1. Cisco Catalyst SD-WAN Authentication-Bypass (CVE-2026-20182) aktiv ausgenutzt

Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Dienstag, 26. Mai 2026 · Score 95

Eine Authentication-Bypass-Schwachstelle in der DTLS-Peering-Authentifizierung der Cisco Catalyst SD-WAN Controller (vormals vSmart) und SD-WAN Manager (vormals vManage) erlaubt nicht authentifizierten Angreifern aus dem Netz administrative Übernahme der gesamten SD-WAN-Steuerebene. CVSS 10.0, KEV-Eintrag, ein öffentliches Metasploit-Modul ist verfügbar.

Letzte Entwicklung: Cisco Talos schreibt die anhaltenden Angriffe mit hoher Konfidenz dem Cluster UAT-8616 zu. Europäische CSIRTs berichten weiterhin von Scan-Wellen gegen ungepatchte Cluster; das Cisco-Advisory wurde am 24. Mai erneut aktualisiert. BSI-CERT-Bund hat den Hinweis erneuert.

2. Cisco Secure Workload REST-API: CVE-2026-20223

Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Montag, 25. Mai 2026 · Score 92

Eine kritische Schwachstelle in der REST-API von Cisco Secure Workload erlaubt nicht authentifizierten Angreifern Befehle mit erhöhten Rechten auszuführen. Cisco führt die Lücke mit hoher Kritikalität; ein Patch steht bereit. Betroffen sind insbesondere Unternehmen mit Workload-Telemetrie und Microsegmentation-Strategie.

Letzte Entwicklung: Bisher keine in-the-wild-Exploitation belegt, aber Proof-of-Concept-Diskussionen in einschlägigen Foren machen ein schnelles Patching dringlich. Borncity und it-boltwise berichten über die Schwere und empfehlen Patch innerhalb von 72 Stunden.

3. Microsoft Defender Antimalware: CVE-2026-41091 und CVE-2026-45498

Seit Mittwoch, 20. Mai 2026 · zuletzt aktualisiert Montag, 25. Mai 2026 · Score 90

Microsoft Defender Antimalware enthält zwei aktiv ausgenutzte Schwachstellen: CVE-2026-41091 (Local Privilege Escalation auf SYSTEM, CVSS 7.8) und CVE-2026-45498 (Denial of Service gegen den Defender selbst, CVSS 4.0). Microsoft und CISA bestätigen Ausnutzung; KEV-Frist für US-Bundesbehörden ist der 3. Juni 2026.

Letzte Entwicklung: Microsoft hat die Fixes über Antimalware-Plattform v4.18.26040.7 und Malware-Protection-Engine v1.1.26040.8 ausgerollt. Der Roll-out geschieht im Hintergrund über die regulären Definitionsupdates; in isolierten Umgebungen müssen die Versionen manuell verifiziert werden.

4. Microsoft Exchange OWA Cross-Site-Scripting (CVE-2026-42897) – ohne Patch ausgenutzt

Seit Freitag, 15. Mai 2026 · zuletzt aktualisiert Montag, 25. Mai 2026 · Score 88

CVE-2026-42897 ist eine XSS-Schwachstelle in Outlook Web Access (Exchange Server 2016, 2019, SE), die durch eine speziell präparierte E-Mail im Browser des Empfängers JavaScript ausführt – ohne Anhang, ohne Klick auf einen Link. Folgen sind Session-Token-Diebstahl, Mailbox-Impersonation und Manipulation von Postfachregeln.

Letzte Entwicklung: Microsoft hat noch keinen vollständigen Code-Patch veröffentlicht; stattdessen werden Mitigations über den Exchange Emergency Mitigation Service (EEMS, Mitigation-ID M2.1.x) automatisch verteilt. Exchange Online ist nicht betroffen. CISA hat den Eintrag am 15. Mai in den KEV-Katalog aufgenommen, Frist 29. Mai 2026.

5. unimed-Datenpanne: über 100.000 Patientendaten deutscher Universitätskliniken kompromittiert

Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Dienstag, 26. Mai 2026 · Score 88

Beim Abrechnungsdienstleister unimed in Wadern wurden im April Daten von inzwischen über 100.000 Patientinnen und Patienten der Universitätskliniken Freiburg (54.000), Heidelberg (30.000), Tübingen, Ulm und Köln entwendet. Betroffen sind primär Privatversicherte und Wahlleistungspatientinnen.

Letzte Entwicklung: Die Kliniken haben mit der schriftlichen Benachrichtigung der Betroffenen begonnen. LfDI Baden-Württemberg und HmbBfDI prüfen Meldepflichten entlang der Auftragsverarbeitungskette. Die Patientenversorgung war zu keinem Zeitpunkt beeinträchtigt; Klinik-IT blieb unberührt.

1.1 BfDI – 34. Tätigkeitsbericht: 11.824 Eingaben in 2025, +36 Prozent gegenüber dem Vorjahr

06.05.2026 · BfDI · Dr. Datenschutz · Bundestag

Zusammenfassung: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Louisa Specht-Riemenschneider, hat ihren 34. Tätigkeitsbericht für das Jahr 2025 vorgelegt. Die Behörde verzeichnete 11.824 Eingaben, darunter Beschwerden und Anfragen – ein Anstieg um rund 36 Prozent gegenüber 2024 und rund 52 Prozent gegenüber 2023. 80 Vor-Ort-Prüfungen und 40 schriftliche Prüfungen wurden durchgeführt; insgesamt 129 förmliche Aufsichtsmaßnahmen.

Hintergrund & Einordnung: Der Bericht beschreibt eine deutliche Verschiebung weg von beratenden Tätigkeiten hin zu Aufsicht und Sanktionen. Das markanteste Einzelverfahren des Jahres ist das gegen Vodafone GmbH, in dem die BfDI zwei Geldbußen in Höhe von zusammen 45 Millionen Euro verhängte – 15 Millionen Euro wegen unzureichender Auftragsverarbeiter-Kontrolle und 30 Millionen Euro wegen Sicherheitsmängeln in der MeinVodafone-eSIM-Authentifizierung. Eine Folgeprüfung bei Vodafone wurde für 2026 angekündigt.

Praxisfolgen / Handlungsempfehlung: Aufsichtsbehörden in Deutschland verlassen den reinen Aufklärungsmodus. Unternehmen sollten die Bußgeldbegründung gegen Vodafone als Maßstab nehmen und drei Punkte prüfen: erstens das Auftragsverarbeiter-Management (Auswahl, Verträge, Kontrollen), zweitens die Stärke kundenseitiger Authentifizierung (Stichwort eSIM/Self-Service-Portale), drittens die Geschwindigkeit der eigenen Meldewege. Die BfDI hat für 2026 KI-Regulierung, Nachrichtendienstaufsicht und Vodafone-Folgeprüfung als Schwerpunkte benannt.

1.2 unimed-Verarbeiterkette: LfDI BW und HmbBfDI prüfen Meldepflichtverletzungen

26.05.2026 · Deutsches Ärzteblatt · Uniklinik Heidelberg

Zusammenfassung: Die Datenpanne beim Abrechnungsdienstleister unimed (Wadern) weitet sich aus. Nach inzwischen vorliegenden Zahlen sind über 100.000 Patientinnen und Patienten betroffen, verteilt insbesondere auf die Universitätskliniken Freiburg (54.000), Köln (rund 30.000) sowie Heidelberg, Tübingen und Ulm. Entwendet wurden Stammdaten, Diagnosen, Abrechnungsinformationen und – in einer kleineren Teilmenge – Bankverbindungen.

Hintergrund & Einordnung: Der Angriff erfolgte am 14. April 2026 gegen das System des Auftragsverarbeiters, nicht gegen die Klinik-IT. Behördliche Information an die zuständige Datenschutzaufsicht und das BSI erfolgte am 16. April. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit sowie der LfDI Baden-Württemberg prüfen, ob die Meldewege entlang der Auftragsverarbeitungs-Kette zwischen unimed und den Kliniken vollständig und fristgerecht eingehalten wurden. Damit rückt § 33 DSGVO – insbesondere die 72-Stunden-Frist – ins Zentrum.

Praxisfolgen / Handlungsempfehlung: Gesundheitseinrichtungen sollten ihre Auftragsverarbeitungs-Verträge mit externen Abrechnern, MVZ-Dienstleistern und Privatabrechnungs-Spezialisten kurzfristig auf Aktualität prüfen und insbesondere die TOM-Anlagen, die Subunternehmer-Listen sowie die Sub-AV-Meldewege spiegeln. Die schriftliche Benachrichtigung der Betroffenen nach Art. 34 DSGVO sollte – in Anlehnung an die Vorgehensweise der Unikliniken – über die Klinik selbst und nicht nur über den Dienstleister erfolgen, um Vertrauensverlust und Hilfsangebote koordiniert zu adressieren.

1.3 Specht-Riemenschneider bleibt geschäftsführend im Amt – Übergang offen

19.05.2026 · BfDI · heise online

Zusammenfassung: Bundesdatenschutzbeauftragte Prof. Dr. Louisa Specht-Riemenschneider hat im März 2026 aus gesundheitlichen Gründen ihren Rückzug angekündigt. Sie bleibt geschäftsführend im Amt, bis ein Nachfolger gefunden ist – mit Verweis darauf, dass das Amt auch übergangsweise nicht vakant sein dürfe. Mehrere Gesetzgebungsverfahren stehen in den nächsten Wochen an, darunter die geplante DSGVO-Reform.

Hintergrund & Einordnung: Mit dem Tätigkeitsbericht 2025 hat sie ihre Amtsführung programmatisch dokumentiert. Politisch ist offen, wie schnell der Bundestag eine Nachfolge bestellt; Bündnis 90/Die Grünen und der BVDW haben sich öffentlich zur Bedeutung einer raschen Klärung geäußert. Bis dahin bleiben Aufsichtskontinuität und laufende Verfahren – auch das Vodafone-Folgeprüfungsverfahren – in der Verantwortung der amtierenden Behördenleitung.

Praxisfolgen / Handlungsempfehlung: Der Rückzug ändert kurzfristig nichts an Aufsichtspraxis oder Bußgeldlinie. Mittelfristig ist mit einer Nachfolgepersonalie zu rechnen, die Schwerpunkte verschieben kann – insbesondere bei KI-Aufsicht, Nachrichtendienstaufsicht und der Auftragsverarbeiter-Kontrolle. Datenschutzbeauftragte sollten ihre Compliance-Roadmaps so aufstellen, dass sie kurzfristig auf Schwerpunktverschiebungen reagieren können.

1.4 EDSA-Leitlinien 01/2025 zur Pseudonymisierung – weiterhin Maßstab für Trainingsdaten

Stand Mai 2026 · EDSA – Guidelines 01/2025

Zusammenfassung: Der Europäische Datenschutzausschuss (EDSA) hat seine Leitlinien 01/2025 zur Pseudonymisierung im Januar 2025 angenommen; die finale Fassung ist im Verlauf des Jahres 2025 abgeschlossen worden. Sie konkretisieren, wann pseudonymisierte Daten weiterhin als personenbezogen gelten, wie Schlüsseltrennung umzusetzen ist und welche Beiträge Pseudonymisierung zu Art. 5, 25 und 32 DSGVO leistet.

Hintergrund & Einordnung: Für KI-Trainingsdaten und für Forschungs-Kontexte sind die Leitlinien praktisch das wichtigste Referenzdokument der vergangenen Jahre. Sie machen deutlich, dass Pseudonymisierung das Risiko reduziert, die Personenbezogenheit aber im Empfängerkreis nur dann entfällt, wenn auch dort keine Reidentifizierung mit zumutbarem Aufwand möglich ist. Daraus folgt eine strenge Anforderung an den Aufbau organisatorischer Trennung zwischen Schlüsselhaltern und Datenverwendern.

Praxisfolgen / Handlungsempfehlung: Unternehmen mit eigener KI-Pipeline oder mit externen KI-Trainingsdienstleistern sollten ihre Datenschutz-Folgenabschätzungen am EDSA-Maßstab spiegeln und im Auftragsverarbeitungsvertrag explizit regeln, wer Schlüsselhalter ist, wie der Zugriff auf das Schlüsselmaterial protokolliert wird und wie die Trennung zwischen Trainings- und Produktivdaten aufrechterhalten wird. Im Streitfall ist die Frage der Reidentifizierungs-Schwelle der zentrale Hebel.

2.1 unimed-Datenpanne: Benachrichtigungswelle der Kliniken läuft

26.05.2026 · Deutsches Ärzteblatt · Borncity · ad hoc news

Zusammenfassung: Die im April 2026 erfolgte Datenexfiltration beim Abrechnungsdienstleister unimed wirkt sich bundesweit aus. Aktueller Stand: mehr als 100.000 betroffene Patientinnen und Patienten, primär aus den Kreisen Privatpatienten, Wahlleistungs- und Selbstzahler-Patienten. Datenkategorien umfassen Stammdaten, Diagnosen, Behandlungs- und Abrechnungsdetails sowie in einer Teilmenge Bankverbindungen.

Hintergrund & Einordnung: Der Angriff zielte auf den Auftragsverarbeiter, nicht auf die Klinik-IT. unimed ging zunächst von einer reinen Verschlüsselungsaktion aus; die Forensik ergab jedoch eine substanzielle Exfiltration. Klinikseitig sind Heidelberg (rund 30.000 Betroffene), Freiburg (54.000), Köln, Tübingen und Ulm bestätigt. Die Datenschutzaufsicht und das BSI sind seit 16. April involviert. Das Modell – Angriff über den schwächer geschützten Verarbeiter – ist im Gesundheitswesen typisch, weil die Datenintensität der Privatabrechnung kombiniert mit oft schmaler IT-Mannschaft besonders attraktive Angriffsflächen schafft.

Praxisfolgen / Handlungsempfehlung: Gesundheitseinrichtungen sollten ihre Privatabrechnungs- und MVZ-Dienstleister im laufenden Quartal nachprüfen: aktuelle Pen-Test-Berichte, ISO/IEC 27001-Zertifikate, dokumentierte Backup-Konzepte und Übungen zur Wiederanlauf-Fähigkeit. Im Vertragsrecht ist die Audit-Klausel scharf zu fassen; in der Praxis sind ad-hoc-Audits in einem klar definierten Eskalationsfall jetzt das entscheidende Druckmittel. Privatpatientinnen und Patienten sollten zudem auf Phishing-Anrufe und gefälschte Rechnungen vorbereitet werden.

2.2 Panasonic Avionics auf CoinbaseCartel-Leak-Site – GitHub-Token-Erpressung

22.05.2026 · ScriptWalker · Bitdefender · InfoStealers

Zusammenfassung: Die Erpresser-Gruppe Coinbase Cartel hat Panasonic Avionics Corporation – die In-Flight-Entertainment-Sparte von Panasonic – auf ihrer Leak-Site veröffentlicht. Das Listing folgt dem Muster der Gruppe: keine Verschlüsselung, keine Betriebsstörung, sondern saubere Datenexfiltration mit gestaffelter Veröffentlichungs-Timeline.

Hintergrund & Einordnung: Coinbase Cartel ist seit September 2025 öffentlich beobachtet. Die Gruppe bezieht den Großteil ihrer initialen Zugänge aus Infostealer-Märkten und aus offengelegten GitHub-Token, mit denen sich Repositories, CI/CD-Systeme und Build-Pipelines kompromittieren lassen. Im Mai 2026 wurde dieser Modus operandi besonders sichtbar: Bereits Grafana Labs hatte am 18. Mai einen Vorfall über einen entwendeten GitHub-Token bestätigt. Panasonic Avionics ergänzt die Liste prominenter Opfer. Die Erpresser-Mechanik (48 Stunden Reaktionsfrist, 10 Tage Zahlungsfenster) erzeugt Druck ohne klassische Verschlüsselung.

Praxisfolgen / Handlungsempfehlung: Unternehmen sollten ihren Umgang mit Source-Code-Tokens grundlegend prüfen. Empfehlungen: kurzlebige Token statt langlebiger Personal Access Tokens, lückenlose Inventur über alle GitHub-Apps und -Actions, Pflicht zu Push-Protection und Secret-Scanning, sowie eine Rotationspolitik bei wechselnden Drittentwicklern. Daneben gehört die Erkennung im Infostealer-Marktplatz (Telegram, Russian Market, Genesis-Nachfolger) in die Threat-Intelligence-Pipeline.

2.3 Ransomware-Trends 2026: Datendiebstahl löst Verschlüsselung ab

21.05.2026 · gbhackers · The Hacker News

Zusammenfassung: Mehrere Threat-Intelligence-Anbieter dokumentieren für 2026 eine deutliche Verschiebung: Erpresserische Gruppen wie Coinbase Cartel verzichten zunehmend auf Verschlüsselung und konzentrieren sich auf gezielten Datendiebstahl. Vorteile aus Sicht der Angreifer: kürzere Verweildauer, geringere Detektions-Wahrscheinlichkeit, leiserer Footprint.

Hintergrund & Einordnung: Die Verschiebung ist konsistent mit dem zunehmenden Erfolg von EDR/XDR-Detektion gegen Krypto-Operationen und mit der gesunkenen Zahlungsbereitschaft nach Verschlüsselungsvorfällen. Wer „nur“ exfiltriert, vermeidet die offensichtlichste Detektion (Massen-Datei-Renaming, Krypto-Calls) und kombiniert dies mit Druck auf Daten-Veröffentlichung. Energie-, Gesundheits- und mittelständische Industrie-Unternehmen waren laut Berichten besonders betroffen.

Praxisfolgen / Handlungsempfehlung: Defensiv heißt das: stärkere Fokussierung auf Data-Loss-Prevention, Egress-Monitoring (DNS, HTTPS-CONNECT, große SaaS-Uploads), Erkennung anomaler Datenbankzugriffe, und vor allem die Härtung von Identity Providern und CI/CD-Pipelines. Backups bleiben wichtig, schützen aber gegen reine Veröffentlichung nicht. Aktive Übungen müssen das Szenario „Daten weg, Systeme laufen“ abdecken.

3.1 Cisco Catalyst SD-WAN: CVE-2026-20182, CVSS 10.0, weiter aktiv ausgenutzt

19.–24.05.2026 · Cisco Security Advisory · The Hacker News

Zusammenfassung: Die Authentication-Bypass-Schwachstelle in der DTLS-Peering-Authentifizierung (UDP 12346) der Cisco Catalyst SD-WAN Controller und Manager wird weiterhin aktiv ausgenutzt. Cisco führt die Aktivität dem Cluster UAT-8616 zu. Patches sind in 20.9.9.1, 20.12.7.1, 20.15.5.2, 20.18.2.2 und 26.1.1.1 enthalten.

Hintergrund & Einordnung: Die Lücke ist deshalb so kritisch, weil sie nicht eine Edge-Komponente, sondern die Steuerebene moderner SD-WAN-Topologien trifft. Wer hier Administrative Zugriffe erlangt, beherrscht das Routing, kann Tunnel umlenken, Telemetriedaten manipulieren und Verschlüsselung selektiv kompromittieren. Das öffentliche Metasploit-Modul senkt die Hürde für massenhafte Ausnutzung. Europäische CSIRTs melden anhaltende Scan-Wellen.

Praxisfolgen / Handlungsempfehlung: Sofortpatch ist alternativlos. Workarounds (eingeschränkter DTLS-Zugang über ACL) sind nur Notbehelf und ersetzen keinen Versions-Update. Nach dem Patch ist eine Kompromittierungsprüfung sinnvoll: anomale vEdge-Login-Versuche, neue Templates, geänderte Policy-Pushes, ungewöhnliche OMP-Routen. Den BSI-CERT-Bund-Hinweis als interne Bestätigung für Stakeholder verwenden.

3.2 Microsoft Exchange OWA: CVE-2026-42897 – aktive Ausnutzung ohne Code-Patch

15.–25.05.2026 · SecurityAffairs · CyCognito

Zusammenfassung: CVE-2026-42897 ist eine XSS-Schwachstelle in Outlook Web Access, die durch eine speziell präparierte E-Mail im OWA-Kontext JavaScript ausführt. Die Folgen reichen von Session-Token-Diebstahl über Mailbox-Impersonation bis zur Manipulation von Postfachregeln. Microsoft hat noch keinen Code-Patch, sondern eine EEMS-Mitigation (M2.1.x) ausgerollt.

Hintergrund & Einordnung: Die Klasse XSS in OWA ist seit Jahren ein wiederkehrendes Thema; neu ist hier, dass die Ausnutzung praktisch interaktionsfrei ist (Anzeige der E-Mail genügt) und das Postfach-Regel-Setup attraktiv für Angreifer macht – etwa für stille Weiterleitungen, BEC und für Persistenz im O365-Hybrid-Setup. Exchange Online ist nicht betroffen, was die Lücke vor allem in mittelständischen Hybrid-Umgebungen und in regulierten on-premise-Setups akut macht.

Praxisfolgen / Handlungsempfehlung: EEMS bleibt aktiv; die Mitigation-IDs M2.1.x sind zu verteilen. Postfachregel-Telemetrie aktivieren und auf anomale Weiterleitungen prüfen. Sitzungs-Tokens regelmäßig invalidieren, OWA-Session-Lifetime kürzer setzen, MFA für OWA durchgängig erzwingen. Endnutzer-Sensibilisierung für „seltsame“ Mail-Anzeigen lohnt sich, ist aber nicht der primäre Schutz.

3.3 Microsoft Defender: CVE-2026-41091 (LPE) und CVE-2026-45498 (DoS)

20.05.2026 · Help Net Security · The Hacker News · CISA

Zusammenfassung: CISA hat am 20. Mai sieben Schwachstellen in den KEV-Katalog aufgenommen, darunter zwei Microsoft Defender-Lücken: CVE-2026-41091 (LPE auf SYSTEM-Ebene, CVSS 7.8) und CVE-2026-45498 (Defender-DoS, CVSS 4.0). Beide werden in-the-wild ausgenutzt. KEV-Frist für US-Bundesbehörden: 3. Juni 2026.

Hintergrund & Einordnung: CVE-2026-41091 nutzt unsachgemäße Symlink-Auflösung in der Malware-Protection-Engine; ein lokaler Angreifer kann darüber SYSTEM-Privilegien erlangen. CVE-2026-45498 versetzt Defender in einen DoS-Zustand und entwertet damit den Schutz. Fixes liegen in Antimalware-Plattform v4.18.26040.7 (für CVE-2026-45498) und Malware-Protection-Engine v1.1.26040.8 (für CVE-2026-41091 sowie für CVE-2026-45584 RCE).

Praxisfolgen / Handlungsempfehlung: In Standard-Windows-Umgebungen verteilen sich die Definitionen automatisch. Air-gapped, regulierte oder Server-Core-Systeme erfordern manuelle Verifizierung. Asset-Manager sollten gezielt nach Antimalware-Plattform-Versionen und Engine-Versionen abfragen und das Ergebnis berichten. Detektions-Telemetrie auf „Defender stopped/disabled“-Events aktiv überwachen.

3.4 Drupal Core CVE-2026-9082: SQL-Injection auf PostgreSQL aktiv ausgenutzt

20.–26.05.2026 · Drupal SA-CORE-2026-004 · The Hacker News · BleepingComputer

Zusammenfassung: CVE-2026-9082 ist eine als „Highly Critical“ eingestufte SQL-Injection im PostgreSQL-EntityQuery-Condition-Handler von Drupal Core. Anonyme Angreifer können über speziell formulierte Anfragen beliebige SQL-Anweisungen einschleusen. Imperva meldet in den ersten 48 Stunden mehr als 15.000 Exploit-Versuche gegen rund 6.000 Sites in 65 Ländern.

Hintergrund & Einordnung: Betroffen sind Drupal-Versionen 8.9 bis 11.3.9, soweit die zugrundeliegende Datenbank PostgreSQL ist. Sites auf MySQL/MariaDB sind laut Maintainer nicht betroffen. Patches stehen in 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 und 10.4.10 bereit. Die Lücke kann je nach Privilegien des Datenbank-Users zu Informationsabfluss, Privilegieneskalation oder Remote Code Execution führen.

Praxisfolgen / Handlungsempfehlung: Drupal-Sites auf PostgreSQL kurzfristig aktualisieren. Vorgelagerte WAF-Regeln gegen die bekannten Payload-Muster aktivieren (Anbieter wie Imperva, Cloudflare, Akamai haben Signaturen). Log-Auswertung: nach 200-Antworten auf ungewöhnliche EntityQuery-Pfade und gegen die /jsonapi/-Endpunkte filtern. Bei Auffälligkeiten Datenbank-Audit (Schreibrechte des Webuser, neue Admin-Accounts).

3.5 Ubiquiti UniFi OS Bulletin 064: drei kritische CVEs, davon zwei unauthentifiziert

21.–24.05.2026 · Ubiquiti Bulletin 064 · BleepingComputer · Borncity

Zusammenfassung: Ubiquiti hat am 21. Mai 2026 das Security-Advisory-Bulletin 064 veröffentlicht. Es adressiert drei kritische und eine hochkritische Schwachstelle im UniFi-OS-Server, der UDM-, UNVR- und UNAS-Geräte steuert. CVE-2026-34908 (Improper Access Control) und CVE-2026-34909 (Path Traversal) sind nicht authentifiziert und über das Management-Interface ausnutzbar.

Hintergrund & Einordnung: Betroffen ist UniFi OS Server Version 5.0.6 und früher; Patch in 5.0.8 oder höher. Wo das Management-Interface aus dem Internet erreichbar ist – häufig in kleineren Standorten und SMB-Setups – ist eine vollständige Gerätekompromittierung möglich. Das Risiko strahlt auf alle vom UniFi-Stack abhängigen Komponenten aus (Switches, APs, Video-Recorder, NAS).

Praxisfolgen / Handlungsempfehlung: Sofortpatch auf 5.0.8 oder höher. Das Management-Interface über VPN, Tailscale oder ähnliche Zero-Trust-Setups abschotten. Wer UniFi für Filialnetzwerke einsetzt, sollte eine vollständige Inventur durchführen und gepatchte vs. ungepatchte Geräte sauber dokumentieren.

3.6 Webmin CVE-2026-42210: Privilege Escalation und 2FA-Bypass (CVSS 9.8)

17.05.2026 · it-boltwise · news.de

Zusammenfassung: Das BSI hat am 17. Mai eine Warnung zu Webmin veröffentlicht. CVE-2026-42210 erlaubt nicht-vertrauenswürdigen Webmin-Usern, Befehle als root auszuführen, unabhängig davon, welche Module ihnen zugeordnet sind, und enthält zusätzlich einen 2FA-Bypass via Basic Auth. CVSS 9.8 (kritisch). Fix in 2.640 und neuer.

Hintergrund & Einordnung: Webmin wird oft auf kleinen Linux/UNIX-Servern als Web-Verwaltung eingesetzt. Mehrbenutzer-Webmin-Setups (etwa bei Hostern oder kleinen MSPs) sind besonders exponiert. Die Kombination aus Privilege-Escalation und 2FA-Bypass macht eine vollständige Server-Übernahme realistisch.

Praxisfolgen / Handlungsempfehlung: Sofort auf Webmin 2.640 oder höher aktualisieren. Falls nicht möglich: Webmin auf 127.0.0.1 binden und nur über SSH-Tunnel oder VPN exponieren. Logfiles auf ungewöhnliche /help/-Aufrufe und auf basic-auth-Anmeldungen prüfen.

3.7 SonicWall SSL-VPN: Patch-Bypass für MFA, manuelle LDAP-Schritte erforderlich

20.05.2026 · BleepingComputer · SecurityAffairs

Zusammenfassung: Angreifer brute-forcen weiterhin SonicWall-VPN-Zugänge und umgehen MFA auf Gen6-SSL-VPN-Appliances trotz nominell installierter Patches. Ursache ist CVE-2024-12802: das alleinige Einspielen des Firmware-Updates reicht nicht; eine manuelle Rekonfiguration des LDAP-Servers ist erforderlich. ReliaQuest dokumentiert Angriffe zwischen Februar und März, jetzt im Mai erneut bestätigt.

Hintergrund & Einordnung: SonicWall hatte in seinem Advisory ausdrücklich darauf hingewiesen, dass auf Gen6-Geräten zusätzliche Konfigurationsschritte notwendig sind. In der Praxis sieht das gepatchte Gerät „grün“ aus, ist aber weiterhin angreifbar, wenn der LDAP-UPN-Pfad ohne MFA bleibt. Login-Logs erscheinen normal; einziger nutzbarer Indikator ist die Session-Markierung sess=“CLI“.

Praxisfolgen / Handlungsempfehlung: SonicWall Gen6 SSL-VPN-Betreiber müssen die LDAP-Konfiguration explizit verifizieren, MFA-Erzwingung für alle Login-Formate (insbesondere UPN) konfigurieren und nach sess=“CLI“-Signalen in den Logs suchen. Wo möglich auf Gen7-Hardware oder externe Identitätsprovider mit erzwungener MFA migrieren.

4.1 EuGH C-526/24 – Brillen Rottler: Auskunftsrecht und Rechtsmissbrauch

EuGH · 19.03.2026 · C-526/24 · Haufe · IITR · Dr. Datenschutz

Sachverhalt: Ein Verbraucher hatte über mehrere Unternehmen hinweg systematisch Newsletter abonniert und kurze Zeit später Auskunftsanträge nach Art. 15 DSGVO gestellt. Bei kleinsten Bearbeitungsverzögerungen oder Auskunftslücken forderte er pauschal DSGVO-Schadenersatz, regelmäßig in Höhe von 1.000 EUR. Beklagte war die Brillen Rottler GmbH.

Entscheidung: Der EuGH stellt klar, dass bereits der erste Auskunftsantrag eines Nutzers im Einzelfall als „exzessiv“ im Sinne von Art. 12 Abs. 5 DSGVO eingestuft werden kann, wenn er erkennbar nicht der Überprüfung der Rechtmäßigkeit dient, sondern allein der Provokation von Schadenersatz. Der Verantwortliche trägt die Beweislast für den missbräuchlichen Charakter.

Begründungs-Kernpunkte: Erstens ist das Auskunftsrecht zentrales Mittel zur Wahrnehmung weiterer Betroffenenrechte; Beschränkungen müssen restriktiv ausgelegt werden. Zweitens kann jedoch ein systematisches, künstlich konstruiertes Antragsverhalten den Schutzzweck verfehlen. Drittens ist immaterieller Schaden nach Art. 82 DSGVO nicht bereits durch den DSGVO-Verstoß per se gegeben; ein konkreter, nicht nur hypothetischer Schaden muss dargelegt werden.

Praxisfolgen: Unternehmen erhalten eine belastbare Verteidigungslinie gegen serielles „DSGVO-Hopping“. Voraussetzung ist eine sorgfältige Dokumentation des Antragsmusters: zeitliche Nähe zu Newsletter-Anmeldungen, parallele Anträge gegen mehrere Unternehmen, Form und Inhalt der Schadenersatzforderung. Reguläre Auskunftsanträge sind weiterhin innerhalb der Monatsfrist und ohne Rechtfertigungspflicht zu beantworten.

4.2 BAG 8 AZR 209/21 – Workday: Schadensersatz bei überschießender Konzern-Datenübermittlung

BAG · 08.05.2025 · 8 AZR 209/21 · BAG (Pressemitteilung) · LTO · datenschutz-notizen

Sachverhalt: Eine Konzernmutter führte 2017 das HR-Cloudsystem Workday gemeinsam mit dem Betriebsrat ein. Die Betriebsvereinbarung erlaubte die Übermittlung bestimmter Datenkategorien (Name, Eintritt, Arbeitsort, Unternehmen, dienstliche Telefonnummer, E-Mail). Tatsächlich übermittelt wurden darüber hinaus auch Gehaltsdaten, Privatadresse, Geburtsdatum, Familienstand, Sozialversicherungsnummer und Steuer-ID.

Entscheidung: Das BAG hat dem Kläger 200 EUR immateriellen Schadenersatz nach Art. 82 DSGVO zugesprochen. Die über die Betriebsvereinbarung hinausgehende Datenübermittlung war nicht durch Art. 6 Abs. 1 lit. f DSGVO gedeckt und damit rechtswidrig.

Begründungs-Kernpunkte: Die Betriebsvereinbarung kann eine Erlaubnis im Sinne der DSGVO darstellen, aber nur innerhalb ihres Wortlauts. Der immaterielle Schaden besteht im Kontrollverlust über personenbezogene Daten, ausgelöst durch die unrechtmäßige Übermittlung an die Muttergesellschaft. Eine Erheblichkeitsschwelle ist nicht erforderlich.

Praxisfolgen: Konzern-Implementierungen von HR-Cloud-Systemen wie Workday, SAP SuccessFactors oder Oracle HCM müssen ihre Datenflüsse exakt entlang der jeweiligen Betriebsvereinbarung dokumentieren. Vor jedem zusätzlichen Datenfeld ist eine Anpassung der Betriebsvereinbarung notwendig. Schadensersatzklagen werden für Arbeitgeber kalkulierbar – pro Mitarbeitenden sind Beträge im niedrigen dreistelligen Eurobereich realistisch, in der Summe können sie aber sechs- bis siebenstellig werden.

4.3 EuGH C-797/23 – Meta Platforms Ireland: Grenzen der Verbandsklage

EuGH · 12.05.2026 · C-797/23 · Börse Express · Stiftung Datenschutz

Sachverhalt: Eine Verbraucherschutzorganisation hatte Meta Platforms Ireland in Anlehnung an die Vorgaben des EuGH-Urteils Meta Platforms Ireland I auf Unterlassung und Schadensersatz wegen unzureichender Datenschutzpraktiken in Anspruch genommen.

Entscheidung: Der EuGH zieht die Linien für die Aktivlegitimation und die Reichweite kollektiver Klagen enger. Verbandsklagen sind weiterhin möglich, aber Beweis- und Substantiierungsanforderungen werden geschärft, insbesondere zum konkreten Schaden der einzelnen Betroffenen.

Begründungs-Kernpunkte: Die DSGVO erlaubt nationalen Rechtsordnungen Verbandsklagen, verlangt aber zugleich, dass der Schaden der Einzelnen über ein bloßes „strukturelles Unbehagen“ hinausgeht und dass die Betroffenheit der Klägergruppe ausreichend konkretisiert ist.

Praxisfolgen: Tech-Konzerne erhalten einen prozessualen Hebel gegen Sammelverfahren, die nicht hinreichend belegt sind. Verbraucherschutz-Vereinigungen und qualifizierte Einrichtungen müssen ihre Klagen künftig konkreter aufstellen. Für Unternehmen relevant ist dies vor allem im Zusammenspiel mit dem Verbandsklagengesetz (VDuG): Beweisanforderungen wirken disziplinierend.

5.1 BfDI gegen Vodafone GmbH: 45 Millionen Euro – Folgeprüfung angekündigt

06.05.2026 · BfDI (Bußgeld-PM) · ad hoc news · gesellschaft-datenschutz.de

Behörde: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). · Adressat: Vodafone GmbH. · Höhe: 45 Millionen Euro (15 Mio. EUR + 30 Mio. EUR).

Verstoß / Rechtsgrundlage: Erstens unzureichende Auftragsverarbeiter-Kontrolle nach Art. 28 DSGVO über mehrere Partneragenturen, deren Beschäftigte personenbezogene Kundendaten unrechtmäßig verarbeiteten (15 Mio. EUR). Zweitens Sicherheitsmängel in der MeinVodafone-eSIM-Authentifizierung nach Art. 32 DSGVO, die Account-Übernahmen ermöglichten (30 Mio. EUR).

Begründung: Die BfDI hält fest, dass Vodafone die ihm bekannten Risiken in der Partneragentur-Kette über Jahre nicht ausreichend adressierte und dass die eSIM-Authentifizierung in einem Self-Service-Portal nicht den Sicherheitsstand des Standes der Technik erreichte. Bei der Bußgeldhöhe wurden Größenordnung des Unternehmens, Schwere und Dauer berücksichtigt.

Praxisfolgen: Telekommunikations- und Großkundenunternehmen sollten Auftragsverarbeiter-Audits, Off-Boarding-Prozesse und das Berechtigungsmodell der Self-Service-Portale auf den Prüfstand stellen. Insbesondere SIM-Swap-Risiken und eSIM-Provisionierungsprozesse benötigen mehrstufige Verifikation, idealerweise mit Out-of-Band-Faktor. Die für 2026 angekündigte Folgeprüfung bei Vodafone wirkt als Maßstab.

6.1 NIS2-Enforcement: BSI in der operativen Phase, ~60 Prozent der Pflichtigen säumig

Mai 2026 · Change Orchestration Institute · BSI · OpenKRITIS

Zusammenfassung: Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 in Kraft, die Registrierungsfrist endete am 6. März 2026. Seit Mai 2026 befindet sich das BSI in der operativen Enforcement-Phase. Von etwa 29.500 pflichtigen Unternehmen hatten sich bis dahin nur rund 11.500 registriert – das sind 38,5 Prozent. Über 18.000 Unternehmen sind im Verzug.

Hintergrund & Einordnung: Sanktionen sind gestaffelt: bis 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes für „besonders wichtige Einrichtungen“; bis 7 Mio. EUR oder 1,4 Prozent für „wichtige Einrichtungen“. Zusätzlich wirkt § 38 BSIG mit persönlicher Haftung der Geschäftsleitung bei grober Fahrlässigkeit. Das BSI hat im 4. Quartal 2025 förmliche Mitteilungen an 47 Einrichtungen ohne Registrierung versandt; weitere Welle wird erwartet.

Praxisfolgen / Handlungsempfehlung: Betroffene Unternehmen sollten umgehend prüfen, ob sie der NIS2-Einrichtungskategorie unterfallen (sektorbezogen, größenbezogen), und die Registrierung beim BSI nachholen. Die persönliche Haftung der Geschäftsleitung ist Anlass für ein dokumentiertes ISMS-Programm, eine klare Verantwortlichkeit auf Geschäftsführungsebene, sowie eine glaubhafte Trainings- und Audit-Historie.

6.2 Phishing-Wellen Mai 2026: Sparkasse/Volksbank, Deutschlandticket, Rente, GEZ

05.–24.05.2026 · Verbraucherzentrale · ad hoc news · boerse-social.com

Zusammenfassung: Die Verbraucherzentrale meldet seit Anfang Mai eine dichte Folge von Phishing-Wellen. Drei dominante Maschen: Sparkassen-/Volksbank-Mails über angebliche verdächtige Logins mit Aufforderung zur pushTAN-Bestätigung; SMS und Mails zur „Verlängerung“ des Deutschlandtickets; sowie behördlich anmutende Mails zu angeblicher Renten-Datenaktualisierung. Hinzu kommen Rundfunkbeitrags-Phishing mit spanischer IBAN.

Hintergrund & Einordnung: Die Maschen kombinieren zunehmend Phishing-Mail mit Telefonanruf („Sparkassen-Sicherheitsabteilung“). Auf der technischen Seite nutzen Angreifer authentisch wirkende Domains, manchmal hinter validen E-Mail-Authentifizierungen (SPF/DMARC), etwa durch Missbrauch von Microsoft-365-„Direct Send“-Mechanismen. Zielgruppen sind älteres Publikum, Privatkundinnen und kleine Selbstständige.

Praxisfolgen / Handlungsempfehlung: Unternehmen sollten ihre Kundenkommunikation prüfen: keine Aufforderungen zur Eingabe von Passwörtern, TANs oder Kontodaten per E-Mail; offizielle App- und Web-Kanäle priorisieren. Für Mitarbeiterinnen und Mitarbeiter gilt die einfache Regel: keine Links aus unerwarteten Mails klicken, im Zweifel direkt im Browser zur offiziellen Seite navigieren, und SMS-/Mail-Aufforderungen über die offizielle App verifizieren.

6.3 BKA Bundeslagebild Cybercrime 2025: Anhaltend hoher Schaden, professionalisierte Täter

12.05.2026 · BKA

Zusammenfassung: Das BKA hat am 12. Mai 2026 sein Bundeslagebild Cybercrime 2025 vorgestellt. Die Zahlen zeigen eine anhaltend hohe Zahl gemeldeter Cyberstraftaten in Deutschland, einen weiter steigenden Schaden, und eine zunehmende Professionalisierung der Täter im Ransomware-as-a-Service- und Initial-Access-Broker-Modell.

Hintergrund & Einordnung: Das Lagebild korreliert mit dem internationalen Bild: Ransomware-Operatoren agieren modular, Infostealer-Marktplätze speisen Initial-Access-Operationen, und mit Coinbase Cartel sowie ähnlichen Akteuren rückt der reine Datendiebstahl ins Zentrum. Deutschland bleibt nach mehreren Studien das primäre Ziel im DACH-Raum.

Praxisfolgen / Handlungsempfehlung: Unternehmen sollten ihre Threat-Intelligence-Kapazitäten am tatsächlichen Bild ausrichten: Monitoring von Infostealer-Marktplätzen, regelmäßige Token-Rotation, klare Procedure für Daten-Veröffentlichungs-Erpressung. Strafverfolgung und Versicherung sind frühzeitig einzubinden – nicht erst, wenn der Erpressungs-Timer abläuft.

6.4 Phishing via Microsoft 365 Direct Send: SPF/DMARC werden umgangen

Mai 2026 · The Hacker News (Hintergrund)

Zusammenfassung: Eine im Mai dokumentierte Kampagne missbraucht die „Direct Send“-Funktion in Microsoft 365, um Phishing-Mails über Microsoft-eigene Sendepfade zu schicken. Die Folge: SPF, DKIM und DMARC werden formal eingehalten, die Mails sehen für Filter und Endnutzer „echt“ aus.

Hintergrund & Einordnung: „Direct Send“ ist eigentlich für interne Drucker und Geräte gedacht, die ohne Authentifizierung an die eigene M365-Tenant-Domain senden. Wenn Angreifer den Domain-Namen kennen und der Tenant Direct Send nicht eingeschränkt hat, lassen sich darüber gefälschte Mails an die eigenen Beschäftigten zustellen. Erfahrungsgemäß werden insbesondere Energie-, Gesundheits- und Mittelstand-Unternehmen ins Visier genommen.

Praxisfolgen / Handlungsempfehlung: Microsoft 365-Tenants sollten Direct Send entweder deaktivieren (Set-OrganizationConfig -RejectDirectSend $true, seit Frühjahr 2026 verfügbar) oder durch IP-Allowlisting auf bekannte interne Quellen einschränken. Mail-Flow-Regeln auf interne Spoofing-Muster („von eigener Domain, aber kein interner Header“) sind zu schärfen. Endnutzer-Schulung allein reicht nicht.