). Betroffen sind JCE 1.0.0–2.9.99.4; gepatcht ab 2.9.99.5, empfohlen wird 2.9.99.7 (Version 2.9.99.6 enthält eine Upload-Regression). Öffentlicher Exploit-Code und automatisierte Scans sind bestätigt.

1.1 111. Datenschutzkonferenz: Beschlüsse zu Jugendmedienbildung und 6G-Radarsensorik

18.06.2026 · LfDI Baden-Württemberg — Pressemitteilung zur 111. DSK

Zusammenfassung: Die Datenschutzkonferenz (DSK) fasste unter dem baden-württembergischen Vorsitz (Prof. Dr. Tobias Keber) auf ihrer 111. Konferenz zwei zukunftsgerichtete Beschlüsse: die Stärkung der Jugendmedienbildung über den Ausbau des Portals youngdata.de sowie die Forderung, beim kommenden Mobilfunkstandard 6G den Datenschutz von Beginn an mitzudenken. Zusätzlich wurde mit dem Bundesinnenministerium das Polizeiprojekt P20 erörtert.

Hintergrund & Einordnung: Hintergrund der 6G-Forderung ist die geplante Integrated-Sensing-and-Communication-Funktion (ISAC), die den Mobilfunkstandard um eine Radarfähigkeit ergänzen soll: Netzinfrastruktur könnte Räume sowie darin befindliche Objekte und Personen erfassen — unter Umständen auch durch Wände hindurch. Die DSK mahnt, solche Fähigkeiten dürften nicht ohne Rechtsgrundlage und Schutzkonzept in den Echtbetrieb gehen; beim Projekt P20 fordert sie eine klare Rechtsgrundlage vor dem Wirkbetrieb.

Praxisfolgen / Handlungsempfehlung: Für Hersteller und Netzbetreiber zeichnet sich ab, dass Privacy-by-Design bei 6G früh zum Compliance-Thema wird. Bildungseinrichtungen und Eltern finden mit dem ausgebauten youngdata.de eine behördlich getragene Ressource zur Medienkompetenz. Unternehmen mit Sensorik-Bezug sollten die DSK-Position als Frühindikator künftiger Aufsichtspraxis werten.

1.2 Widerrufsbutton nach § 356a BGB ab heute Pflicht

19.06.2026 · Verbraucherzentrale · Noerr

Zusammenfassung: Mit dem heutigen Inkrafttreten von § 356a BGB müssen Unternehmer, die Verbrauchern den Abschluss von Fernabsatzverträgen über eine Online-Benutzeroberfläche (Website, App) ermöglichen, eine elektronische Widerrufsfunktion bereitstellen. Rechtsgrundlage ist die Umsetzung der geänderten EU-Verbraucherrechterichtlinie (EU 2023/2673) durch das Gesetz zur Änderung des Verbrauchervertrags- und Versicherungsvertragsrechts (BGBl. I 2026 Nr. 28).

Hintergrund & Einordnung: Vorgesehen ist ein zweistufiges Verfahren: Der Verbraucher startet den Widerruf über eine gut sichtbare Schaltfläche („Vertrag widerrufen“) und bestätigt ihn über eine zweite („Widerruf bestätigen“). Die Funktion muss während der Widerrufsfrist dauerhaft verfügbar, hervorgehoben und ohne Login-Hürde zugänglich sein. Abgefragt werden dürfen nur Pflichtangaben zur Vertrags-Identifikation und ein Kommunikationsmittel für die Eingangsbestätigung; der Widerrufsgrund darf nicht verlangt werden. Anders als der Kündigungsbutton (§ 312k BGB) erfasst die neue Funktion auch Finanzdienstleistungs-Fernabsatzverträge. Reine B2B-Shops sind nicht erfasst, wohl aber Angebote, die sich auch an Verbraucher richten.

Praxisfolgen / Handlungsempfehlung: Betreiber sollten heute prüfen, ob die Funktion technisch vorhanden, das zweistufige Verfahren korrekt umgesetzt, die Buttons eindeutig beschriftet und nur zulässige Pflichtangaben abgefragt werden, ob die Eingangsbestätigung automatisiert auf dauerhaftem Datenträger versandt wird und ob die Widerrufsbelehrung an den neuen Gestaltungshinweis (Anlage 1 zu Art. 246a EGBGB) angepasst wurde. Bei Versäumnis drohen Abmahnungen und eine Verlängerung der Widerrufsfrist auf bis zu zwölf Monate und 14 Tage.

2.1 Passwort-Hashing und Credential-Hygiene als Lehre aus FortiBleed

18.06.2026 · heise security

Zusammenfassung: Im FortiBleed-Komplex probierten die Angreifer nach Angaben des Entdeckers rund 1,16 Milliarden Benutzername-Passwort-Kombinationen durch — überwiegend Zugangsdaten aus früheren Datenlecks. Entscheidend für den Erfolg war zudem, dass ältere FortiOS-Versionen Passwörter mit SHA256 (plus Salt) hashen, das sich mit GPU-Clustern deutlich effizienter angreifen lässt als das ab FortiOS 7.2.11 verwendete PBKDF2-Verfahren.

Hintergrund & Einordnung: Der Fall zeigt zwei voneinander unabhängige Datensicherheits-Risiken in Kombination: die Wiederverwendung von Zugangsdaten über Systeme hinweg und veraltete kryptografische Verfahren zur Passwort-Speicherung. Auch die parallel von Cisco gemeldete ISE-Lücke CVE-2026-20190 zielt auf das Auslesen gehashter Credentials — ein Muster, das die Bedeutung starker, moderner Hash-Verfahren unterstreicht.

Praxisfolgen / Handlungsempfehlung: Organisationen sollten Appliances auf Firmware-Stände mit modernem Hashing heben, Zugangsdaten nach jedem Verdacht rotieren, die Wiederverwendung von Passwörtern unterbinden (Passwort-Manager, eindeutige Credentials je System) und MFA flächendeckend erzwingen. Aus Leaks stammende Zugangsdaten lassen sich über Dienste wie Have-I-Been-Pwned oder herstellerspezifische Prüfseiten gegenchecken.

3.1 FortiBleed: rund 74.000 Fortinet-Appliances mit abgegriffenen Zugangsdaten

18.06.2026 · heise security · DoublePulsar (Kevin Beaumont)

Zusammenfassung: Sicherheitsforscher Volodymyr Diachenko hat eine großangelegte Angriffskampagne gegen Fortinet-Geräte aufgedeckt. Von rund 320.000 angegriffenen Appliances — etwa der Hälfte aller über das Internet erreichbaren Fortinet-Geräte — seien bei 73.932 erfolgreich Zugangsdaten abgegriffen worden. Verantwortlich sei eine russischsprachige Cybercrime-Gruppe.

Hintergrund & Einordnung: Wie die Angreifer initial auf die Geräte gelangten, ist offen; Kevin Beaumont vermutet eine bislang unbekannte Schwachstelle, über die Gerätekonfigurationen samt Passwort-Hashes abgezogen und anschließend per GPU-Cluster geknackt wurden. Fortinet bestätigt eine Credential-Diebstahl-Kampagne, ordnet die Daten aber früheren Vorfällen plus Brute-Force zu und sieht keinen Bezug zu jüngeren Sicherheitsmitteilungen. Beaumont widerspricht: Die betroffenen IP-Adressen unterschieden sich weitgehend vom Belsen-Group-Leak (2022, ~15.000 Geräte), die Mehrzahl der Geräte sei noch online. Rund 120 betroffene Geräte lassen sich Deutschland zuordnen, darunter im Netz von Telekom und Mercedes-Benz.

Praxisfolgen / Handlungsempfehlung: Betroffene sollten alle Zugangsdaten auf potenziell kompromittierten Geräten neu und sicher vergeben, verdächtige Zugriffe auf nachgelagerte Netze prüfen und MFA — insbesondere bei der VPN-Anmeldung — erzwingen. Management-Interfaces gehören nicht ins offene Internet. Da unklar ist, ob eine FortiOS-Lücke beteiligt war, existiert bislang kein Patch; eine Stellungnahme des Fortinet-Sicherheitsteams steht aus. Die Betroffenheit lässt sich über die Abfrageseite von Hudson Rock prüfen.

3.2 Cisco ISE: zwei kritische Schwachstellen (bis CVSS 9.1)

17.06.2026 · Cyber Press

Zusammenfassung: Cisco hat ein Advisory zu zwei kritischen Lücken in der Identity Services Engine (ISE) und dem ISE Passive Identity Connector veröffentlicht. CVE-2026-20181 (CVSS 9.1) erlaubt einem authentifizierten Administrator durch unzureichende Eingabevalidierung im Web-Interface die Befehlsausführung als root; CVE-2026-20190 (CVSS 8.6) erlaubt einem unauthentifizierten Angreifer durch fehlerhafte Autorisierungsprüfung das Auslesen sensibler Daten, darunter gehashte Zugangsdaten.

Hintergrund & Einordnung: Betroffen sind ISE und ISE-PIC ab Release 3.4. In Single-Node-Deployments kann CVE-2026-20181 zusätzlich einen Denial-of-Service auslösen. Da die ISE als zentrale Komponente für Netzwerkzugriffs- und Identitätssteuerung dient, wiegt ein erfolgreicher Angriff schwer.

Praxisfolgen / Handlungsempfehlung: Die von Cisco bereitgestellten Updates sollten zügig eingespielt werden. Administrative Zugänge zum Web-Interface sind auf vertrauenswürdige Netze zu beschränken; die fehlerhafte Autorisierungsprüfung in CVE-2026-20190 macht eine Netz-Exposition besonders riskant.

3.3 SAP-Patchday: vier kritische CVEs, bis CVSS 9.9

09.06.2026 · SOCRadar

Zusammenfassung: Der SAP-Patchday brachte 15 Security Notes, darunter vier HotNews. Schwerste Lücke ist CVE-2026-44748 (CVSS 9.9): eine XML-Signature-Wrapping-Schwachstelle in der SAML-Implementierung des NetWeaver AS ABAP mit sehr breitem Versionsumfang (SAP_BASIS 702–919).

Hintergrund & Einordnung: Daneben wiegen CVE-2026-27671 (9.8, unauthentifizierte Memory Corruption im ABAP-Kernel, nur per Kernel-Update behebbar), CVE-2026-22732 (9.1, Spring Security in Commerce Cloud/Data Hub) und CVE-2026-40128 (9.0, Directory Traversal in NetWeaver AS Java) schwer. Die breite Basis-Versionsspanne von CVE-2026-44748 macht den Fix für viele SAP-Landschaften relevant.

Praxisfolgen / Handlungsempfehlung: SAP-Betreiber sollten die HotNews-Notes priorisiert einspielen, insbesondere den NetWeaver-AS-ABAP-SAML-Fix. Wo Kernel-Updates nötig sind (CVE-2026-27671), ist eine Wartungsfenster-Planung erforderlich. Die genauen Notes sind über das (login-pflichtige) SAP-Support-Portal abrufbar.

3.4 Joomla-Editor JCE: aktiv ausgenutzte RCE (CVE-2026-48907, CVSS 10.0)

16.06.2026 · The Hacker News

Zusammenfassung: Die US-Behörde CISA hat die mit dem Höchstwert CVSS 10.0 bewertete Lücke CVE-2026-48907 im Joomla-Editor-Plugin „JCE“ (Widget Factory) in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen. Eine fehlerhafte Zugriffskontrolle erlaubt unauthentifizierten Angreifern, über das Anlegen neuer Editor-Profile PHP-Code hochzuladen und auszuführen (Remote Code Execution).

Hintergrund & Einordnung: Betroffen sind JCE-Versionen 1.0.0 bis 2.9.99.4; gepatcht ab 2.9.99.5, empfohlen wird 2.9.99.7, da Version 2.9.99.6 eine Upload-Regression enthält. Öffentlicher Exploit-Code und automatisierte Massen-Scans sind bestätigt; die Frist für US-Bundesbehörden lief auf den 19. Juni.

Praxisfolgen / Handlungsempfehlung: Joomla-Betreiber sollten das JCE-Plugin umgehend auf 2.9.99.7 aktualisieren und Server auf Kompromittierungsspuren prüfen — neu angelegte Editor-Profile, unbekannte PHP-Dateien, auffällige Uploads. Bei nicht patchbaren Installationen ist eine temporäre Deaktivierung des Plugins zu erwägen.

4.1 EuGH: DSGVO verbietet die Verwertung rechtswidrig erlangter Beweise nicht

EuGH · 18.06.2026 · C-484/24 · heise online · beck-aktuell · CSA-Aufbereitung ur-159

Sachverhalt: Auf Vorlage des Landesarbeitsgerichts Niedersachsen (Az. 8 Sa 688/23) hatte der EuGH einen Fall zu beurteilen, in dem ein Heizungs- und Klimatechnikbetrieb von einer ehemaligen Angestellten rund 46.500 Euro Schadensersatz forderte. Über das private eBay-Konto der Frau war der unbefugte Verkauf von Firmeneigentum im Wert von über 13.000 Euro aufgefallen; der Zugriff auf die Zugangsdaten erfolgte nach der Sachverhaltsdarstellung auf möglicherweise datenschutzwidrigem Weg.

Entscheidung: Der Gerichtshof entschied, dass die DSGVO der Verwertung solcher Beweise im Zivil-/Arbeitsprozess nicht grundsätzlich entgegensteht. Ein automatisches Beweisverwertungsverbot folgt aus der DSGVO nicht; die Verarbeitung durch das Gericht stützt sich auf Art. 6 Abs. 1 Buchst. c DSGVO.

Begründungs-Kernpunkte: Das Recht auf ein faires Verfahren und effektiven Rechtsschutz (Art. 47 GRCh) wiege im Gerichtssaal schwerer als der absolute Schutz der Privatsphäre. Gerichte müssen die datenschutzrechtliche Herkunft jeder Information nicht von Amts wegen prüfen; auch ein Verstoß gegen Informationspflichten (Art. 13 DSGVO) führt nicht automatisch zum Verwertungsverbot. Eine Grenze besteht erst bei der Offenlegung: Vor der Weitergabe sensibler Daten ist deren Umfang auf das Erforderliche zu beschränken, unbeteiligte Dritte sind von Amts wegen durch Schwärzung, Anonymisierung oder Pseudonymisierung zu schützen. Ergänzend stellte der EuGH klar, dass für dieselbe Verarbeitung mehrere Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO nebeneinander bestehen können.

Praxisfolgen: Der Datenschutz lässt sich in Zivil- und Arbeitsgerichtsverfahren nicht systematisch zur Blockade von Schadensersatzansprüchen instrumentalisieren. Datenschutzwidrige Beschaffung bleibt jedoch eigenständig sanktionierbar (Aufsichtsverfahren, Schadensersatz nach Art. 82 DSGVO) — nur das Beweismittel wird nicht automatisch unverwertbar. Die vollständige Aufbereitung mit amtlichem Tenor steht in der Urteilsbibliothek (ur-159).