1. Cisco Catalyst SD-WAN Controller CVE-2026-20182 (CVSS 10.0) weiterhin aktiv ausgenutzt

Seit Montag, 19. Mai 2026 · zuletzt aktualisiert Donnerstag, 28. Mai 2026 · Score 95

Cisco hat im SD-WAN-Controller (vormals vSmart) und im Catalyst SD-WAN Manager (vormals vManage) eine maximal kritische Authentifizierungs-Bypass-Lücke geschlossen. CISA hat die Schwachstelle in den KEV-Katalog aufgenommen, die Bundes-Patchfrist ist abgelaufen; Rapid7 hält ein einsatzbereites Metasploit-Modul vor. Cisco Talos schreibt die anhaltende Aktivität mit hoher Konfidenz dem Cluster UAT-8616 zu.

Letzte Entwicklung: Cisco Talos hat das Tooling der UAT-8616-Gruppe weiter konkretisiert (XenShell, Godzilla, Behinder, AdaptixC2, Nim-Implants); europäische Incident-Response-Häuser melden anhaltende Scan-Wellen gegen ungepatchte SD-WAN-Cluster.

2. Drupal Core CVE-2026-9082 – SQL-Injection in PostgreSQL-Sites, KEV-Frist erreicht

Seit Mittwoch, 20. Mai 2026 · zuletzt aktualisiert Donnerstag, 28. Mai 2026 · Score 90

Die als „highly critical“ eingestufte SQL-Injection-Schwachstelle in Drupals Database Abstraction Layer wird flächendeckend ausgenutzt. Imperva berichtet von über 15.000 Angriffsversuchen gegen rund 6.000 Sites in 65 Ländern in den ersten 48 Stunden nach Disclosure. CISA hatte die Lücke am 22. Mai in den KEV-Katalog aufgenommen, US-Bundesbehörden hatten Frist bis gestern Abend zum Patchen.

Letzte Entwicklung: Penligent berichtet von PoC-Code, der die Lücke binnen 60 Minuten von der Erkennung bis zum funktionierenden Exploit bringt; deutsche Drupal-Betreiber sollten heute die eigene Patch-Lage gegen die fixen Versionen 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12, 11.3.10 abgleichen.

3. unimed-Datenpanne wächst auf zwölf Häuser, Kliniken benachrichtigen Betroffene

Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Donnerstag, 28. Mai 2026 · Score 88

Beim externen Abrechnungsdienstleister unimed in Wadern sind Patientendaten der Universitätskliniken Freiburg, Köln, Heidelberg, Tübingen, Ulm sowie zusätzlich der Universitätsmedizin Schleswig-Holstein, der Universitätsmedizin Mainz, des Universitätsklinikums Düsseldorf, des Universitätsklinikums des Saarlandes, des Städtischen Klinikums Karlsruhe, der ViDia Kliniken Karlsruhe und des Klinikums Mittelbaden abgegriffen worden. Der Angriff fand im April statt, die Veröffentlichung des Umfangs zog sich bis Ende Mai.

Letzte Entwicklung: Das Klinikum Karlsruhe veröffentlicht konkrete Zahlen (rund 4.100 Personen, davon 1.100 Gesundheitsdaten, vier IBAN-Treffer); Sectank ordnet den Vorfall als Lieferketten-Systemversagen ein, das die TOM-Pflicht in der Auftragsverarbeitung neu schärft.

4. LiteSpeed cPanel-Plugin CVE-2026-48172 (CVSS 10.0) – Privilege Escalation aktiv ausgenutzt

Seit Dienstag, 26. Mai 2026 · zuletzt aktualisiert Donnerstag, 28. Mai 2026 · Score 90

CISA hat die Maximalkritisch-Lücke im LiteSpeed-User-End-cPanel-Plugin am 26. Mai in den KEV-Katalog aufgenommen; FCEB-Behörden hatten Frist bis morgen, 29. Mai. Über die Funktion lsws.redisAble lassen sich beliebige Skripte mit Root-Rechten ausführen – brisant in Shared-Hosting-Umgebungen, in denen ein einziger kompromittierter cPanel-Account zur vollständigen Server-Übernahme genügt.

Letzte Entwicklung: Hostingbetreiber raten zum sofortigen Upgrade auf LiteSpeed-WHM-Plugin 5.3.1.0 mit cPanel-Plugin 2.4.7 oder neuer; einfacher Erkennungstest: grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/.

5. MLU B.V. (Yandex/Yango): 100 Mio. EUR DSGVO-Bußgeld für Russland-Transfers

Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Donnerstag, 28. Mai 2026 · Score 85

Die niederländische Autoriteit Persoonsgegevens hat – koordiniert mit der finnischen und der norwegischen Aufsicht – ein Bußgeld von 100 Mio. Euro gegen die MLU B.V. (Yandex/Yango) verhängt. Personenbezogene Daten europäischer Nutzerinnen und Nutzer wurden an Server in Russland übermittelt, die Verschlüsselungs-Keys lagen in Russland.

Letzte Entwicklung: Der Fall bleibt im europäischen Enforcement-Tracker die Referenz für unzulässige Drittlandtransfers an Hochrisikoempfänger; deutsche Verantwortliche mit russischen Konzern-Verflechtungen sollten ihr Transfer-Impact-Assessment erneut prüfen.

1.1 Klinikum Karlsruhe: unimed-Datenpanne betrifft rund 4.100 Patientinnen und Patienten

27.05.2026 · Klinikum Karlsruhe · BNN

Zusammenfassung: Das Städtische Klinikum Karlsruhe hat in einer offiziellen Mitteilung den Umfang der über unimed abgeflossenen Daten konkretisiert. Demnach sind rund 4.100 Patientinnen und Patienten betroffen, in etwa 1.100 Fällen einschließlich Gesundheitsdaten und in vier Fällen einschließlich IBAN-Daten. Die Klinik betont, dass die hausinterne IT-Infrastruktur nicht kompromittiert worden ist und benachrichtigt die Betroffenen schriftlich.

Hintergrund & Einordnung: Der unimed-Vorfall reiht sich in eine Kette von Datenpannen ein, die das Gesundheitswesen über externe Abrechnungs- und IT-Dienstleister erreichen. Mit Karlsruhe, ViDia und Mittelbaden wächst die Zahl der betroffenen Häuser auf inzwischen mehr als zwölf; das Ärzteblatt schätzt die Gesamtzahl der Betroffenen auf weit über 120.000. Der Angriff selbst fand bereits im April statt; die schrittweise Veröffentlichung des Umfangs durch die einzelnen Häuser folgt der Auswertung der von unimed bereitgestellten Listen.

Praxisfolgen / Handlungsempfehlung: Verantwortliche im Gesundheitssektor sollten ihre Auftragsverarbeitungs-Verträge mit Abrechnungsdienstleistern auf Audit-, TOM- und Meldepflichten überprüfen und für die nächsten Wochen eine erhöhte Wachsamkeit gegen Folge-Phishing einplanen, das sich auf die Betroffenenbriefe stützt. Patientinnen und Patienten, die einen entsprechenden Brief erhalten, sollten Rechnungen und SEPA-Lastschrift-Eingänge sorgfältig prüfen und unaufgeforderte Anrufe zum Vorfall ignorieren.

1.2 Sectank-Analyse: unimed-Vorfall als Lieferketten-Systemversagen

27.05.2026 · Sectank-Magazin

Zusammenfassung: Sectank ordnet den unimed-Vorfall als systemisches Versagen in der Gesundheits-Lieferkette ein. Die Analyse betont, dass die hauseigene Krankenhaus-IT zwar funktioniert habe, die Verantwortung für Stammdaten- und Diagnose-Datensätze aber bei einem externen Spezialdienstleister konzentriert war, dessen Sicherheitsniveau die Kliniken weder regelmäßig auditierten noch wirksam steuern konnten.

Hintergrund & Einordnung: Die DSGVO weist die Verantwortung im Außenverhältnis dem Verantwortlichen zu (Art. 28 DSGVO, Auftragsverarbeitung; Art. 32 DSGVO, TOMs). In der Praxis übernehmen Kliniken jedoch häufig die TOM-Erklärungen ihrer Dienstleister, ohne sie aktiv zu prüfen. Der unimed-Fall zeigt, wie schnell ein einzelner kompromittierter Auftragsverarbeiter zur Mehrhausentscheidung über zehntausende Patientendatensätze wird.

Praxisfolgen / Handlungsempfehlung: Verantwortliche im Gesundheits- und Sozialsektor sollten ihre Auftragsverarbeiter-Inventare aktualisieren, Audit-Rechte tatsächlich ausüben und in den nächsten 90 Tagen einen risikobasierten TOM-Review mit Fokus auf API-Schlüssel-Management, Backups und Datenexport-Telemetrie durchführen. Aufsichtsbehörden – allen voran LfDI BW und HmbBfDI – prüfen bereits entlang der gesamten Auftragsverarbeitungs-Kette.

1.3 Bundeskabinett beschließt Cybersicherheitsgesetz mit erweiterten BSI-Befugnissen

27.05.2026 · Bundesregierung · t-online · IT-Business

Zusammenfassung: Das Bundeskabinett hat am 27. Mai 2026 einen Entwurf für ein Gesetz zur Stärkung der Cybersicherheit beschlossen. Vorgesehen sind erweiterte Befugnisse für das BSI, das Bundeskriminalamt und die Bundespolizei: das BSI soll auf Antrag in Systemen einer Institution nach Vorbereitungshandlungen suchen, gegen schadhafte Internet-Domains vorgehen und Datenströme umleiten dürfen. Verboten werden kann auch der Betrieb gefährdender IT-Systeme; Gegenmaßnahmen sind teils ohne Wissen der Betroffenen zulässig. Für die Aufgabenwahrnehmung sind 37 zusätzliche Stellen geplant.

Hintergrund & Einordnung: Der Entwurf reagiert auf die seit dem Cybersicherheitsmonitor 2026 dokumentierte Bedrohungslage – jeder vierte deutsche Internetnutzer wurde bereits Opfer von Cyberkriminalität – und ergänzt das im Dezember 2025 in Kraft getretene NIS2-Umsetzungsgesetz um operative Eingriffsbefugnisse. Bisher fehlten dem BSI rechtsklare Grundlagen für aktive Cyber-Abwehrmaßnahmen jenseits beratender Funktionen.

Praxisfolgen / Handlungsempfehlung: Datenschutzverantwortliche sollten ihre Verfahrensverzeichnisse und Schnittstellen für staatliche Datenanforderungen aktualisieren; insbesondere die Frage, wie Eingriffe „ohne Wissen der Betroffenen“ mit Art. 13/14 DSGVO und Betriebsvereinbarungen zur Beschäftigtenkontrolle vereinbar sind, gehört in die Beratung von Vorständen und Personalvertretungen. Die parlamentarische Beratung steht noch aus; Verbände sollten ihre Stellungnahmen in der Anhörungsphase frühzeitig einreichen.

2.1 FBI-FLASH: Silent Ransom Group sucht US-Anwaltskanzleien physisch auf

26./27.05.2026 · FBI IC3 FLASH (PDF) · BleepingComputer · Help Net Security

Zusammenfassung: Das FBI hat am 26. Mai eine FLASH-Warnung herausgegeben, wonach die Silent Ransom Group (auch Luna Moth, Chatty Spider, UNC3753) inzwischen physisch in den Geschäftsräumen US-amerikanischer Anwaltskanzleien auftaucht, sobald telefonische Vishing-Versuche scheitern. Die Angreifer geben sich als interner IT-Support aus, fordern Remote-Desktop-Zugriff oder stecken vor Ort einen USB-Stick zur Datenausleitung an. Mehr als 38 Kanzleien wurden bereits auf der Leak-Seite der Gruppe veröffentlicht, Researcher sprechen von über 100 Vorfällen.

Hintergrund & Einordnung: Die Eskalation ins Physische ist ein neues Muster, das die Grenzen zwischen Cyber- und klassischer Wirtschaftsspionage verwischt. Das FBI nennt unter anderem die Kanzlei Orrick, Herrington & Sutcliffe (>1,5 Mrd. USD Jahresumsatz), deren Daten nach abgelehnter Lösegeldforderung im Januar 2026 veröffentlicht wurden. Für deutsche Kanzleien, Notariate und Wirtschaftsprüfer sollte das ein Anlass sein, Empfangs- und Service-Desk-Prozesse zu härten.

Praxisfolgen / Handlungsempfehlung: Das FBI empfiehlt unter anderem Lichtbildausweis-Kontrolle, Rückruf an die interne IT-Hotline, USB-Sperren auf Endgeräten mit sensiblen Daten, das Blockieren von Port 22 wo möglich, phishing-resistente MFA und regelmäßige Offline-Backups. Deutsche Verantwortliche sollten den FLASH-Text als Vorlage in den eigenen Incident-Response-Playbooks ergänzen und Empfangs- und Reinigungspersonal entsprechend schulen.

2.2 Daemon Tools Lite CVE-2026-8398: Supply-Chain-Angriff über offizielle Installer

27.05.2026 · CISA-Alert · The Hacker News · Help Net Security

Zusammenfassung: CISA hat am 27. Mai die Schwachstelle CVE-2026-8398 in Daemon Tools Lite in den KEV-Katalog aufgenommen. Seit dem 8. April waren die offiziellen Installer der Versionen 12.5.0.2421 bis 12.5.0.2434 mit Hintertüren versehen. Die Schwachstelle hat hohen Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Systeme. Daemon Tools wird im IT-Umfeld breit für ISO-/Image-Mounting eingesetzt.

Hintergrund & Einordnung: Der Vorfall reiht sich in die Mai-Welle von Supply-Chain-Kompromittierungen ein, die CISA am gleichen Tag um TanStack (CVE-2026-45321) und Nx Console (CVE-2026-48027) erweitert hat. Gemeinsamer Nenner: Statt klassischer Exploits gegen exponierte Dienste nutzen Angreifer den Vertrauenskanal regulärer Software-Distribution. Helpnetsecurity hatte den Daemon-Tools-Vorfall bereits am 6. Mai analysiert.

Praxisfolgen / Handlungsempfehlung: Endpoint-Inventare auf installierte Daemon-Tools-Versionen prüfen; betroffene Builds deinstallieren und das System anschließend forensisch nach Persistenz und C2-Indikatoren scannen. Allowlisting-Regeln in EDR-Lösungen sollten unsignierte oder neuere unbekannte Installer von Image-Mount-Software künftig generell auffällig machen.

2.3 Microsoft Exchange OWA CVE-2026-42897: Mitigation bleibt Pflicht

28.05.2026 · Microsoft Exchange Team Blog · CISA-Alert

Zusammenfassung: Microsoft hat für die seit dem 14. Mai aktiv ausgenutzte Spoofing/XSS-Schwachstelle CVE-2026-42897 in Exchange Outlook Web Access weiterhin keinen regulären Patch veröffentlicht; die automatische Mitigation über den Exchange-EM-Service M2.1.0 bleibt der einzige Schutz. Betroffen sind die On-Prem-Versionen Subscription Edition RTM, 2019 und 2016. CISA hatte die Lücke am 15. Mai in den KEV-Katalog aufgenommen, FCEB-Frist ist der 5. Juni.

Hintergrund & Einordnung: Die Lücke erlaubt es Angreifern, mit einer präparierten Mail JavaScript im OWA-Kontext eines Nutzers auszuführen – damit lassen sich Session-Tokens stehlen und Mailbox-Inhalte exfiltrieren. Exchange Online ist nicht betroffen. Deutsche Verantwortliche, die On-Prem-Exchange betreiben, sollten in den nächsten Wochen mit weiterer Eskalation rechnen, sobald öffentliche PoCs auftauchen.

Praxisfolgen / Handlungsempfehlung: Aktiv prüfen, dass M2.1.0 im Exchange-EM-Service tatsächlich ausgerollt ist; Mailgateways auf eingehende Mails mit verdächtigen HTML-/SVG-Payloads schärfen; OWA-Logs auf ungewöhnliche Session-Übernahmen monitoren. Wenn ein Patch verfügbar wird, hat dieser Vorrang vor dem regulären Patch-Fenster.

2.4 Microsoft Defender CVE-2026-41091 / CVE-2026-45498: aktive Ausnutzung, KEV-Frist 3. Juni

28.05.2026 · Help Net Security · CISA-Alert

Zusammenfassung: Die lokale Privilegieneskalation CVE-2026-41091 (CVSS 7.8) und die Defender-DoS-Lücke CVE-2026-45498 werden in der Wildnis ausgenutzt. CISA hat die Schwachstellen am 20. Mai in den KEV-Katalog aufgenommen, die Patchfrist für US-Bundesbehörden läuft am 3. Juni. Behoben in Antimalware Platform 1.1.26040.8 bzw. 4.18.26040.7.

Hintergrund & Einordnung: CVE-2026-41091 nutzt eine fehlerhafte Symlink-Auflösung in der Malware Protection Engine, um lokal SYSTEM-Rechte zu erlangen; CVE-2026-45498 erlaubt das gezielte Stilllegen des Defender-Schutzes als Vorbereitung für weitere Angriffe. Huntress hatte Telemetrie zu zielgerichteten Angriffen auf den Verwaltungs- und Bildungssektor veröffentlicht.

Praxisfolgen / Handlungsempfehlung: Endgeräte- und Server-Inventare auf den jeweiligen Defender-Plattform-Build prüfen; Auto-Update sicherstellen, in Air-Gap-Umgebungen die Definition manuell verteilen. EDR-Telemetrie auf plötzliche Defender-Service-Abbrüche und Symlink-Anomalien im ProgramData-Pfad monitoren.

3.1 LiteSpeed cPanel-Plugin CVE-2026-48172 (CVSS 10.0) – Root-Eskalation aktiv ausgenutzt

26./27.05.2026 · CISA-Alert · The Hacker News · BleepingComputer

Zusammenfassung: CISA hat die Maximalkritisch-Schwachstelle CVE-2026-48172 im LiteSpeed-User-End-cPanel-Plugin am 26. Mai in den KEV-Katalog aufgenommen und FCEB-Behörden eine viertägige Patchfrist gesetzt (29. Mai). Über die Funktion lsws.redisAble lassen sich beliebige Skripte mit Root-Rechten ausführen; betroffen sind alle Plugin-Versionen 2.3 bis 2.4.4.

Hintergrund & Einordnung: In Shared-Hosting-Umgebungen wird die Lücke besonders brisant, weil ein einzelner kompromittierter cPanel-Account ausreicht, um den gesamten Server samt aller mitgehosteten Websites zu übernehmen. CyCognito ordnet die Schwachstelle als Cluster-Risiko ein: ein erfolgreicher Angriff exponiert Hunderte Kundendomains gleichzeitig. Heise hat die Lücke ebenfalls dokumentiert.

Praxisfolgen / Handlungsempfehlung: LiteSpeed empfiehlt das Upgrade auf das WHM-Plugin 5.3.1.0 mit cPanel-Plugin v2.4.7 oder höher. Logs lassen sich mit grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ auf Exploit-Versuche prüfen. Hosting-Anbieter sollten ihre Kunden aktiv informieren und im Zweifel die Plugin-Versionen serverseitig vorab ausrollen.

3.2 Cisco Catalyst SD-WAN CVE-2026-20182: Talos konkretisiert UAT-8616-Tooling

28.05.2026 · Cisco Talos · Cisco Security Advisory · Rapid7

Zusammenfassung: Cisco Talos hat die Aktivität rund um den seit dem 19. Mai bekannten Authentifizierungs-Bypass im Cisco Catalyst SD-WAN Controller weiter aufgeschlüsselt. Die Angriffsgruppe UAT-8616 setzt ein breites Tooling ein – XenShell, Godzilla, Behinder, AdaptixC2 und Nim-Implants. Europäische CSIRTs melden anhaltende Scan-Wellen gegen ungepatchte Cluster.

Hintergrund & Einordnung: Die Schwachstelle CVE-2026-20182 in der DTLS-Peering-Authentifizierung (UDP 12346) ist mit CVSS 10.0 maximal kritisch. Rapid7 hält ein Metasploit-Modul vor, was die Latenz zwischen Patch-Lücke und Exploit minimal hält. Patch-Zweige 20.9.9.1, 20.12.7.1, 20.15.5.2, 20.18.2.2 und 26.1.1.1 sind verfügbar; Workarounds ersetzen keinen vollständigen Patch.

Praxisfolgen / Handlungsempfehlung: SD-WAN-Bestände gegen die genannten Patch-Stände abgleichen; bei ungepatchten Clustern UDP-12346-Exposition prüfen und im Zweifel temporär abschotten. EDR-Profile und IDS-Signaturen sollten auf die Talos-IoCs (XenShell, Godzilla, Behinder, AdaptixC2, Nim-Implants) erweitert werden.

3.3 7-Zip CVE-2026-48095 (CVSS 8.8): Heap-Overflow im NTFS-Handler, Patch in 26.01

27.05.2026 · Borncity · heise online · SOC Prime

Zusammenfassung: In 7-Zip 26.00 lässt sich über präparierte NTFS-Streams ein Heap-basierter Pufferüberlauf provozieren (CVE-2026-48095, CVSS 8.8). Die Schwachstelle liegt in der Funktion CInStream::GetCuSize() im NtfsHandler.cpp; ein 32-Bit-Shift mit Werten ClusterSizeLog >= 28 und CompressionUnit == 4 führt zu undefiniertem Verhalten in C++.

Hintergrund & Einordnung: Brisant ist, dass die signaturbasierte Fallback-Logik von 7-Zip präparierte Dateien auch unter den Endungen .7z, .zip oder .rar in den NTFS-Handler routet, sobald andere Handler scheitern. Damit erweitert sich die Angriffsfläche auf typische Phishing- und Social-Engineering-Lieferketten. Ein öffentlicher PoC (gen_ntfs_sparse.py) ist verfügbar.

Praxisfolgen / Handlungsempfehlung: Sofortiges Update auf 7-Zip 26.01 oder neuer über die Software-Verteilung; bei Verteilung über Drittprozesse die Hash-Werte der offiziellen Binaries verifizieren. Mail-Gateways sollten Archiv-Anhänge unbekannter Herkunft weiterhin sandboxed öffnen.

3.4 Drupal Core CVE-2026-9082: KEV-Frist abgelaufen, Angriffslage bleibt hoch

28.05.2026 · Drupal Security Advisory SA-CORE-2026-004 · Security Affairs · Tenable

Zusammenfassung: Die als „highly critical“ eingestufte SQL-Injection-Schwachstelle in Drupal Core (PostgreSQL) wird weiterhin breit ausgenutzt. CISA hatte die Lücke am 22. Mai in den KEV-Katalog aufgenommen, die Frist für US-Behörden lief gestern (27. Mai) ab. Imperva-Telemetrie zählt für die ersten 48 Stunden mehr als 15.000 Angriffsversuche gegen rund 6.000 Sites in 65 Ländern.

Hintergrund & Einordnung: Anonyme Angreifer können über präparierte Anfragen beliebige SQL-Anweisungen einschleusen; Informationsabfluss, Privilegieneskalation und teilweise RCE sind möglich. Penligent dokumentiert PoC-Workflows, die in unter 60 Minuten von der Erkennung bis zum funktionierenden Exploit kommen. Auf MySQL/MariaDB ist die Site laut Maintainer nicht betroffen.

Praxisfolgen / Handlungsempfehlung: Sofortige Aktualisierung auf 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12 oder 11.3.10. WAF-Regeln gegen JSON:API-Payloads aktivieren und Datenbank-Logs auf ungewöhnliche EntityQuery-Conditions prüfen. Hosting-Provider deutscher Kommunen sollten Patch-Stände heute aktiv nachverfolgen.

3.5 Trend Micro Apex One CVE-2026-34926: KEV-Frist 4. Juni

28.05.2026 · CISA-Alert · Help Net Security · BleepingComputer

Zusammenfassung: Die Directory-Traversal-Schwachstelle CVE-2026-34926 in Apex One On-Premise wird laut Trend Micro mindestens in einem dokumentierten Versuch in der Wildnis ausgenutzt. CISA hat die Lücke in den KEV-Katalog aufgenommen, die Frist für US-Bundesbehörden läuft am 4. Juni. Fixes stehen über SP1 Critical Patch Build 18012 bzw. Build 17079 bereit.

Hintergrund & Einordnung: Die Schwachstelle sitzt auf der Management-Konsole und kann zur Verteilung von Schadcode an die geschützten Endpunkte missbraucht werden – ein klassisches „Hijack the Defender“-Szenario. Trend Micro empfiehlt zusätzlich erhöhtes Logging auf die betroffenen Konsolen.

Praxisfolgen / Handlungsempfehlung: Apex-One-On-Prem-Bestände gegen die Patch-Stände abgleichen; Management-Konsolen aus dem Internet nehmen und nur über VPN/Zero-Trust-Zugriff erreichbar machen. Endpoint-Logs für die kommenden zwei Wochen auf ungewöhnliche Policy-Verteilungen monitoren.

4.1 EuGH C-526/24 (Brillen Rottler): Erster DSGVO-Auskunftsantrag kann „exzessiv“ sein

EuGH · 19.03.2026 (in Mai 2026 ausgewertet) · C-526/24 · LTO · delegedata · Haufe

Sachverhalt: Ein Verbraucher hatte über einen Dienstleister eine Vielzahl gleichartiger Auskunftsbegehren nach Art. 15 DSGVO an Unternehmen versandt; eines davon richtete sich gegen das Optikunternehmen Brillen Rottler. Das Unternehmen lehnte die Auskunft als „offenkundig unbegründet oder exzessiv“ ab.

Entscheidung: Der EuGH entschied, dass auch ein erstmaliger Auskunftsantrag als „exzessiv“ abgelehnt werden kann, wenn er erkennbar nicht in gutem Glauben gestellt wird. Pauschale Ablehnungen reichen jedoch nicht; den Missbrauch trägt der Verantwortliche im Einzelfall darzulegen und zu beweisen.

Begründungs-Kernpunkte: Der EuGH stützt sich auf den Wortlaut des Art. 12 Abs. 5 DSGVO sowie auf die Erwägungsgründe und betont, dass die Auskunftsrechte nicht zu Massen- oder Schikanezwecken zweckentfremdet werden dürfen. Schadensersatzansprüche nach Art. 82 DSGVO bleiben grundsätzlich möglich, sind aber an einen tatsächlich eingetretenen Schaden geknüpft.

Praxisfolgen: Unternehmen sollten ihren Workflow für Auskunftsersuchen neu strukturieren: standardisierte Identitäts- und Plausibilitätsprüfung, Dokumentation auffälliger Massen- oder Servicemuster, schriftliche Begründung bei Ablehnung. Verbraucherinnen und Verbraucher sollten ihre Anträge schriftlich, mit klarer Identität und nachvollziehbarem Zweck stellen, um die formellen Voraussetzungen einzuhalten.

4.2 KG Berlin 30.04.2026 – 20 VKl 1/25: SOMI ./. X – DSGVO-Sammelklage unzulässig

KG Berlin · 30.04.2026 · 20 VKl 1/25 · Pressemitteilung KG Berlin

Sachverhalt: Die Stiftung Stiftung Online-Privatsphäre (SOMI) hatte gegen X (vormals Twitter) eine Abhilfeklage nach VDuG erhoben und für jeden deutschen X-Nutzer mindestens 750 € sowie zusätzliche 250 € pro nachgewiesenem Datenleck-Bezug verlangt.

Entscheidung: Das KG Berlin hat die Klage als unzulässig abgewiesen. Die Ansprüche seien nicht „im Wesentlichen gleichartig“ im Sinne des § 15 Abs. 1 VDuG, weil Kontrollverlust und schadensvergrößernde Umstände vom Einzelfall abhängig sind.

Begründungs-Kernpunkte: Das Gericht betont die individualisierte Natur von DSGVO-Schadensersatzansprüchen nach Art. 82 DSGVO und sieht damit das Modell zentralisierter Stiftungs-Sammelklagen für solche Ansprüche kritisch.

Praxisfolgen: Verbraucherinnen und Verbraucher müssen ihre Schadensersatzansprüche im Datenschutzrecht weiterhin individuell geltend machen; kollektive Durchsetzung über das VDuG ist nur unter strengeren Anforderungen möglich. Plattformen können sich auf das Urteil stützen, sollten aber im Blick behalten, dass die Anforderungen an Einzelklagen damit nicht erleichtert werden.

4.3 VG Berlin 06.05.2026 – VG 42 K 73/25: Ausweis­kontrollen in Berliner Sommerbädern zulässig

VG Berlin · 06.05.2026 · VG 42 K 73/25 · Pressemitteilung VG Berlin · LTO

Sachverhalt: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte den Berliner Bäder-Betrieben Ausweis­kontrollen ab 14 Jahren und punktuelle Videoüberwachung in fünf Sommerbädern beanstandet. Die Bäder-Betriebe klagten gegen die Verwarnung.

Entscheidung: Das VG Berlin hat die Verwarnung aufgehoben und beide Maßnahmen für datenschutzkonform erklärt. Das Urteil ist noch nicht rechtskräftig.

Begründungs-Kernpunkte: Das Gericht stellt auf eine konkrete Sicherheitslage in den Bädern ab (dokumentierte Vorfälle der vergangenen Jahre) und auf die niedrige Eingriffsintensität der Maßnahmen: Ausweisdaten werden nicht dokumentiert, Videoaufnahmen nur 72 Stunden gespeichert. Im Rahmen der Abwägung überwiegen Leben, Gesundheit und Freiheit der Badegäste den Datenschutz-Eingriff.

Praxisfolgen: Betreiber öffentlicher Einrichtungen können das Urteil als Argumentationsmuster nutzen, wenn sie videobasierte Sicherheitsmaßnahmen einführen; sie müssen jedoch die konkrete Risikolage dokumentieren und die Eingriffsintensität (Speicherdauer, Sichtbereiche) nachvollziehbar begrenzen. Aufsichtsbehörden werden ihre Beanstandungspraxis nach Rechtskraft des Urteils anpassen.

5.1 MLU B.V. (Yandex/Yango): 100 Mio. EUR Bußgeld für Drittlandtransfers

21.05.2026 · Kiteworks-Analyse · Datenschutzkanzlei Bußgeldradar

Behörde: Niederländische Autoriteit Persoonsgegevens (AP), koordiniert mit FI und NO · Adressat: MLU B.V. (Yandex/Yango-Konzern) · Höhe: 100 Mio. EUR.

Verstoß / Rechtsgrundlage: Verstoß gegen Art. 44 ff. DSGVO (Drittlandübermittlung). Personenbezogene Daten europäischer Nutzerinnen und Nutzer wurden an Server in Russland übermittelt; Verschlüsselungs-Keys lagen ebenfalls in Russland.

Begründung: Die AP sieht keine angemessenen Garantien nach Art. 46 DSGVO und keine Ausnahmen nach Art. 49. Insbesondere die örtliche Verfügbarkeit der Keys macht jede technische Schutzmaßnahme wirkungslos. Die Koordination mit der finnischen und der norwegischen Aufsicht unterstreicht den europäischen Konsens zur Bewertung russischer Datenflüsse.

Praxisfolgen: Deutsche Verantwortliche mit russischen Konzern-Verflechtungen oder Auftragsverarbeitern in der CIS-Region sollten ihre Transfer-Impact-Assessments erneut prüfen und insbesondere die Verfügbarkeit der Schlüssel sowie behördliche Zugriffsmöglichkeiten dokumentieren.

5.2 BfDI: 45 Mio. EUR Gesamtbußgeld gegen Vodafone bestätigt

Mai 2026 (34. Tätigkeitsbericht) · BfDI-Pressemitteilung · legaldata

Behörde: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) · Adressat: Vodafone GmbH · Höhe: 45 Mio. EUR (15 Mio. + 30 Mio.).

Verstoß / Rechtsgrundlage: 15 Mio. EUR wegen mangelhafter Auftragsverarbeiter-Kontrolle nach Art. 28 DSGVO; 30 Mio. EUR wegen Sicherheitsmängeln im „MeinVodafone“-Authentifizierungsprozess nach Art. 32 DSGVO.

Begründung: Massenwirkung entstand durch Übernahmen von Kundenkonten und Beeinträchtigungen von Telekommunikationsdiensten. Die BfDI betont, dass strukturelle Mängel in den TOMs und Verantwortungsketten den Ausschlag gegeben haben.

Praxisfolgen: Telekommunikations- und Plattformanbieter sollten ihre Authentifizierungsverfahren auf Account-Takeover-Risiken untersuchen und die Steuerung der Auftragsverarbeiter über den Vertrag hinaus stützen (Audit-Programme, Kennzahlenberichte, technische Stichproben).

5.3 Berliner Datenschutz: Verwarnung gegen BVG nach Auftragsverarbeiter-Vorfall

04.05.2026 · dsgvoscan

Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) · Adressat: Berliner Verkehrsbetriebe (BVG) · Höhe: Verwarnung (keine Geldbuße).

Verstoß / Rechtsgrundlage: Mangelhafte Organisation der Auftragsverarbeitung (Art. 28, 32 DSGVO) im Zusammenhang mit einem Cyberangriff auf einen Dienstleister.

Begründung: Die BlnBDI kommt zu dem Ergebnis, dass die BVG ihre Steuerung des Dienstleisters strukturell nicht ausreichend ausgestaltet hatte. Eine formale Verwarnung soll die Wiederholung verhindern.

Praxisfolgen: Verkehrsunternehmen und vergleichbare Verantwortliche sollten ihre Auftragsverarbeiter-Inventare aktualisieren und insbesondere Prüfrechte aktiv ausüben statt sich auf vertragliche Zusagen zu verlassen. Verwarnungen ohne Geldbuße bleiben dokumentationsrechtlich relevant und können in Folgevorfällen den Schärfegrad nachfolgender Maßnahmen erhöhen.

6.1 Bundeskabinett: Cybersicherheitsgesetz mit erweiterten Befugnissen für BSI, BKA und Bundespolizei

27.05.2026 · Bundesregierung · t-online

Zusammenfassung: Das Bundeskabinett hat den Entwurf eines Gesetzes zur Stärkung der Cybersicherheit beschlossen. Das BSI erhält das Recht, auf Antrag in Systemen einer Institution nach Vorbereitungshandlungen für Cyberangriffe zu suchen und diese zu identifizieren; gegen schadhafte Domains darf das BSI aktiv vorgehen. Die Befugnisse umfassen das Verbot des Betriebs gefährdender IT-Systeme sowie das Umleiten und Verändern von Datenverkehr, in Konfliktfällen auch ohne Wissen der Betroffenen.

Hintergrund & Einordnung: Die Reform ergänzt das im Dezember 2025 in Kraft getretene NIS2-Umsetzungsgesetz um operative Eingriffsbefugnisse. Bisher fehlten dem BSI klare Rechtsgrundlagen für Maßnahmen jenseits beratender Funktionen. Für die zusätzlichen Aufgaben sind 37 Planstellen vorgesehen; die Bundespolizei und das BKA erhalten parallel ein erweitertes Werkzeug für die Strafverfolgung.

Praxisfolgen / Handlungsempfehlung: Betreiber wesentlicher und besonders wichtiger Einrichtungen sollten ihre Meldewege gegenüber dem BSI dokumentieren und Eskalationspläne entwerfen, die das neue Eingriffsspektrum berücksichtigen. Bürgerrechts- und Wirtschaftsverbände sollten sich auf die parlamentarische Anhörung vorbereiten und insbesondere die Verhältnismäßigkeits- und Transparenzanforderungen kommentieren.

6.2 FBI-FLASH zur Silent Ransom Group: physisches Social Engineering

26.05.2026 · FBI IC3 FLASH (PDF) · The Register

Zusammenfassung: Das FBI hat am 26. Mai eine FLASH-Warnung herausgegeben, wonach die Silent Ransom Group (Luna Moth / Chatty Spider / UNC3753) ihre Vorgehensweise um physische Besuche in den Geschäftsräumen US-amerikanischer Anwaltskanzleien erweitert. Die Akteure geben sich als interner IT-Support aus und versuchen, Remote-Zugriff zu erhalten oder USB-Sticks anzuschließen.

Hintergrund & Einordnung: Die Gruppe ist seit 2022 aktiv und hat in den USA bereits mehr als 38 Kanzleien öffentlich gemacht; Researcher sprechen von über 100 Vorfällen seit Anfang 2026. Für deutsche Kanzleien, Notariate und Wirtschaftsprüfer ist das ein Warnsignal: Was in den USA funktioniert, wird perspektivisch auch hier versucht werden.

Praxisfolgen / Handlungsempfehlung: Empfangs- und Service-Desk-Prozesse härten, Lichtbildausweis-Kontrolle und Rückruf an die interne IT-Hotline verbindlich machen, USB-Sperren auf Endgeräten mit sensiblen Daten setzen, Port 22 dort blockieren, wo Remote-Administration über andere Wege möglich ist, und phishing-resistente MFA flächendeckend einführen.

6.3 SAP Security Patch Day Mai 2026: 15 Notes, zwei kritisch

12./13.05.2026 · BleepingComputer · SecurityBridge · SecurityWeek

Zusammenfassung: SAP hat am 12. Mai 2026 insgesamt 15 Security Notes veröffentlicht. Zwei Schwachstellen sind als kritisch eingestuft: eine SQL-Injection in S/4HANA Enterprise Search for ABAP (CVSS 9.6) sowie eine Konfigurations-Schwachstelle in Commerce Cloud, die unauthentifizierten Angreifern beliebige serverseitige Code-Ausführung ermöglicht. Eine weitere Schwachstelle in SAP Forecasting and Replenishment (CVE-2026-34259, CVSS 8.2) ist als „hoch“ eingestuft.

Hintergrund & Einordnung: SAP-Notes erreichen mit Mai 2026 wieder die Kern-ERP-Schnittstellen, internetfähige Commerce-Komponenten, Supply-Chain-Planung und SAP-Entwicklerwerkzeuge. Aktive Ausnutzung in der Wildnis ist zum Veröffentlichungszeitpunkt nicht dokumentiert.

Praxisfolgen / Handlungsempfehlung: SAP-Stacks im Mai-Patchzyklus priorisieren; bei S/4HANA insbesondere die ABAP-Enterprise-Search überprüfen und die Authentifizierungs-Logik der Commerce Cloud (Spring-Security-Konfiguration) revalidieren. SAP-Entwickler-Tools sollten von Internet-Exposition genommen werden.