Aktuelle Phishing- und Betrugswellen

Im engen Berichtszeitraum (22.–23. Juni) ist keine neue, eigenständig belegbare Phishing-Welle hinzugekommen. Die zuletzt gemeldeten Banking-Maschen (zuletzt easybank mit der PSD2-„Kontoaktualisierung“) laufen weiter; das Grundmuster bleibt unverändert: erfundene Fristen, Sperr-Drohung und ein Link auf eine täuschend echte Anmeldeseite.

Unabhängig von der jeweils aktuellen Marke gilt die immer gleiche Regel: Zugangsdaten, TAN oder Kartendaten niemals über einen Link aus einer E-Mail oder SMS eingeben. Rufen Sie Konten und Kundenportale ausschließlich über die selbst gespeicherte Adresse oder die offizielle App auf. Der bundesweite Digitaltag am 26. Juni (siehe Ausblick) bietet dazu zahlreiche Auffrischungsangebote.

Was war los?

Im Mittelpunkt steht eine Grundsatzentscheidung des Europäischen Gerichtshofs zur Frage, wo man bei Persönlichkeitsrechtsverletzungen durch Fernseh- und Internet-Inhalte klagen kann (Details unter „Was sich rechtlich geändert hat“ und in Kapitel 4). Sie betrifft jeden, der sich durch eine grenzüberschreitend verbreitete Serie oder ein Online-Video in seinem Ansehen verletzt sieht.

Auf der technischen Seite weitet sich eine bereits laufende Angriffskampagne aus: Über eine Lücke in der Verwaltungssoftware Oracle PeopleSoft hat die Gruppe ShinyHunters bei einer ersten Einrichtung rund 455.000 Datensätze erbeutet. Daneben hat das Drupal-Projekt eine kritische Lücke in seinem Content-Management-System geschlossen, und die US-Behörde CISA hat zwei weitere aktiv ausgenutzte Schwachstellen auf ihre Dringlichkeitsliste gesetzt.

Was sich rechtlich geändert hat

Der Europäische Gerichtshof hat mit Urteil vom 18. Juni (C-232/25, „Idziski“) den „fliegenden Gerichtsstand“ bei grenzüberschreitenden Medieninhalten geschärft. Bei einer Fernsehausstrahlung in mehreren Mitgliedstaaten kann der gesamte Schaden nur am Sitz des Produzenten oder anteilig im jeweiligen Ausstrahlungsland eingeklagt werden — der „Mittelpunkt der Interessen“ begründet hier keine umfassende Zuständigkeit. Bei Internet-Inhalten bleibt dieser Gerichtsstand möglich, aber nur, wenn die betroffene Person im Inhalt individuell erkennbar ist; bloße Zugehörigkeit zu einer dargestellten Gruppe genügt nicht. Die ausführliche Aufbereitung steht in der Urteilsbibliothek (ur-163).

Aufsichtsrechtlich verlängert das BSI die Registrierungsfrist nach dem NIS2-Umsetzungsgesetz bis zum 31. Juli 2026, nachdem sich bis Ende Mai erst rund 18.500 von etwa 29.500 betroffenen Einrichtungen angemeldet hatten. Zudem hat die Verbraucherschutzministerkonferenz einen nationalen Aktionsplan gegen Fakeshops beschlossen — beides Schritte, die mittelbar auch den Verbraucherschutz im Netz stärken.

IT-Detailansicht für Fachpublikum

Im Folgenden die fachliche Detailansicht: Top-Themen der Woche, Management Summary, Top-Risiken sowie die sechs Kapitel (Datenschutz, Datensicherheit, IT-Sicherheit, Urteile, Bußgelder, Cyber-Sicherheit), ergänzt um einen Überblick zu KI und großen Sprachmodellen, einen Ausblick, die Methodik und das Quellenverzeichnis.

Top-Themen der Woche

Management Summary

Rechtlich prägt eine EuGH-Grundsatzentscheidung den Tag: In der Rechtssache C-232/25 („Idziski“, Zweite Kammer, Urteil vom 18.06.) schärft der Gerichtshof die internationale Zuständigkeit (Art. 5 Nr. 3 Brüssel-I-VO) bei Persönlichkeitsrechtsverletzungen durch audiovisuelle Inhalte. Für die TV-Ausstrahlung in mehreren Mitgliedstaaten gilt die Mosaikzuständigkeit — der Gesamtschaden ist am Produzentensitz einzuklagen; für Internet-Inhalte bleibt der Gerichtsstand am Interessenmittelpunkt möglich, aber nur bei individueller (auch mittelbarer) Identifizierbarkeit der betroffenen Person. Eine bloße Gruppenzugehörigkeit genügt der natürlichen Person nicht, während ein die Gruppeninteressen vertretender Verband am eigenen Interessenmittelpunkt auf den Gesamtschaden klagen kann. Aufsichtsrechtlich verlängert das BSI die NIS-2-Registrierungsfrist bis zum 31.07.2026, nachdem über 11.000 von rund 29.500 betroffenen Einrichtungen die Pflicht versäumt hatten (Bußgeldrahmen bis 500.000 Euro); die Verbraucherschutzministerkonferenz beschloss zudem einen nationalen Aktionsplan gegen Fakeshops.

Technisch dominiert die Fortentwicklung der Oracle-PeopleSoft-Kampagne (erstmals am 16.06. gemeldet): Die unauthentifizierte RCE CVE-2026-35273 (CVSS 9.8) wurde laut Mandiant von UNC6240 (ShinyHunters-Cluster) als Zero-Day ausgenutzt; das erste bestätigte Opfer, die University of Nottingham, meldet rund 455.000 betroffene Datensätze inklusive Passnummern, der Hochschulsektor ist überproportional betroffen. Daneben hat das Drupal-Security-Team am 17.06. fünf Core-Advisories veröffentlicht; das schwerste (SA-CORE-2026-005, CVE-2026-55803) ist eine kritische PHP-Object-Injection über JSON:API-Schreibpfade, die allerdings nur unter speziellen Custom-Implementierungen greift (Fixes in 10.5.12 / 10.6.11 / 11.2.14 / 11.3.12). Die CISA hat am 15.06. zwei weitere aktiv ausgenutzte Schwachstellen in den KEV-Katalog aufgenommen (Cisco Catalyst SD-WAN Manager CVE-2026-20262, LiteSpeed-cPanel-Plugin CVE-2026-54420). Neue belastbare Datenschutz-Bußgelder und eine eigenständige frische Phishing-Welle lagen im engen Zeitfenster nicht vor.

Die wichtigsten Punkte im Überblick

• EuGH C-232/25 („Idziski“): Mosaikzuständigkeit bei TV-Ausstrahlung, Interessenmittelpunkt bei Internet nur bei individueller Identifizierbarkeit; Verband privilegiert.
• Oracle PeopleSoft CVE-2026-35273 (CVSS 9.8, Carry-over seit 16.06.): erstes Großopfer Nottingham (~455.000 Datensätze), Mandiant-Attribution UNC6240.
• NIS-2: neue BSI-Registrierungsfrist 31.07.2026; > 11.000 von ~29.500 Einrichtungen säumig, Bußgeld bis 500.000 €.
• Drupal SA-CORE-2026-005 / CVE-2026-55803: kritische PHP-Object-Injection, Fixes in 10.5.12 / 10.6.11 / 11.2.14 / 11.3.12.
• CISA-KEV (15.06.): Cisco Catalyst SD-WAN CVE-2026-20262, LiteSpeed cPanel CVE-2026-54420 aktiv ausgenutzt.
• VSMK: nationaler Aktionsplan gegen Fakeshops (Potsdam, 19.06.).

1. Datenschutz

Datenschutz- und aufsichtsrechtlich stehen heute zwei behördliche Weichenstellungen im Vordergrund — eine zur Cybersicherheits-Compliance, eine zum Verbraucherschutz im Online-Handel.

2. Datensicherheit

Im engen Berichtszeitraum (20.–23. Juni) ließ sich kein eigenständiger, frischer Datenabfluss mit belastbarem Deutschland-Bezug und verifiziertem Deep-Link bestätigen. Eine kursierende „24-Milliarden-Datensätze“-Sammlung aus einem offenen Elasticsearch-Cluster (entdeckt 12.06.) ist eine global zusammengestellte Infostealer-Compilation ohne spezifischen Inlandsbezug und mit Verwechslungsgefahr zu früheren Sammlungen — daher hier nicht als eigenständige Meldung geführt. Die datensicherheitsrelevante Lehre des Tages liegt im PeopleSoft-Fall (Kapitel 6): Identitäts- und Personaldaten-Systeme gehören segmentiert, eng zugriffsbeschränkt und mit Exfiltrations-Erkennung versehen.

3. IT-Sicherheit

Auf der Schwachstellenseite stehen eine kritische CMS-Lücke und zwei neue aktiv ausgenutzte Einträge im CISA-KEV-Katalog.

4. Urteile

Im Urteilskapitel steht eine EuGH-Grundsatzentscheidung zum „fliegenden Gerichtsstand“ bei grenzüberschreitenden Medieninhalten — relevant für jeden Persönlichkeitsrechts-Streit über Fernsehen und Internet.

5. Bußgelder

Im Berichtszeitraum (20.–23. Juni) ließ sich kein neuer DSGVO-Bußgeldbescheid mit belastbarer behördlicher Primärquelle oder verlässlichem Enforcement-Tracker-Eintrag bestätigen. Die jüngsten belegbaren Verfahren — darunter die bereits behandelte Reduktion des Deutsche-Wohnen-Bußgelds durch das LG Berlin I (09.06.) — liegen außerhalb des Fensters. Auf schwach belegte Tracker-Claims wird bewusst verzichtet.

6. Cyber-Sicherheit

KI & große Sprachmodelle

In den letzten Tagen gab es keine neuen Frontier-Modelle; die Übersicht gibt den Tracker-Stand (u. a. llm-stats.com) wieder, unbestätigte Angaben sind gekennzeichnet.

• xAI: Grok 4.3 ist auf AWS Bedrock allgemein verfügbar (1-Mio-Token-Kontext, konfigurierbare Reasoning-Stufen) — ein Distributionsschritt, kein neues Modell.
• DeepSeek: V4 (Flash/Pro) bei Providern verfügbar; ein größeres V4-Preview ist angekündigt (unbestätigtes Release-Datum).
• Alibaba/Qwen: Qwen 3.7 Max als Flaggschiff gelistet.
• Mistral: Large 3 und Small 4 stehen nun unter Apache-2.0-Lizenz.
• Google: Gemini 3.5 Flash ist seit der I/O (19.05.) allgemein verfügbar; Gemini 3.5 Pro ist angekündigt, aber noch ohne festes Datum/Modell-ID (unbestätigt).
• OpenAI: GPT-5.5-Familie bleibt aktuelles Flaggschiff; kein neues Release im Zeitfenster.
• Anthropic: jüngstes Update Opus 4.8 (großer Standard-Kontext); das eingeschränkte „Mythos“-Programm läuft mit kleinem Partnerkreis weiter.

Datenschutz-/Sicherheitsrelevanz: Maßgeblich bleiben — unabhängig vom Modellstand — Eingabe sensibler Daten, Auftragsverarbeitung und Modell-Hosting.

Ausblick / Termine

• 26.06.2026 (Freitag): Bundesweiter Digitaltag unter dem Motto „Digitale Sicherheit: Verstehen. Vermitteln. Vertrauen.“ (Aktionszeitraum 20.–28.06.), Schwerpunkt Verbraucheraufklärung.
• 31.07.2026: Neue NIS-2-Registrierungsfrist des BSI (siehe Kapitel 1).
• laufend: CISA-KEV-Remediationspflicht für die Oracle-PeopleSoft-Lücke CVE-2026-35273 (siehe Kapitel 6).
• 30.06.–01.07.2026, Berlin: GITEX AI Europe, Leitthema „Digital Sovereignty“.

Methodik

Stichtag dieser Ausgabe ist Dienstag, der 23. Juni 2026; berücksichtigt sind Meldungen der letzten Tage (bei dünner Lage bis sieben Tage zurück, bei Urteilen bis zu acht Wochen ab Verfügbarkeit der schriftlichen Entscheidung), sofern in vorherigen Briefings noch nicht behandelt. Das enge Tagesfenster war dünn; die stärksten Items (NIS-2-Frist, Drupal, CISA-KEV, PeopleSoft-Fortentwicklung) stammen aus dem Rückgriff auf den 15.–19. Juni. Aufgenommen werden ausschließlich über konkrete Deep-Links belegte Sachverhalte; bevorzugt Primärquellen (Behörden, Gerichte, Hersteller-Advisories) und etablierte Fachmedien. Wo nur Übersichts-/Sammelquellen oder JavaScript-gerenderte Behördenseiten vorlagen (VSMK-PDF, CISA-Alert), ist dies kenntlich gemacht. Dieses Briefing ersetzt keine Rechts- oder Sicherheitsberatung im Einzelfall.