1. Cisco Catalyst SD-WAN (CVE-2026-20182): UAT-8616 nutzt CVSS-10-Lücke weiter aus

Seit Dienstag, 19. Mai 2026 · zuletzt aktualisiert Mittwoch, 27. Mai 2026 · Score 95

Die als CVE-2026-20182 geführte Authentication-Bypass-Schwachstelle in Cisco Catalyst SD-WAN Controller (vormals vSmart) und Catalyst SD-WAN Manager (vormals vManage) wird weiterhin durch den von Cisco Talos als UAT-8616 bezeichneten Akteur ausgenutzt. Tenable und mehrere Incident-Response-Häuser sehen anhaltende Massen-Scans gegen ungepatchte Cluster, auch in Europa. Patch-Zweige sind verfügbar; reine Workarounds reichen nicht aus.

Letzte Entwicklung: Cisco Talos konkretisierte am 26. Mai die Tooling-Beobachtungen rund um UAT-8616 (XenShell, Godzilla, Behinder, AdaptixC2, Nim-Implants) und betont die Notwendigkeit vollständiger Patches sowie Forensik auf bereits exponierten Systemen.

2. Drupal Core SQL-Injection (CVE-2026-9082): aktive Massenausnutzung

Seit Mittwoch, 20. Mai 2026 · zuletzt aktualisiert Mittwoch, 27. Mai 2026 · Score 88

Die als „highly critical“ eingestufte SQL-Injection-Schwachstelle in Drupal Cores Database-Abstraction-Layer (PostgreSQL) wird seit dem 22. Mai aktiv ausgenutzt; Imperva zählt inzwischen mehr als 15.000 Exploit-Versuche gegen rund 6.000 Sites in 65 Ländern. Anonyme Angreifer können beliebige SQL-Anweisungen einschleusen, was bis zur Remote Code Execution reichen kann. Patches stehen für 11.3, 11.2, 10.6, 10.5, 11.1, 10.4, 9.5 und 8.9 bereit.

Letzte Entwicklung: CISA hat die Lücke am 22. Mai in den KEV-Katalog aufgenommen und Bundesbehörden zur Sofortbehebung verpflichtet. Schwerpunktziele bleiben Gaming- und Finanzdienstleister-Sites.

3. unimed-Datenpanne: 120.000+ Patientendaten aus DE-Unikliniken

Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Mittwoch, 27. Mai 2026 · Score 90

Der Cyberangriff auf den Abrechnungsdienstleister unimed in Wadern hat zur Kompromittierung der Daten von inzwischen mehr als 120.000 Privatpatientinnen und Wahlleistungspatienten der Universitätskliniken Freiburg, Heidelberg, Köln, Tübingen und Ulm geführt. In rund 1.500 Fällen sind sogar Inhalte aus Patientenakten betroffen – Diagnosen und detaillierte Angaben zum Gesundheitszustand.

Letzte Entwicklung: Die schriftliche Benachrichtigung der Betroffenen hat begonnen. LfDI BW und HmbBfDI prüfen entlang der Auftragsverarbeitungs-Kette mögliche Meldepflichtverletzungen. Versicherungsmonitor und Ärzteblatt liefern aktualisierte Fallzahlen.

4. Trend Micro Apex One (CVE-2026-34926): aktiv ausgenutzte Zero-Day-Lücke

Seit Mittwoch, 20. Mai 2026 · zuletzt aktualisiert Dienstag, 26. Mai 2026 · Score 82

Die Directory-Traversal-Schwachstelle CVE-2026-34926 in Trend Micro Apex One (On-Premise) wird laut Hersteller bereits in der Wildnis ausgenutzt. Angreifer mit Admin-Zugang zum Apex-One-Server können Servertabellen manipulieren und schadhaften Code an die Agents verteilen.

Letzte Entwicklung: CISA setzte am 21. Mai die KEV-Patch-Frist auf den 4. Juni. Trend Micro stellt Fixes über SP1 Critical Patch Build 18012 sowie Build 17079 bereit; betroffene Apex-One-as-a-Service-Instanzen werden zentral aktualisiert.

5. cPanel CVE-2026-41940 („Sorry“-Ransomware): 44.000 IPs kompromittiert

Seit Donnerstag, 30. April 2026 · zuletzt aktualisiert Mittwoch, 27. Mai 2026 · Score 78

Die Authentication-Bypass-Lücke CVE-2026-41940 in cPanel/WHM wird seit Wochen massenhaft ausgenutzt. Shadowserver meldet inzwischen mindestens 44.000 kompromittierte cPanel-Hosts; Censys identifiziert 8.859 Hosts mit offenen Verzeichnissen, deren Dateinamen auf „.sorry“ enden – ein klares Indiz für die gleichnamige Ransomware-Kampagne.

Letzte Entwicklung: Help Net Security berichtet zudem über eine parallele Backdoor-Kampagne („Filemanager-Backdoor“) aus mindestens 2.000 IPs, die für Credential-Diebstahl und persistenten Zugriff missbraucht wird.

1.1 BfDI: Specht-Riemenschneider kündigt Rückzug an, Beschwerden steigen um 36 %

06.05.2026 · BfDI-Pressemitteilung · Bundestag-Bericht · 34. Tätigkeitsbericht

Zusammenfassung: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Louisa Specht-Riemenschneider, hat ihren Rückzug aus dem Amt aus gesundheitlichen Gründen erklärt. Sie bleibt bis zur Klärung der Nachfolge im Amt. Parallel hat sie ihren 34. Tätigkeitsbericht vorgelegt: 11.824 Eingaben (Beschwerden und Anfragen) bedeuten ein Plus von rund 36 Prozent gegenüber 2024 und ein Plus von rund 52 Prozent gegenüber 2023. Die Behörde führte 80 Vor-Ort-Prüfungen und 40 schriftliche Prüfungen durch.

Hintergrund & Einordnung: Der personelle Wechsel kommt in einer Phase, in der die BfDI mehrere strategische Linien etabliert hat – darunter den ReguLab-Sandbox-Ansatz, das „Datenbarometer“ und den strategischen Foresight-Prozess. Der Tätigkeitsbericht macht deutlich, dass datenschutzbezogene Anliegen stärker in die öffentliche Wahrnehmung rücken; einhergehend dazu wächst die Belastung der Behörde. Die Nachfolge wird im Bundestag in den kommenden Wochen behandelt werden; bis dahin laufen Verfahren regulär weiter.

Praxisfolgen / Handlungsempfehlung: Für Verantwortliche und Auftragsverarbeiter ändert sich kurzfristig nichts: Meldungen nach Art. 33/34 DSGVO, Auskunftsersuchen und laufende Aufsichtsverfahren bleiben in der bisherigen Spur. Wer Beschwerden eingereicht hat oder eine Stellungnahme erwartet, sollte beachten, dass die personelle Übergangsphase Verzögerungen verursachen kann. Längerfristig ist absehbar, dass die personelle Neuaufstellung Schwerpunktsetzungen verändern könnte – insbesondere zu KI-Aufsicht und Health-Data-Themen.

1.2 unimed-Datenpanne: 120.000+ Patientendaten der DE-Unikliniken

26.05.2026 · Deutsches Ärzteblatt · Versicherungsmonitor · Borns IT-Blog

Zusammenfassung: Die Datenpanne beim Wadener Abrechnungsdienstleister unimed Abrechnungsservice GmbH umfasst nach aktualisierter Lage mehr als 120.000 Privatpatientinnen und Wahlleistungspatienten der Universitätskliniken Freiburg (rund 54.000), Köln (rund 30.000), Heidelberg, Tübingen und Ulm. In rund 1.500 Fällen sind Inhalte aus Patientenakten – Diagnosen, Angaben zum Gesundheitszustand – mitbetroffen. Die Patientenversorgung und Klinik-IT waren nicht beeinträchtigt.

Hintergrund & Einordnung: unimed wickelt private Abrechnungen und Wahlleistungen für rund 95 Prozent aller deutschen Universitätskliniken sowie etwa die Hälfte der größeren Krankenhäuser ab; entsprechend hoch ist das Konzentrationsrisiko. Die Angreifer scheiterten an der Verschlüsselung der Systeme, exfiltrierten aber Daten aus einem begrenzten Bereich – darunter Korrespondenz zu Abrechnungswidersprüchen. Es handelt sich um einen klassischen Double-Extortion-Versuch ohne erfolgreiche Verschlüsselungskomponente. LfDI Baden-Württemberg und HmbBfDI prüfen entlang der Auftragsverarbeitungs-Kette die Einhaltung der Meldepflichten.

Praxisfolgen / Handlungsempfehlung: Verantwortliche, die mit unimed oder ähnlichen Abrechnern arbeiten, sollten ihre Auftragsverarbeitungsverträge auf Anforderungen an unverzügliche Vorfallmeldung, Datenintegritätsnachweise und Verschlüsselungspflichten prüfen. Für Betroffene ist mit Identitätsdiebstahl-Versuchen und gezieltem Phishing über die nächsten Monate zu rechnen; eine Bonitätsabfrage und Wachsamkeit gegenüber „Klinik-Rechnungen“ per E-Mail sind angezeigt. Die Aufsichtsbehörden werden voraussichtlich strenge Maßstäbe an die Auftragskontrollen anlegen, was Folgewirkungen für die gesamte KRITIS-nahe Abrechnungsbranche haben dürfte.

1.3 Portraitbox: AWS-Kompromittierung über API-Schlüssel, Erpressung im Raum

22.05.2026 · heise online · ProfiFoto · anwalt.de

Zusammenfassung: Beim Paderborner Foto-Dienstleister Portraitbox GmbH haben Unbekannte über einen kompromittierten API-Schlüssel am Wochenende vom 16./17. Mai die AWS-Infrastruktur des Anbieters übernommen, Foto- und Kundendaten heruntergeladen und Teile davon anschließend gelöscht. Heise berichtet, dass eine Erpressung im Raum steht; betroffen sind besonders Bestände aus Kindergarten- und Schulfotografie sowie zugehörige Bestelldaten.

Hintergrund & Einordnung: Portraitbox tritt gegenüber den Fotostudios als Auftragsverarbeiter im Sinne von Art. 28 DSGVO auf, die Studios selbst sind Verantwortliche im Sinne von Art. 4 Nr. 7. Sie tragen damit die Pflicht, die Datenpanne innerhalb der 72-Stunden-Frist nach Art. 33 DSGVO bei ihrer Aufsichtsbehörde zu melden – und gegenüber den Auftraggebern (Kindergärten, Schulen, Eltern) gegebenenfalls auch nach Art. 34. Der Vorfall illustriert zwei klassische Risikolagen: ungenügende Geheimhaltung von API-Schlüsseln sowie das Fehlen einer separaten, kompromittierungsfest gelagerten Datensicherung.

Praxisfolgen / Handlungsempfehlung: Fotografinnen und Fotografen, die Portraitbox nutzen, sollten umgehend die Meldepflichtprüfung anhand der Schwellenwerte der DSK durchführen, betroffene Auftraggeber informieren und ihre Kommunikation gegenüber Eltern und Schulen vorbereiten. Generell gilt: API-Keys gehören in Vaults (z. B. AWS Secrets Manager, HashiCorp Vault) statt in Code-Repositories oder CI-Variablen ohne Rotation. Wer als Verantwortlicher Auftragsverarbeiter beauftragt, sollte Sicherheitszertifizierungen, Pen-Test-Berichte und Notfallpläne aktiv einfordern, nicht bloß vertraglich voraussetzen.

1.4 CISA-GitHub-Leak: 844 MB Klartext-Passwörter und AWS-Tokens öffentlich

15.05.2026 · Krebs on Security · GitGuardian · Golem.de

Zusammenfassung: Die US-Cybersicherheitsbehörde CISA hatte über sechs Monate hinweg ein öffentliches GitHub-Repository („Private-CISA“) mit rund 844 MB Klartext-Passwörtern, AWS-GovCloud-Tokens, Entra-ID-SAML-Zertifikaten, CI/CD-Logs, Kubernetes-Manifesten und Terraform-Code online. Entdeckt hat das Repository GitGuardian; CISA nahm es innerhalb von 26 Stunden vom Netz.

Hintergrund & Einordnung: Der Vorfall verbindet zwei Schwächen: das Fehlen organisatorischer Kontrollen bei Github-Repositories und mangelnde Sensibilität für Secrets-Management. Bemerkenswert ist die ausdrückliche Anweisung im Repository, GitHub-Secret-Scanning zu deaktivieren. CISA erklärt, es lägen keine Hinweise auf eine Kompromittierung sensibler Daten vor; unabhängig davon ist die mediale Wirkung erheblich, weil die Behörde selbst Standards für sicheren Code-Umgang in Bundeseinrichtungen setzt.

Praxisfolgen / Handlungsempfehlung: Auch hierzulande sollten Behörden und Unternehmen ihre öffentlichen Code-Repositories nach Secrets durchsuchen lassen (Tools wie GitGuardian, TruffleHog, gitleaks). Empfehlenswert sind Pre-commit-Hooks, kurzlebige Tokens, ausschließlich SSO-basierte AWS-Konten, MFA-Pflicht für Repository-Schreibzugriff und ein dokumentierter Secrets-Rotations-Prozess. Jedes Repository, das produktive Konfigurationen enthält, gehört strikt auf Privat – mit Audit-Trail.

2.1 Microsoft SharePoint CVE-2026-45659 (CVSS 8.8): RCE durch authentifizierte Angreifer

26.05.2026 · Help Net Security · The Hacker News

Zusammenfassung: Microsoft hat ein Update veröffentlicht, das die Deserialisierungs-Schwachstelle CVE-2026-45659 in SharePoint Server schließt. Die Lücke (CVSS 8.8) erlaubt einem authentifizierten Angreifer mit mindestens „Site Member“-Rechten die Remote-Code-Ausführung auf dem SharePoint-Server. Microsoft sieht derzeit keine Hinweise auf aktive Ausnutzung und kein öffentliches PoC.

Hintergrund & Einordnung: Untrustworthy-Deserialization-Lücken zählen im SharePoint-Umfeld zu den am häufigsten ausgenutzten Klassen, weil SharePoint Server geschäftskritische Dokumente und Intranet-Daten beheimatet. Die niedrige Angriffshürde – Site-Member-Rechte können in größeren Mandanten faktisch jeder Mitarbeitende mitbringen – macht die Lücke besonders attraktiv für Insider-Risiken sowie für Angreifer, die zuvor per Phishing oder Credential-Stuffing Standardkonten kompromittiert haben.

Praxisfolgen / Handlungsempfehlung: SharePoint-On-Premise-Betreiber sollten den Patch ohne Verzögerung über ein Wartungsfenster ausrollen, parallel die Berechtigungen auf der Site-Sammlungsebene auditieren und mit den Site-Owner-Rollen restriktiver umgehen. Aktivierung der AMSI-Integration, eine zentrale WAF mit OWASP-Regelwerk und das Logging eingehender SOAP-/JSON-Payloads sind sinnvoll. Microsoft-365-SharePoint-Online-Mandanten sind nicht selbst zuständig; hier ist die Patchlage durch Microsoft sichergestellt.

2.2 Microsoft Defender CVE-2026-41091 und CVE-2026-45498: aktive Ausnutzung

21.05.2026 · Help Net Security · The Hacker News · CISA-Alert

Zusammenfassung: CVE-2026-41091 (CVSS 7.8) erlaubt durch fehlerhafte Link-Auflösung („link following“) eine lokale Rechteausweitung auf SYSTEM. CVE-2026-45498 (CVSS 4.0) erzwingt einen Denial-of-Service auf Defender. Beide werden laut Microsoft und CISA in der Wildnis ausgenutzt; CISA hat eine KEV-Frist bis 3. Juni gesetzt. Behoben sind die Lücken in Defender Antimalware Platform 1.1.26040.8 und 4.18.26040.7.

Hintergrund & Einordnung: „RedSun“ (CVE-2026-41091) und „UnDefend“ (CVE-2026-45498) reihen sich in eine Kette von Angriffen ein, die EDR-Komponenten gezielt schwächen, um nachgelagerte Tools auf Endpoints zu installieren. Da Defender in vielen Windows-Umgebungen die Primärabwehr ist, sind insbesondere Umgebungen ohne ergänzende EDR-Sensorik exponiert. Endpoint-Update-Mechanismen sind in Windows zwar weitgehend automatisch, in OT-Netzen, Air-Gap-Szenarien oder gemanagten Builds verzögert sich der Rollout aber regelmäßig.

Praxisfolgen / Handlungsempfehlung: Überprüfen Sie zentral, ob die Plattformversionen 1.1.26040.8 (bzw. 4.18.26040.7) verteilt sind; nutzen Sie hierfür Defender-for-Endpoint-Telemetrie oder SCCM/Intune-Inventory. Wo Defender ausschließliche Endpoint-Lösung ist, ergänzen Sie ein EDR-Tool mit Tamper Protection und Off-Host-Korrelation. Implementieren Sie Alarme auf das Stoppen des Defender-Dienstes oder Anomalien bei Definitions-Updates.

2.3 Charter Communications / Spectrum: 42 Mio. Datensätze nach ShinyHunters-Vishing

25.05.2026 · BleepingComputer · CyberInsider

Zusammenfassung: Charter Communications, US-Telekommunikationskonzern und Betreiber der Marke Spectrum, hat einen Datenabfluss bestätigt, nachdem die Gruppe ShinyHunters mit der Veröffentlichung von rund 42 Millionen Datensätzen drohte – sofern keine Verhandlung bis zum 27. Mai stattfindet. Die Angreifer geben an, sich am 1. April über einen Vishing-Anruf den Microsoft-Entra-Account eines Mitarbeitenden verschafft und anschließend Kundendaten aus Charters Salesforce-Instanz exportiert zu haben.

Hintergrund & Einordnung: Der Vorfall reiht sich in eine Welle von ShinyHunters-Angriffen ein, die seit Anfang 2026 SaaS-Plattformen wie Salesforce, Snowflake und Workday über kompromittierte Identitäten ins Visier nimmt. Voice-Phishing gegen Helpdesk- und Sales-Operations-Mitarbeitende ist der bevorzugte Initialzugang, weil dort hohe Berechtigungen und niedrige MFA-Hürden zusammenfallen. Charter bestreitet eine Kompromittierung sensibler PI- oder CPNI-Daten, gibt jedoch Datenabfluss generell zu.

Praxisfolgen / Handlungsempfehlung: Unternehmen, die Salesforce oder andere CRM-Plattformen produktiv nutzen, sollten Bulk-Exporte protokollieren, MFA für Sales-Cloud-Zugriffe phish-resistent gestalten (FIDO2/WebAuthn statt SMS), Helpdesk-Workflows mit Rückrufpflicht über bekannte interne Nummern absichern und Anomalie-Detektion auf API-Aufrufe einrichten. Spectrum-Kunden in den USA – und kollateral betroffene Nutzer aus DE-Konzernverbünden – sind in den nächsten Wochen mit zielgerichtetem Phishing zu rechnen.

2.4 Berliner Datenschutz: Verwarnung gegen BVG nach Auftragsverarbeiter-Vorfall

04.05.2026 · DSGVO-Scan

Zusammenfassung: Die Berliner Datenschutzbeauftragte hat einen bekannt gewordenen Sicherheitsvorfall bei einem BVG-Dienstleister zum Anlass für eine formale Verwarnung an die Berliner Verkehrsbetriebe (BVG) genommen. Die Aufsicht stellt fest, dass die BVG den Umgang mit dem Vorfall in der Auftragsverarbeitungs-Kette mangelhaft organisiert habe.

Hintergrund & Einordnung: Damit konkretisiert die Berliner Datenschutzaufsicht ihre Linie zu Art. 28 DSGVO: Es genügt nicht, formal AV-Verträge zu schließen; die Verantwortlichen müssen die Eignung des Auftragsverarbeiters laufend kontrollieren – inklusive Sicherheits-Audits, Vorfallmeldewegen und Eskalations-Pflichten. Die Verwarnung dürfte als Referenzfall für ähnlich gelagerte Konstellationen genutzt werden.

Praxisfolgen / Handlungsempfehlung: Unternehmen und Behörden sollten ihre AV-Verträge auf konkrete Pflichten zur unverzüglichen Vorfallmeldung, regelmäßige Audits und Transparenz über Subunternehmer prüfen. Empfehlenswert ist ein internes Audit-Programm, das pro Auftragsverarbeiter mindestens einmal jährlich Sicherheitsnachweise sichtet. Reine Vertragsklauseln ohne Wirksamkeitskontrolle reichen aus Sicht der Berliner Aufsicht erkennbar nicht mehr.

3.1 Cisco Catalyst SD-WAN CVE-2026-20182: UAT-8616-Kampagne hält an

26.05.2026 · Cisco Talos · Cisco PSIRT · Tenable FAQ

Zusammenfassung: Die CVSS-10-Schwachstelle CVE-2026-20182 im Catalyst SD-WAN Controller und Manager wird laut Cisco Talos weiterhin durch den Threat-Cluster UAT-8616 ausgenutzt. Die Lücke erlaubt einem unauthentifizierten Angreifer über das DTLS-basierte Peering-Protokoll (UDP 12346) administrativen Zugriff. Patches sind für alle unterstützten Releases verfügbar; reine Workarounds sind nicht ausreichend.

Hintergrund & Einordnung: UAT-8616 wird als hochprofessioneller Akteur eingestuft, der bereits seit 2023 SD-WAN-Infrastrukturen anvisiert. In den jüngsten Vorfällen werden Webshells wie XenShell, Godzilla und Behinder eingesetzt, ergänzt um C2-Infrastruktur auf Basis von AdaptixC2 und Nim-Implantaten. Europäische CSIRTs beobachten ebenfalls Scan-Wellen; ein öffentliches Metasploit-Modul erhöht zusätzlich das Risiko opportunistischer Folgeangriffe.

Praxisfolgen / Handlungsempfehlung: Spielen Sie die Patch-Zweige 20.9.9.1, 20.12.7.1, 20.15.5.2, 20.18.2.2 und 26.1.1.1 ein, soweit nicht bereits geschehen. Werten Sie DTLS-Peering-Logs auf UDP 12346 retrospektiv aus, suchen Sie auf den Controllern und Managers nach den genannten Webshell-Artefakten und ziehen Sie Hosts, die zwischen 10. und 24. Mai exponiert waren, einer Forensik unter. Die KEV-Frist 17. Mai für US-Bundesbehörden ist verstrichen; europäische CSIRTs empfehlen vergleichbare Dringlichkeit.

3.2 Drupal Core CVE-2026-9082: SQLi (PostgreSQL) – Massenausnutzung

26.05.2026 · Drupal SA-CORE-2026-004 · The Hacker News · BleepingComputer

Zusammenfassung: Die als „highly critical“ eingestufte SQL-Injection-Schwachstelle CVE-2026-9082 im Database-Abstraction-Layer betrifft alle unterstützten Drupal-Versionen mit PostgreSQL als Backend. Unauthentifizierte Angreifer können über speziell formulierte Requests SQL einschleusen, was bis zur Privilegienerhöhung und Remote-Code-Ausführung reichen kann. Imperva zählt aktuell über 15.000 Exploit-Versuche gegen rund 6.000 Sites in 65 Ländern.

Hintergrund & Einordnung: Auch wenn Drupal selbst PostgreSQL-Installationen auf unter 5 Prozent der Gesamtbasis schätzt, sind in dieser Untergruppe besonders Gaming-, Finanz- und Behörden-Sites stark vertreten. Aktuelle Imperva-Daten zeigen Gaming und Financial Services als bevorzugte Ziele mit zusammen rund 50 Prozent der beobachteten Attacken. CISA hat die Schwachstelle in den KEV-Katalog aufgenommen.

Praxisfolgen / Handlungsempfehlung: Drupal-Verantwortliche sollten unmittelbar auf 11.3, 11.2, 10.6, 10.5, 11.1, 10.4, 9.5 oder 8.9 aktualisieren. Wer aus Architekturgründen einen kurzfristigen Workaround braucht, kann temporär WAF-Regeln gegen ungewöhnliche EntityQuery-Konstrukte etablieren; das ersetzt aber keinen Patch. Prüfen Sie PostgreSQL-Querylogs der vergangenen 14 Tage auf Auffälligkeiten in Conditions, die auf Bypass-Versuche hindeuten.

3.3 Trend Micro Apex One CVE-2026-34926: Directory Traversal aktiv ausgenutzt

26.05.2026 · Help Net Security · BleepingComputer · CISA-Alert

Zusammenfassung: Die relative Directory-Traversal-Schwachstelle CVE-2026-34926 (CVSS 6.7) in Trend Micro Apex One On-Premise erlaubt es einem Angreifer mit Admin-Credentials zum Apex-One-Server, Servertabellen zu modifizieren und schadhaften Code an die Agents auszuliefern. Trend Micro bestätigt mindestens einen Versuch in the wild. CISA hat die Lücke in den KEV-Katalog aufgenommen und US-Bundesbehörden Patch-Frist 4. Juni gesetzt.

Hintergrund & Einordnung: Der Angriff erfordert administrative Zugriffe auf die Apex-One-Konsole; entsprechend wahrscheinlich ist eine vorgeschaltete Kompromittierung über Phishing, Credential-Stuffing oder VPN-Schwachstellen. Die Folgen sind erheblich: über die Server-Agent-Verteilung können beliebige Payloads breit gefächert auf Endpoints ausgespielt werden – ein klassisches Supply-Chain-Risiko in der eigenen Endpoint-Security-Infrastruktur.

Praxisfolgen / Handlungsempfehlung: Rollen Sie SP1 Critical Patch Build 18012 (oder für Neuinstallationen Build 17079) aus, mindestens auf Agent-Build 14.0.0.17079. Härten Sie die Apex-One-Konsole mit MFA, IP-Allowlisting und einem separaten Administrations-Netzsegment. Prüfen Sie Server-Logs auf ungewöhnliche Schreibzugriffe auf Konfigurationstabellen sowie ungewöhnliche Agent-Verteilungen der letzten 30 Tage.

3.4 cPanel CVE-2026-41940: 44.000 Hosts in „Sorry“-Ransomware-Welle kompromittiert

22.05.2026 · BleepingComputer · Help Net Security · The Hacker News

Zusammenfassung: Die Authentication-Bypass-Lücke CVE-2026-41940 in cPanel/WHM erlaubt einen Zugriff auf das Control Panel ohne Authentifizierung. Shadowserver beziffert die Zahl kompromittierter Hosts inzwischen auf mindestens 44.000; Censys identifiziert 8.859 Hosts mit „.sorry“-Dateinamen-Mustern, davon 7.135 als cPanel/WHM-Instanzen. Parallel läuft eine Backdoor-Kampagne („Filemanager-Backdoor“) aus über 2.000 IPs.

Hintergrund & Einordnung: Die „Sorry“-Ransomware ist ein in Go geschriebener Linux-Encryptor, der Dateien mit Endung .sorry anhängt und Opfer per Tox-Messenger kontaktieren lässt. Da cPanel-Hosts überwiegend KMU-Webseiten und Mail-Server adressieren, treffen die Angriffe stark fragmentierte Betreiber-Strukturen mit oft schwachen Patch-Prozessen. Mehrere Akteure scheinen die Lücke parallel zu nutzen, was Attribution erschwert.

Praxisfolgen / Handlungsempfehlung: Aktualisieren Sie cPanel/WHM auf die jeweils aktuellste Version, prüfen Sie Konfigurations- und Webroot-Verzeichnisse auf „.sorry“-Marker, deaktivieren Sie temporär exponierte cPanel-Logins (Port 2087/2083) hinter VPN oder IP-Allowlist und validieren Sie Off-Host-Backups. Web-Hoster sollten zusätzlich Filemanager-Plugin-Berechtigungen auditieren und auf nicht-autorisierte PHP-Dateien überprüfen.

3.5 SharePoint CVE-2026-45659: hochkritisches RCE-Update aus Mai-Patchday

26.05.2026 · Help Net Security · The Hacker News

Zusammenfassung: Microsoft hat die Deserialisierungs-Schwachstelle CVE-2026-45659 in SharePoint Server geschlossen. Mit CVSS 8.8 stuft Microsoft die Lücke als hochkritisch ein; ein authentifizierter Angreifer mit „Site Member“-Rechten kann beliebigen Code ausführen. Aktuell sind keine Exploits oder PoCs bekannt.

Hintergrund & Einordnung: Aus historischer Sicht wurden in jüngerer Vergangenheit mehrfach SharePoint-Lücken innerhalb weniger Tage nach Patch öffentlich gemacht ausgenutzt; das gilt insbesondere für Deserialisierungs-Lücken. Die Tatsache, dass keine Admin-Rechte nötig sind, macht die Schwelle für Angreifer mit kompromittierten Standardkonten niedrig.

Praxisfolgen / Handlungsempfehlung: SharePoint-On-Premise-Update zeitnah einplanen, parallel die Berechtigungs-Audits durchführen (insbesondere Site-Owner-Rollen reduzieren), AMSI-Integration aktivieren, eingehende Workflow-/SOAP-Payloads loggen und WAF-Regeln nach Microsoft-Empfehlungen aktualisieren. Microsoft-365-SharePoint-Online-Mandanten benötigen keine eigene Aktion.

4.1 EuGH C-526/24 „Brillen Rottler“: Missbrauchsmaßstab für Art. 15 DSGVO

EuGH · 19.03.2026 · C-526/24 · EuGH-Pressemitteilung (PDF) · LTO · LDI NRW

Sachverhalt: Ein in Österreich ansässiger Kläger hatte sich beim Optiker Brillen Rottler in Arnsberg über ein Online-Anmeldeformular für den Newsletter eingetragen und 13 Tage später ein Auskunftsersuchen nach Art. 15 DSGVO gestellt; das Begehren wurde mit Schadensersatzforderungen nach Art. 82 DSGVO verknüpft. Vorgelegt wurde die Frage, ob ein erster Antrag bereits als „exzessiv“ gewertet werden kann.

Entscheidung: Der EuGH bejaht: Auch ein erstmaliger Auskunftsantrag kann nach Art. 12 Abs. 5 DSGVO „exzessiv“ sein, wenn er nicht in gutem Glauben gestellt wird. Entscheidend ist nicht die Anzahl, sondern die missbräuchliche Stoßrichtung. Die Beweislast trägt der Verantwortliche; sie ist hoch.

Begründungs-Kernpunkte: Der Gerichtshof zieht öffentlich verfügbare Informationen (z. B. Medienberichte oder Blog-Einträge zu wiederkehrenden Schadensersatz-Konstellationen) als Indizien heran, lehnt jedoch deren alleinige Maßgeblichkeit ab. Eine Verletzung des Auskunftsrechts kann grundsätzlich Schadensersatzansprüche nach Art. 82 Abs. 1 DSGVO begründen, soweit der Antrag berechtigt war. Damit zieht der EuGH eine klare Linie zwischen legitimer Datentransparenz und missbräuchlichem „GDPR-Hopping“.

Praxisfolgen: Verantwortliche sollten Auskunftsersuchen weiterhin sorgfältig und fristgerecht beantworten; eine pauschale Abweisung ist nach wie vor nicht zulässig. Bei offenkundigem Missbrauch dokumentieren sie die Indizien (z. B. öffentlich publizierte Reklamationsmuster, kurze Zeitspannen zwischen Anmeldung und Antrag, Schadensersatzformulare). Betroffene sollten ihrem Antrag eine kurze Begründung beifügen, um den Anschein bösgläubiger Antragstellung zu vermeiden.

4.2 HmbBfDI zur Russmedia-Folge (EuGH C-492/23): praktische Auswirkungen

12.05.2026 · DatenschutzWoche

Sachverhalt: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine vierzehnseitige Bewertung der praktischen Folgen der EuGH-Entscheidung „Russmedia“ (Urteil vom 02.12.2025, C-492/23) veröffentlicht. Die Behörde betrachtet die Auswirkungen auf Medienprivilegien und Persönlichkeitsrechte.

Entscheidung: Der EuGH hatte in C-492/23 entschieden, dass Mitgliedstaaten Presseverlagen einen Vergütungsanspruch gegen Online-Plattformen wie Meta einräumen dürfen. Der HmbBfDI legt nun aus, welche datenschutzrechtlichen Pflichten Plattformen daraus erwachsen.

Begründungs-Kernpunkte: Die Behörde stellt klar, dass selbst publizierende Plattformen weiterhin gegenüber Betroffenen für ihre eigene Datenverarbeitung verantwortlich bleiben – auch wenn Vergütungspflichten gegenüber Verlagen entstehen. Damit verschiebt sich der Schwerpunkt der Diskussion vom Medienprivileg zum reinen Vertrags- und Vergütungsverhältnis.

Praxisfolgen: Online-Plattformen mit Pressepartnern müssen ihre AV-Konstellationen, Vergütungsklauseln und Verantwortlichkeits-Zuschnitte überprüfen. Verlagshäuser sollten datenschutzrechtliche Pflichtenkataloge gegenüber Lesern, Online-Plattformen und Werbepartnern transparent halten und die Rechtsgrundlagen klar benennen.

4.3 BGH: Anforderungen an Datenkopien nach Art. 15 Abs. 3 DSGVO

13.05.2025 · BGH · VI ZR 186/22 · BGH-Urteil (PDF) · Heuking-Newsletter

Sachverhalt: Die Klägerin hatte vom Unternehmen die kostenlose Kopie aller verarbeiteten personenbezogenen Daten nach Art. 15 Abs. 3 DSGVO verlangt, einschließlich aller mit ihr in Zusammenhang stehenden Schriftstücke, E-Mails und Vermerke. Das Berufungsgericht hatte den Anspruch umfänglich zugesprochen.

Entscheidung: Der BGH stellte klar, dass das Recht auf Kopie keine vollständige Aushändigung jeder verfügbaren Dokumentation umfasst, sondern an die Definition personenbezogener Daten und an Abwägungsgesichtspunkte gebunden ist. Die Sache wurde zur weiteren Sachaufklärung zurückverwiesen.

Begründungs-Kernpunkte: Personenbezogene Daten umfassen zwar Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen; Art. 15 Abs. 3 DSGVO verleiht aber kein universelles Dokumentenzugriffsrecht. Vielmehr ist im Einzelfall zu prüfen, ob die Kopie zur Wahrung der Datentransparenz erforderlich ist, ohne unverhältnismäßig in Geschäftsgeheimnisse Dritter einzugreifen.

Praxisfolgen: Verantwortliche bauen ihre Bearbeitungsprozesse so, dass sie zwischen Auskunft (Art. 15 Abs. 1) und Datenkopie (Art. 15 Abs. 3) sauber unterscheiden. Geschäftsgeheimnisse und Daten Dritter werden geschwärzt oder ausgeblendet. Beschäftigte sollten in der Bearbeitung von Auskunftsanträgen rechtssicher geschult werden; ein einheitliches Antragsformular reduziert Friktionen.

5.1 MLU B.V. (Yandex / Yango): 100 Mio. Euro für Drittlandtransfers nach Russland

21.05.2026 · kiteworks – DSGVO-Durchsetzung 2026

Behörde: Autoriteit Persoonsgegevens (NL), koordiniert mit FI und NO · Adressat: MLU B.V. (Yandex-Tochter, Yango-Betreiber) · Höhe: 100 Mio. Euro

Verstoß / Rechtsgrundlage: Verstöße gegen Art. 44 ff. DSGVO (Drittlandtransfers ohne ausreichende Schutzmaßnahmen) sowie Art. 32 DSGVO (technische und organisatorische Maßnahmen). Personenbezogene Daten europäischer Nutzerinnen und Nutzer wurden an Server in Russland übermittelt; die Verschlüsselungsschlüssel lagen ebenfalls in Russland.

Begründung: Standardvertragsklauseln reichten nach Auffassung der Behörden nicht aus, weil das russische „Jarowaja-Gesetz“ weitreichende Zugriffsbefugnisse für russische Sicherheitsbehörden vorsieht. Damit war ein „im Wesentlichen gleichwertiges“ Schutzniveau im Sinne von Schrems II nicht gewährleistet. Die Koordination mit FI und NO zeigt zudem die enge Abstimmung im EDSA.

Praxisfolgen: Unternehmen, die Daten an Konzerngesellschaften in Hochrisikoländern übermitteln, müssen ihr Transfer-Impact-Assessment dringend prüfen, insbesondere im Hinblick auf staatliche Zugriffsbefugnisse und die Lage der Encryption-Keys. Die Bussgeldhöhe – ein der höchsten in 2026 – setzt ein deutliches Signal für sorgfältigere Drittlandtransfers, vor allem für Cloud-Dienstleister mit Schlüssel-Management in Drittstaaten.

5.2 BVG (Berlin): formale Verwarnung wegen Auftragsverarbeiter-Kontrollmängeln

04.05.2026 · DSGVO-Scan

Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit · Adressat: Berliner Verkehrsbetriebe (BVG) · Höhe: Verwarnung (kein Bußgeld, aber förmlicher Sanktionsakt)

Verstoß / Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung) sowie Art. 32 (TOMs). Die BVG hatte ihren Dienstleister mit ungeeigneten Kontrollen begleitet; nach einem Sicherheitsvorfall war die Verantwortlichen-Pflicht zur laufenden Eignungsprüfung nicht angemessen erfüllt.

Begründung: Die Aufsicht konkretisiert die Anforderungen an Vertragspartner: Eignungsprüfung, Vorfallmeldekette, Eskalations- und Audit-Pflichten müssen dokumentiert und wirksam sein. Eine reine Vertragsklausel ohne nachgelagerte Kontrollpraxis genügt nicht.

Praxisfolgen: Unternehmen sollten ihre AV-Verträge und die laufende Kontrolle der Dienstleister neu bewerten – inklusive jährlicher Audits, Penetrationstests und Vorfall-Reportingpflichten. Sicherheitszertifikate (ISO 27001, BSI-C5, SOC 2) ersetzen Audits nicht, ergänzen sie aber. Wer aktuell einen Vorfall durch einen Auftragsverarbeiter erlebt, sollte die Berliner Linie als Maßstab nehmen.

6.1 Operation Saffron: „First VPN“ zerschlagen, 25 Ransomware-Gangs betroffen

21.05.2026 · Help Net Security · The Hacker News · TechCrunch

Zusammenfassung: Eine international koordinierte Strafverfolgung – geführt von französischen und niederländischen Behörden, mit Europol-Unterstützung – hat am 19. und 20. Mai den Dienst „First VPN“ abgeschaltet. Die Ermittler beschlagnahmten 33 Server, übernahmen mehrere Domains, einschließlich Tor-Onion-Adressen, und verhafteten den Administrator in der Ukraine. Laut FBI haben mindestens 25 Ransomware-Banden den Dienst zur Verschleierung genutzt.

Hintergrund & Einordnung: First VPN war seit 2014 aktiv und bot 32 Exit-Knoten in 27 Ländern. Die Strafverfolger hatten phasenweise vollständigen Einblick in den kriminellen Datenverkehr; betroffene Nutzer erhielten von den Behörden Hinweise auf ihre Identifizierung. Die Operation reiht sich in die Trends Operation Endgame (2024) und LockBit-Takedown (2024) ein, mit deutlicher Verschiebung Richtung Infrastruktur-Disruption.

Praxisfolgen / Handlungsempfehlung: Für Unternehmen ist relevant, dass die Strafverfolgung verstärkt Erpresser-Verkehrsdaten auswerten kann. Wer in den letzten Monaten Erpressung erlebt hat, sollte den Vorfall ergänzend an Europol und BKA melden; gegebenenfalls eröffnen sich neue Ermittlungsansätze. CISOs sollten Threat-Intelligence-Feeds nach IOCs aus der Saffron-Operation abonnieren, um eventuelle interne Vorfälle rückwirkend einzuordnen.

6.2 DACH-Cyberlage: 124 % Anstieg gegenüber Vorjahr, Deutschland Schwerpunkt

22.05.2026 · Industrial Cyber

Zusammenfassung: Eine Auswertung von Check Point Research zeichnet einen Anstieg der Cyberangriffe auf Organisationen in Deutschland, Österreich und der Schweiz um 124 Prozent gegenüber 2025. Deutschland macht inzwischen mehr als 80 Prozent der erfassten DACH-Vorfälle aus. Dominante Angriffsart sind Website-Defacements (rund 66 Prozent), getragen vor allem von prorussischen Hacktivisten-Gruppen wie NoName057(16), Dark Storm Team und Mr Hamza.

Hintergrund & Einordnung: Die Konzentration in Deutschland erklärt sich durch die wirtschaftliche Bedeutung und die politische Sichtbarkeit, insbesondere durch die Unterstützung der Ukraine. Hacktivismus ist deutlich häufiger als zielgerichtete Spionage, aber häufig Vehikel für nachfolgende Wellen wie DDoS, Ransomware oder Datenleaks. Die Bundesregierung hat zeitgleich angekündigt, einen Gesetzentwurf zur „aktiven Cyberabwehr“ durchs Kabinett zu bringen, der Sicherheitsbehörden Eingriffe in Angreifer-Infrastruktur erlauben soll.

Praxisfolgen / Handlungsempfehlung: Verantwortliche in deutschen Mittel- und Großunternehmen sollten ihre öffentlichen Webseiten gegen Defacements und DDoS härten (WAF, CDN, separate Static-Hosting-Mode), ein Krisenkommunikationsprotokoll definieren und Notfall-Pressemitteilungen vorbereiten. Wer in kritischer Infrastruktur oder geopolitisch sensiblen Sektoren tätig ist, sollte Threat-Intelligence-Feeds gegen NoName057(16) abonnieren.

6.3 ShinyHunters: anhaltende Identity-Driven-Attacks gegen SaaS-Plattformen

25.05.2026 · BleepingComputer · SC Media

Zusammenfassung: Mit Charter Communications/Spectrum (42 Mio. Datensätze) reiht sich eine weitere Großorganisation in die seit Monaten andauernde ShinyHunters-Welle ein. Der Initialzugang erfolgte über einen Voice-Phishing-Anruf, der ein Microsoft-Entra-Konto eines Mitarbeitenden kompromittierte; die Folgeaktivität betraf den Salesforce-Tenant des Unternehmens.

Hintergrund & Einordnung: ShinyHunters operiert seit 2025 verstärkt im Identitäts-Layer und nutzt Helpdesk- oder Sales-Operations-Mitarbeitende für Initialzugriffe – ein Muster, das mit dem Scattered-Spider-Vorgehen vergleichbar ist, aber auf reine Datendiebstahl-Erpressung konzentriert ist. Salesforce, Snowflake, Workday und Microsoft Entra bleiben bevorzugte Zielplattformen.

Praxisfolgen / Handlungsempfehlung: Helpdesk-Workflows mit Rückrufpflicht über interne Telefonbücher absichern; phishing-resistente MFA (FIDO2/WebAuthn) für Sales-Cloud-Zugriffe; Bulk-Export-Anomalie-Detektion; Identitäts-Threat-Detection (z. B. Microsoft Defender for Identity, Microsoft Defender for Cloud Apps); strenge Trennung zwischen Salesforce-Admin und CRM-Sales-Rollen.

6.4 Bundesregierung: „Aktive Cyberabwehr“ mit Eingriffsbefugnissen geplant

12.05.2026 · Euronews

Zusammenfassung: Innenminister Alexander Dobrindt will einen Gesetzentwurf zur aktiven Cyberabwehr durchs Kabinett bringen. Geplant sind Befugnisse für Sicherheitsbehörden, gezielt in die Infrastruktur von Angreifern einzugreifen, um deren Operationen zu stören oder zu zerschlagen. Die Initiative wird mit dem starken Anstieg der Cyberangriffe und der Bedeutung KI-gestützter Angriffe begründet.

Hintergrund & Einordnung: Die Diskussion um „Hackbacks“ reicht in Deutschland mehrere Jahre zurück; bislang scheiterten konkrete Befugnisse an verfassungs- und völkerrechtlichen Bedenken. Die jetzige Initiative verlagert den Schwerpunkt auf „defensive Disruption“ – also gezielte Sabotage der Angreifer-Infrastruktur, ohne klassische Hackback-Eskalation. Branchenvertreter und Datenschutzorganisationen mahnen Rechtsstaatlichkeit und enge Zweckbindung an.

Praxisfolgen / Handlungsempfehlung: Unternehmen, deren Infrastruktur als Sprungbrett missbraucht wird, müssen sich darauf einstellen, dass Sicherheitsbehörden im Zuge der Operationsbefugnisse verstärkt Logs anfordern oder selbst Maßnahmen einleiten. CISOs sollten ihre Beziehung zu BSI und BKA (Single Point of Contact) prüfen, Forensic-Readiness-Verträge mit IR-Dienstleistern abschließen und interne Eskalations-Pfade dokumentieren.