1. Cisco Catalyst SD-WAN CVE-2026-20182 (CVSS 10.0) – anhaltende Ausnutzung

Seit Montag, 19. Mai 2026 · zuletzt aktualisiert Donnerstag, 28. Mai 2026 · Score 95

Die Maximalkritisch-Lücke im SD-WAN-Controller und im Catalyst SD-WAN Manager wird weiterhin aktiv ausgenutzt. CISA hat die Schwachstelle in den KEV-Katalog aufgenommen, US-Behörden mussten die Patchfrist einhalten; Cisco Talos schreibt die Aktivität mit hoher Konfidenz dem Cluster UAT-8616 zu.

Letzte Entwicklung: Cisco Talos konkretisiert das Tooling der UAT-8616-Gruppe (XenShell, Godzilla, Behinder, AdaptixC2, Nim-Implants); europäische Incident-Response-Häuser melden anhaltende Scan-Wellen gegen ungepatchte SD-WAN-Cluster.

2. Drupal Core CVE-2026-9082 – flächendeckende Ausnutzung gegen PostgreSQL-Sites

Seit Mittwoch, 20. Mai 2026 · zuletzt aktualisiert Donnerstag, 28. Mai 2026 · Score 90

Die als „highly critical“ eingestufte SQL-Injection in Drupals Database Abstraction Layer wird flächendeckend gegen PostgreSQL-Sites ausgenutzt. Imperva berichtet von über 15.000 Angriffsversuchen gegen rund 6.000 Sites in 65 Ländern in den ersten 48 Stunden. CISA hat die Lücke am 22. Mai in den KEV-Katalog aufgenommen.

Letzte Entwicklung: Penligent dokumentiert einen PoC, der binnen 60 Minuten von Erkennung zu lauffähigem Exploit kommt; deutsche Drupal-Betreiber sollten den Patchstand gegen 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12 oder 11.3.10 abgleichen.

3. unimed-Datenpanne: zwölf Häuser, über 120.000 Betroffene

Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Freitag, 29. Mai 2026 · Score 88

Beim externen Abrechnungsdienstleister unimed in Wadern wurden Patientendaten der Universitätskliniken Freiburg, Köln, Heidelberg, Tübingen, Ulm, Mainz, Düsseldorf, des Universitätsklinikums des Saarlandes, des UKE Hamburg sowie der kommunalen Häuser Karlsruhe, ViDia und Mittelbaden abgegriffen. Allein das UKE meldet über 5.000 Fälle; die Gesamtzahl der Betroffenen liegt jenseits der 120.000-Marke.

Letzte Entwicklung: Das Klinikum Karlsruhe quantifiziert seinen Anteil (rund 4.100 Personen, 1.100 Gesundheitsdaten, vier IBAN-Treffer); die Unimedizin Mainz spricht von ca. 2.800 Patientinnen und Patienten. Die Aufarbeitung läuft parallel zu einer Sectank-Analyse, die den Fall als Lieferketten-Systemversagen einordnet.

4. NGINX „Rift“ CVE-2026-42945 (CVSS 9.2) – aktive Ausnutzung gegen ngx_http_rewrite_module

Seit Freitag, 16. Mai 2026 · zuletzt aktualisiert Donnerstag, 28. Mai 2026 · Score 85

Die Heap-Buffer-Overflow-Lücke im ngx_http_rewrite_module trifft NGINX 0.6.27 bis 1.30.0, NGINX Plus R32 bis R36 sowie zahlreiche F5-Produkte (NGINX Ingress Controller, F5 WAF for NGINX u. a.). Bei deaktiviertem ASLR ist Codeausführung möglich; auf Standardkonfigurationen reicht es für stabiles DoS.

Letzte Entwicklung: F5 hat seine Warnung am 28. Mai erneut aktualisiert. Help Net Security und The Hacker News berichten über laufende Exploit-Versuche; deutsche Hoster sollten auf NGINX 1.30.1 bzw. NGINX Plus R36 P1 oder neuer aktualisieren.

5. CISA-Lieferketten-Warnung: Nx Console (CVE-2026-48027) und „Megalodon“

Seit Donnerstag, 28. Mai 2026 · zuletzt aktualisiert Freitag, 29. Mai 2026 · Score 85

CISA hat am 28. Mai eine Warnung zu zwei parallelen Lieferketten-Kampagnen herausgegeben. Die kompromittierte Nx-Console-Version 18.95.0 wurde am 19. Mai über das Visual-Studio-Marketplace verteilt; über die automatische Update-Funktion erreichte sie tausende Entwickler-Maschinen, von einer wurde der GitHub-Internal-Repository-Diebstahl gestartet. Parallel injizieren Angreifer in der Kampagne „Megalodon“ schadhafte GitHub-Action-Workflows in öffentliche Repositories, um CI/CD-Geheimnisse, Cloud-Credentials und Tokens abzuschöpfen.

Letzte Entwicklung: CISA empfiehlt das Zurückrollen aller automatisierten Pull-Requests und Direct-Commits seit dem 18. Mai, Forensik der CI/CD-Logs sowie das Rotieren sämtlicher Secrets. Nx Console 18.100.0 ist sauber; Cloud-Plattform-Tokens sollten in allen Umgebungen erneuert werden.

1.1 Carnival Corporation: 5.995.277 Betroffene nach Vishing-Angriff vom 10. April

27./28.05.2026 · BleepingComputer · Help Net Security · Malwarebytes Labs

Zusammenfassung: Carnival Corporation hat am 27. Mai 2026 mit der Benachrichtigung von 5.995.277 Personen begonnen, deren Daten am 10. April aus dem Treueprogramm „Mariner Society“ (Holland America Line) abgeflossen sind. Der Angreifer hatte über einen Vishing-Angriff auf ein einzelnes Mitarbeiter-Konto Zugriff auf einen begrenzten Teil der IT-Systeme erlangt und Datenbestände exfiltriert. Betroffen sind Namen, Geburtsdaten, E-Mail-Adressen, Geschlecht, Wohnsitzland und Treueprogramm-Daten. Die Erpressergruppe ShinyHunters beansprucht den Vorfall mit angeblich 8,7 Millionen Datensätzen.

Hintergrund & Einordnung: Der Carnival-Vorfall fügt sich in das von ShinyHunters in den vergangenen Wochen prägende Muster ein: Vishing-Anrufe gegen Identitäts-Provider-Konten (Charter Communications, Coinbase, jüngst Carnival), gefolgt von Salesforce- oder CRM-Exporten ohne klassische Schadsoftware. Im US-Bundesstaat Maine sind nach Angaben der dortigen Aufsicht knapp 10.000 Betroffene für eine zweijährige TransUnion-Kreditüberwachung anspruchsberechtigt. Für deutsche Reiseveranstalter mit Carnival-Beteiligung (AIDA Cruises ist Tochter der Costa-Gruppe) bleibt die Datenflusslage zu prüfen.

Praxisfolgen / Handlungsempfehlung: Verantwortliche in Tourismus- und Loyalty-Programmen sollten ihre Lieferketten-Klauseln zur Krisenkommunikation prüfen, Vishing-Resilienz im Service-Center messen und Spear-Phishing-Filter für Mails mit Cruise-Kontext anschärfen. Betroffene Privatpersonen sollten alle Buchungsportale mit individuellen Passwörtern absichern, MFA aktivieren und Zahlungsmittel auf verdächtige Belastungen prüfen.

1.2 GKV-Dienstleister Hannover: Ransomware-Bande droht mit Datenveröffentlichung

28.05.2026 · Tagesspiegel Background · Tagesspiegel Background (e-Health)

Zusammenfassung: Tagesspiegel Background berichtet, dass ein Verein in Hannover, der für zahlreiche gesetzliche Krankenkassen Kassenrezepte prüft, Anfang Mai Opfer eines Cyberangriffs geworden ist. Auf den Servern des Vereins finden sich Hinweise auf Datenabfluss; zehntausende Patientendatensätze könnten betroffen sein. Eine Ransomware-Bande hat sich gemeldet und droht inzwischen mit der Veröffentlichung der erbeuteten Datensätze, sollte ein Lösegeld nicht gezahlt werden.

Hintergrund & Einordnung: Der Vorfall reiht sich in die schon mit unimed offen liegende Schwäche der Gesundheits-Lieferkette ein: Dienstleister, die für viele Kassen oder Kliniken zentrale Funktionen übernehmen, werden zu Single Points of Failure mit massivem Hebel. Die Frage, ob das BSI eingebunden ist, beantwortet sich nach dem Inkrafttreten des NIS2-Umsetzungsgesetzes positiv – Krankenkassen und ihre wesentlichen Dienstleister gelten als „besonders wichtige“ Einrichtungen.

Praxisfolgen / Handlungsempfehlung: Verantwortliche bei gesetzlichen Krankenkassen sollten ihre Dienstleisterketten kurzfristig erheben, Status-Anfragen an die Prüfstelle stellen, ihre eigenen Vorfallregister prüfen und – sofern Daten beim Dienstleister verarbeitet werden – die 72-Stunden-Meldewege gegenüber BfDI bzw. zuständiger Landesaufsicht aktivieren. Versicherte sollten unaufgeforderte Anrufe und Mails zur „Datenpanne Ihrer Krankenkasse“ konsequent ignorieren und sich nur über die offiziellen Kontaktwege ihrer Kasse informieren.

1.3 Schweiz: Funkwache und Unisecur lassen Parkplatz-Datenbanken offen im Netz

27.05.2026 · heise online · Watson · Inside IT

Zusammenfassung: Bei den Schweizer Parkplatz-Überwachungsfirmen Funkwache (Zürich) und Unisecur waren über Monate hinweg Datenbanken mit sensiblen personenbezogenen Daten ungeschützt im Internet erreichbar. Zugänglich waren Hunderttausende Einträge im zentralen Bußgeld-Register, Zehntausende Verknüpfungen von Autokennzeichen zu Wohnanschriften, Telefonnummern und E-Mail-Adressen, Vorort- und Zeitdaten zu angeblichen Parkverstößen sowie der Status laufender Strafanzeigen. Watson hatte die Betreiber zuerst informiert; die Lücken wurden inzwischen geschlossen.

Hintergrund & Einordnung: Nach Angaben von Unisecur-CEO Claudia Byell trat der Fehler erst im März 2026 durch ein hochgeladenes neues Tool auf. Eine Server-Anfrage zeigte jedoch, dass das problematische Tool bereits seit Dezember 2020 unter derselben Web-Adresse erreichbar war und für mindestens einen Monat ungeschützt zugänglich blieb. Die Schweizer Datenschutzaufsicht (EDÖB) hat nach über drei Wochen Recherche durch Watson keinerlei Meldung von Funkwache AG oder Unisecur GmbH erhalten – ein Verstoß gegen die Meldepflicht nach Schweizer DSG.

Praxisfolgen / Handlungsempfehlung: Für deutsche Verantwortliche im Bereich privater Parkraumbewirtschaftung und Bußgeld-Inkasso ist der Fall ein Signal, eigene API-Endpunkte und Backoffice-Tools auf authentifizierungsfreie Zugriffsmöglichkeiten zu prüfen und Meldepflichten gemäß Art. 33 DSGVO konsequent zu üben. Für betroffene Schweizer Privatpersonen empfiehlt sich eine schriftliche Auskunftsanfrage nach Art. 25 DSG; deutsche Pendants sollten Auskunft nach Art. 15 DSGVO einholen.

1.4 Update unimed-Datenpanne: über 120.000 Betroffene, UKE meldet 5.000 Fälle

27./28.05.2026 · Deutsches Ärzteblatt · drweb.de · Tagesspiegel

Zusammenfassung: Das Deutsche Ärzteblatt fasst den Stand zum 27. Mai zusammen: Zur Liste der unimed-Geschädigten gehören neben den Universitätskliniken Freiburg, Köln, Heidelberg, Tübingen, Ulm, Mainz, Düsseldorf, des Universitätsklinikums des Saarlandes auch das UKE Hamburg mit über 5.000 Fällen sowie die kommunalen Häuser Karlsruhe, ViDia und Mittelbaden. Die Unimedizin Mainz spricht von ca. 2.800 betroffenen Patientinnen und Patienten.

Hintergrund & Einordnung: Die Gesamtzahl der Betroffenen wird inzwischen auf mehr als 120.000 Personen geschätzt; unimed selbst weist darauf hin, dass nur private Patientinnen und Patienten und Selbstzahler betroffen seien, da die Abrechnung gesetzlicher Versicherter über andere Wege laufe. Sectank hat den Fall als Lieferketten-Systemversagen eingeordnet, das die TOM-Pflicht in der Auftragsverarbeitung nach Art. 28 und 32 DSGVO neu schärft.

Praxisfolgen / Handlungsempfehlung: Datenschutzverantwortliche in Krankenhäusern sollten ihre Auftragsverarbeitungs-Inventare kurzfristig aktualisieren und die TOMs der bestehenden Dienstleister – nicht nur unimed – auf Basis der jüngsten Erkenntnisse re-evaluieren. Betroffene Privatpersonen, die einen Benachrichtigungsbrief erhalten, sollten Rechnungen und Lastschrift-Eingänge der nächsten 90 Tage sorgfältig prüfen und unerwartete Anrufe zum Thema „Klinikabrechnung“ mit Skepsis behandeln.

2.1 CISA-Warnung zur Nx-Console- und „Megalodon“-Lieferkette (CVE-2026-48027)

28.05.2026 · CISA Alert · The Hacker News · Help Net Security

Zusammenfassung: CISA hat am 28. Mai eine ungewöhnlich umfangreiche Warnung zu zwei laufenden Lieferketten-Kampagnen herausgegeben. CVE-2026-48027 betrifft die Schadversion 18.95.0 der Nx-Console-Erweiterung für Visual Studio Code, die am 19. Mai für rund 11 bis 18 Minuten im Marketplace verfügbar war; geschätzte 6.000 von 2,2 Millionen Installationen erhielten das Update. Über diesen Vektor kompromittierten die Angreifer ein GitHub-Mitarbeitenden-Gerät und exfiltrierten 3.800 interne Repositories. Die „Megalodon“-Kampagne injiziert parallel schadhafte GitHub-Action-Workflows in öffentliche Repositories, um CI/CD-Geheimnisse, Cloud-Credentials und Tokens abzuschöpfen.

Hintergrund & Einordnung: Beide Kampagnen werden dem Cluster TeamPCP zugerechnet, der bereits den TanStack-npm-Vorfall (CVE-2026-45321) durch missbräuchliche OIDC-Token-Nutzung in GitHub Actions zu verantworten hat. Das Muster zeigt eine systemische Schwäche im Vertrauensmodell von Marketplace-Erweiterungen, in OIDC-Token-Handling und in automatisch ausgelösten Workflows. Die Einstufung als zusammengehörige Bedrohungslage durch CISA ist ein deutliches Signal, dass Plattform-Betreiber und Verantwortliche in der eigenen CI/CD-Tooling-Landschaft neu denken müssen.

Praxisfolgen / Handlungsempfehlung: CISA empfiehlt das Zurückrollen unautorisierter Änderungen, insbesondere durch automatisierte Konten seit dem 18. Mai, das Auditieren von Workflow-Files und Pull-Requests, die forensische Analyse von CI/CD-Logs sowie das Rotieren sämtlicher Secrets – Credentials, Tokens, API-Keys, Cloud-Provider-Credentials. Nx Console ist mit Version 18.100.0 sauber; Endpoints sollten zusätzlich auf Persistenz und Browser-Credential-Dumps geprüft werden. Deutsche DevOps-Teams sollten npm-Dependency-Trees auf @tanstack/*-Schadversionen scannen.

2.2 NGINX „Rift“ CVE-2026-42945 – aktive Ausnutzung gegen ngx_http_rewrite_module

28.05.2026 · The Hacker News · Help Net Security · F5-Sicherheitshinweis

Zusammenfassung: Die Heap-Buffer-Overflow-Lücke CVE-2026-42945 im Modul ngx_http_rewrite_module trifft NGINX 0.6.27 bis 1.30.0, NGINX Plus R32 bis R36 sowie F5-Produkte wie den NGINX Ingress Controller und die F5 WAF for NGINX. F5 hat seine Warnung am 28. Mai erneut aktualisiert. Auf Standard-Konfigurationen reicht der Bug für stabiles DoS; bei deaktiviertem ASLR ist auch Remote-Code-Execution möglich. Erste Exploit-Versuche wurden ab dem 16. Mai gemeldet, drei Tage nach Veröffentlichung des PoC.

Hintergrund & Einordnung: Die Ursache liegt in einer Größendiskrepanz zwischen zwei Durchläufen über den Rewrite-Ersatz-String: NGINX berechnet die Zielpuffer-Größe mit einem anderen Escaping-Verfahren als das spätere Schreiben. Zeichen wie +, % und & expandieren beim Re-Escaping, der Schreibvorgang läuft über den allokierten Bereich hinaus. Sicherheitsforscher von depthfirst zeigen einen Exploit-Pfad über die Korruption eines benachbarten ngx_pool-Headers, gefolgt vom Spraying gefälschter ngx_pool_cleanup-Strukturen via POST-Body, deren Handler dann system() aufrufen.

Praxisfolgen / Handlungsempfehlung: NGINX-Stand auf 1.30.1 oder neuer bzw. NGINX Plus R36 P1 oder neuer anheben; Hoster fragen, ob bereits ausgerollt. Wo der Patch nicht zeitnah möglich ist, sollten Rewrite-Direktiven mit unbenannten PCRE-Captures und nachfolgenden if/set/rewrite-Direktiven gemieden und ASLR auf Host-Ebene erzwungen werden. WAF-Regeln gegen verdächtige Body-Sprays sind eine sinnvolle Zwischenmaßnahme; Logs auf wiederholte Worker-Crashes prüfen.

2.3 FortiClient EMS CVE-2026-35616 – „EKZ“-Stealer als gefälschtes Fortinet-Update

28.05.2026 · BleepingComputer · Arctic Wolf · SecurityAffairs

Zusammenfassung: Arctic Wolf hat im Mai 2026 eine Angriffskampagne gegen Endpunkte beobachtet, die über FortiClient Endpoint Management Server (EMS) verwaltet werden. Über CVE-2026-35616 (CVSS 9.1), eine unauthentifizierte Authentifizierungs-Bypass-Lücke, senden Angreifer privilegierte HTTP-Requests an EMS-Endpunkte und schieben anschließend per VPN-Scripting eine Malware namens „EKZ“ auf die Clients – getarnt als angebliches Fortinet-Update mit dem Namen FortiEndpoint_Patch.exe bzw. p.exe.

Hintergrund & Einordnung: EKZ ist ein MinGW-kompilierter Windows-Credential-Stealer, der Chromium- und Firefox-Browser-Speicher (Passwörter, Kreditkartendaten, Cookies, Adressen, Telefonnummern) auslesen und verschlüsselte Passwortschutz-Mechanismen umgehen kann. Fortinet hatte Anfang April 2026 bestätigt, dass die Schwachstelle bereits aktiv ausgenutzt wurde, und Hotfixes für die FortiClient-EMS-Versionen 7.4.5 und 7.4.6 bereitgestellt. Die jetzige Welle nutzt offenkundig noch nicht überall ausgerollte EMS-Instanzen.

Praxisfolgen / Handlungsempfehlung: FortiClient-EMS-Patchstand verifizieren; EDR-Profile mit IoCs zu FortiEndpoint_Patch.exe und p.exe erweitern; bei Verdacht Browser-Credential-Stores für alle betroffenen Mitarbeitenden rotieren, MFA in allen Diensten zwingend, OAuth-Tokens revozieren. EMS-Management-Endpunkte sollten ausschließlich aus einem Management-Netz erreichbar sein.

2.4 Gitea CVE-2026-27771 – private Container-Images ohne Authentifizierung abrufbar

27.05.2026 · The Hacker News · Orca Security · Noscope-Recherche

Zusammenfassung: Eine Schwachstelle in der Container-Registry des selbstgehosteten Git-Dienstes Gitea (CVSS 8.2) erlaubt unauthentifizierten Angreifern, private Container-Images ohne Zugangsdaten abzurufen. Betroffen sind alle Versionen vor 1.26.2; Noscope schätzt, dass mehr als 30.000 Deployments in über 30 Ländern verwundbar gewesen sind. Die Lücke war fast vier Jahre lang unentdeckt.

Hintergrund & Einordnung: Ursache ist eine fehlerhafte Durchsetzung der „private“-Eigenschaft im Container-Registry-Zugriffsmodell: Image-Layer und Manifeste wurden auch anonymen Anfragen ausgeliefert. Container-Images enthalten in der Praxis Source-Code, Konfigurationen, Datenbank-Credentials, API-Keys, interne Service-Endpunkte und TLS-Zertifikate. Auch der Gitea-Fork Forgejo ist nach eigenen Tests betroffen.

Praxisfolgen / Handlungsempfehlung: Update auf Gitea 1.26.2 ausrollen; falls Patch nicht sofort möglich, in der Konfiguration [service].REQUIRE_SIGNIN_VIEW=true setzen. Logs auf anonyme GET /v2/.../blobs/...-Anfragen prüfen; bei Verdacht alle in Images abgelegten Secrets rotieren und Container-Registry hinter zusätzliche Reverse-Proxy-Auth stellen.

3.1 Microsoft SharePoint CVE-2026-45659 – RCE per Deserialisierung

26.05.2026 · Microsoft MSRC · Help Net Security · The Hacker News

Zusammenfassung: Microsoft hat im Rahmen des Mai-Patchdays die Schwachstelle CVE-2026-45659 in SharePoint Server (Subscription Edition, 2019, Enterprise 2016) geschlossen. CVSS 8.8, CWE-502 (Deserialisierung untrusted Daten); Angreifer können bei einfacher Authentifizierung beliebigen Code ausführen, ohne Administratorrechte zu benötigen. Bislang ist kein öffentlicher Exploit verfügbar; The Hacker News und Help Net Security berichten am 26. Mai über den Patch.

Hintergrund & Einordnung: SharePoint-Server-Deserialisierungslücken sind in den letzten Jahren mehrfach Eintrittspunkt für Ransomware-Kampagnen (BlackCat, BianLian) gewesen. Die Möglichkeit, mit einem Standard-Mitarbeitenden-Account zu eskalieren, macht den Bug für Insider- und kompromittierte Konten-Szenarien hochrelevant – insbesondere in Behörden- und Konzernumgebungen, in denen SharePoint Server zentrale Wissensspeicher hostet.

Praxisfolgen / Handlungsempfehlung: KB5002863 (Subscription Edition), KB5002870 (SharePoint Server 2019), KB5002868 (Enterprise Server 2016) ausrollen. Risiko bewerten, wo SharePoint Server vom Internet aus erreichbar ist; bei Bedarf den externen Zugriff über Anwendungsproxy auf authentifizierte Sessions beschränken. SharePoint-Logs auf Hinweise auf ungewöhnliche Deserialisierungs-Payloads in ViewState- oder TypeDescriptor-Feldern auswerten.

3.2 Gogs Zero-Day – RCE über manipulierte Branch-Namen (CVSS 9.4, ungepatcht)

27./28.05.2026 · BleepingComputer · The Hacker News · Cyber Security News

Zusammenfassung: Rapid7 hat eine kritische Schwachstelle in Gogs offengelegt (CVSS 9.4): Über manipulierte Branch-Namen lässt sich beim „Rebase before merging“-Mergetyp die --exec-Option in git rebase injizieren und damit beliebiger Code auf dem Server ausführen. Da Gogs in der Standardkonfiguration mit offener Registrierung ausgeliefert wird, reicht für die Ausnutzung ein selbst angelegter Account.

Hintergrund & Einordnung: Rapid7 hatte die Lücke am 17. März 2026 an die Gogs-Maintainer gemeldet; seither liegt trotz Bestätigung am 28. März keine Aktualisierung vor. The Hacker News und BleepingComputer berichten Ende Mai erneut über den ausbleibenden Patch. Erfolgreiche Ausnutzung erlaubt vollständigen Server-Zugriff, das Auslesen aller Repositories, das Manipulieren von Code und das laterale Bewegen in das Hostnetz.

Praxisfolgen / Handlungsempfehlung: Bis ein Patch vorliegt: offene Registrierung deaktivieren (DISABLE_REGISTRATION = true), Repository-Erstell-Limits setzen (MAX_CREATION_LIMIT), „Rebase before merging“ im UI ausschalten und Gogs aus dem Internet nehmen. Migration auf Gitea (nicht verwundbar gegen diesen Bug, aber 27771 patchen) erwägen; Audit der git-hooks auf Hinweise unautorisierter Code-Ausführung.

3.3 LiteSpeed cPanel-Plugin CVE-2026-48172 (CVSS 10.0) – KEV-Frist gestern abgelaufen

26.–29.05.2026 · CISA-KEV-Update 20.05. · BleepingComputer

Zusammenfassung: Die Maximalkritisch-Lücke im LiteSpeed-User-End-cPanel-Plugin ist seit dem 26. Mai im KEV-Katalog; FCEB-Behörden hatten Frist bis gestern, 29. Mai. Über die Funktion lsws.redisAble lassen sich beliebige Skripte mit Root-Rechten ausführen. BleepingComputer dokumentiert Mass-Exploitation-Wellen, in deren Verlauf die Ransomware-Familie „Sorry“ eingeschleust wurde.

Hintergrund & Einordnung: Shared-Hosting-Umgebungen mit cPanel sind über das Plugin besonders exponiert. Eine erfolgreiche Ausnutzung erlaubt die Übernahme ganzer Hostingknoten. Penligent und SOCRadar berichten von Massen-Scans, die parallel zur KEV-Aufnahme begonnen haben.

Praxisfolgen / Handlungsempfehlung: Upgrade auf LiteSpeed-WHM-Plugin 5.3.1.0 mit cPanel-Plugin 2.4.7 oder neuer. Logs auf cpanel_jsonapi_func=redisAble in /var/cpanel/logs und /usr/local/cpanel/logs/ auswerten; bei Treffer Vollscan inkl. „Sorry“-IoCs (verschlüsselte Volumen, Lösegeldnotiz „SORRY.txt“) starten.

4.1 VG Berlin (06.05.2026, VG 42 K 73/25): Ausweiskontrolle und Videoüberwachung in Berliner Bädern

VG Berlin · 06.05.2026 · VG 42 K 73/25 · datenschutz-notizen.de

Sachverhalt: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte den Berliner Bäder-Betrieben das Verbot ausgesprochen, ab einem konkreten Anlass Ausweiskontrollen und punktuelle Videoüberwachung in fünf Sommerbädern einzuführen. Hintergrund waren tätliche Angriffe und Drohungen unter Badegästen sowie gegenüber Bädermitarbeitenden, darunter drei Bad-Räumungen.

Entscheidung: Das Verwaltungsgericht Berlin hat das Verbot der Aufsichtsbehörde aufgehoben. Die Ausweiskontrollen für Personen ab 14 Jahren und die punktuelle Videoüberwachung in fünf Sommerbädern sind datenschutzrechtlich zulässig.

Begründungs-Kernpunkte: Das Gericht hält die Maßnahmen für erforderlich und verhältnismäßig: Der Schutz von Leben, Gesundheit und Freiheit der Schwimmerinnen und Schwimmer überwiegt den geringschwelligen Eingriff in das Recht auf informationelle Selbstbestimmung. Die Erkenntnisbasis – dokumentierte Sicherheitsvorfälle, Drohungen, tätliche Angriffe – sei tragfähig.

Praxisfolgen: Die Entscheidung ist die erste verwaltungsgerichtliche Maßstabsbildung für flächendeckende Identifizierungs-Maßnahmen in öffentlichen Einrichtungen mit Sicherheitslage. Die Entscheidung ist nicht rechtskräftig; die BlnBDI prüft eine Berufung zum OVG Berlin-Brandenburg. Verantwortliche bei kommunalen Bädern, Stadien und Veranstaltungsbetrieben sollten ihre Maßnahmen-Dokumentation an den Anforderungen des Gerichts ausrichten (konkrete Anlassbezogenheit, Folgenabschätzung, Befristung).

4.2 EuGH C-526/24 Brillen Rottler – „exzessive“ Erstanfragen unter Art. 15 DSGVO

EuGH · 19.03.2026 · C-526/24 · EuGH-Pressemitteilung · LTO

Sachverhalt: Ein Wiener hatte sich für den Brillen-Rottler-Newsletter angemeldet, in die Datenverarbeitung eingewilligt und nur 13 Tage später unter Art. 15 DSGVO Auskunft über die zu seiner Person verarbeiteten Daten verlangt. Brillen Rottler wertete die Anfrage als rechtsmissbräuchlich.

Entscheidung: Auch ein erstmaliger Auskunftsantrag kann nach dem EuGH ausnahmsweise als „exzessiv“ zurückgewiesen werden, wenn er allein dazu dient, später einen Schadensersatzanspruch nach Art. 82 DSGVO zu konstruieren. Die Voraussetzungen sind eng auszulegen.

Begründungs-Kernpunkte: Die Verordnung sieht in Art. 12 Abs. 5 die Möglichkeit der Ablehnung exzessiver Anträge ausdrücklich vor; der Begriff ist autonom auszulegen. Der Verantwortliche trägt die Beweislast für die Missbräuchlichkeit. Bei berechtigten Auskunftsanträgen bleibt es bei der Schadensersatzpflicht des Verantwortlichen.

Praxisfolgen: Verantwortliche dürfen sich nicht pauschal auf „Missbrauch“ berufen, sondern müssen den Missbrauchsverdacht im Einzelfall dokumentieren. Geschäftsmodelle, die auf seriellen Erstanfragen zur DSGVO-Schadensersatzgeltendmachung beruhen („DSGVO-Hopping“), verlieren rechtliche Tragfähigkeit. Datenschutzteams sollten ihre Ablehnungs-Templates überarbeiten und prüfen, in welchen Verfahren ein dokumentierter Missbrauchsnachweis möglich ist.

5.1 MLU B.V. (Yandex/Yango): 100 Mio. EUR DSGVO-Bußgeld für Russland-Transfers

21.05.2026 · Autoriteit Persoonsgegevens (NL)

Behörde: Autoriteit Persoonsgegevens (NL) · Adressat: MLU B.V. (Yandex/Yango) · Höhe: 100 Mio. EUR

Verstoß / Rechtsgrundlage: Art. 44 ff. DSGVO – unzulässige Drittlandtransfers personenbezogener Daten europäischer Nutzerinnen und Nutzer an Server in Russland; die Schlüssel zur Entschlüsselung lagen ebenfalls in Russland.

Begründung: Die Autoriteit Persoonsgegevens, koordiniert mit der finnischen Tietosuojavaltuutettu und der norwegischen Datatilsynet, sieht den fehlenden wirksamen Schutz gegen behördlichen Zugriff in Russland als nicht behebbaren Verstoß gegen Art. 46 DSGVO. Die Bußgeldhöhe orientiert sich am Umsatz des Yandex-Konzerns und dem Verschuldensgrad.

Praxisfolgen: Der Fall bleibt im europäischen Enforcement-Tracker die Referenz für unzulässige Drittlandtransfers an Hochrisikoempfänger. Deutsche Verantwortliche mit Konzern-Verflechtungen nach Russland oder ähnlichen Ländern sollten ihr Transfer-Impact-Assessment (TIA) und ihre Verschlüsselungs-Strategie kurzfristig erneut prüfen.

5.2 BfDI: 45 Mio. EUR Gesamtbußgeld gegen Vodafone (34. Tätigkeitsbericht)

06.05.2026 · BfDI-Pressemitteilung · drweb.de

Behörde: BfDI · Adressat: Vodafone GmbH · Höhe: 45 Mio. EUR (15 Mio. EUR für Auftragsverarbeiter-Kontrolle, 30 Mio. EUR für Sicherheitsdefizite im MeinVodafone-eSIM-Authentifizierungsprozess)

Verstoß / Rechtsgrundlage: Art. 28, 32 DSGVO – unzureichende Auftragsverarbeiter-Steuerung und Sicherheitsdefizite im eSIM-Authentifizierungsprozess.

Begründung: Die BfDI hatte im Rahmen ihres 34. Tätigkeitsberichts Anfang Mai die Gesamtsumme bestätigt. Die eSIM-Authentifizierung erlaubte unter bestimmten Bedingungen die SIM-Übernahme ohne hinreichende Identitätsprüfung.

Praxisfolgen: Telekommunikationsanbieter und Plattform-Betreiber sollten ihre Account-Recovery- und Re-SIM-Prozesse anhand des aktuellen BfDI-Standards überprüfen und Auftragsverarbeiter-Audits entlang der Lieferkette nachvollziehbar dokumentieren.

6.1 Verbände-Echo zum Cybersicherheitsgesetz: Bitkom zustimmend, eco kritisch

27./28.05.2026 · Bitkom-Presse · eco-Pressemitteilung · Deutsches Ärzteblatt

Zusammenfassung: Der Bitkom hat dem Gesetzentwurf grundsätzlich zugestimmt, weil das BSI für die operative Cyber-Abwehr endlich eine klare Rechtsgrundlage erhält und die Schnittstellen zu BKA und Bundespolizei besser definiert werden. Der Verband der Internetwirtschaft eco hat in einer eigenen Pressemitteilung vor dem Einstieg in staatliche Netzinterventionen gewarnt: Die Maßnahmen seien überdimensioniert, träfen Drittnetze und Unbeteiligte und schwächten privatwirtschaftliche Cyber-Defense.

Hintergrund & Einordnung: Das Gesetz erlaubt BSI, BKA und Bundespolizei künftig, Datenströme umzuleiten und gezielt in IT-Systeme von Angreifern einzugreifen, um Daten zu löschen oder zu verändern. Der Branchenstreit über die „Hackback“-Frage flammt damit erneut auf; Bundesregierungsvertreter grenzen sich vom klassischen Hackback ab, weil Maßnahmen ausschließlich gegen Server gerichtet seien, von denen eine Gefahr ausgehe.

Praxisfolgen / Handlungsempfehlung: Verantwortliche in KRITIS-Sektoren sollten ihre Schnittstellen zum BSI prüfen und Verfahrensverzeichnisse sowie Notfallpläne um die im Gesetz vorgesehenen Eingriffsbefugnisse erweitern. Branchenverbände werden in der parlamentarischen Anhörung aufgefordert, ihre Stellungnahmen frühzeitig einzureichen; Datenschutzbeauftragte sollten ihre Boards für die Spannungsfelder mit Art. 13/14 DSGVO und Betriebsvereinbarungen sensibilisieren.

6.2 FBI-FLASH zur Silent Ransom Group – physisches Social Engineering in US-Kanzleien

26./27.05.2026 · FBI IC3 FLASH (PDF) · BleepingComputer

Zusammenfassung: Das FBI hat am 26. Mai eine FLASH-Warnung herausgegeben, wonach die Silent Ransom Group (Luna Moth, Chatty Spider, UNC3753) inzwischen physisch in den Geschäftsräumen US-amerikanischer Anwaltskanzleien auftaucht, sobald telefonische Vishing-Versuche scheitern. Die Angreifer geben sich als interner IT-Support aus, fordern Remote-Desktop-Zugriff oder stecken vor Ort einen USB-Stick zur Datenausleitung an.

Hintergrund & Einordnung: Auf der Leak-Seite der Gruppe sind bereits über 38 Kanzleien aufgeführt; Researcher sprechen von über 100 Vorfällen. Die Eskalation ins Physische ist ein neues Muster, das die Grenzen zwischen Cyber- und klassischer Wirtschaftsspionage verwischt – auch deutsche Kanzleien, Notariate und Wirtschaftsprüfer sollten Empfangs- und Service-Desk-Prozesse härten.

Praxisfolgen / Handlungsempfehlung: Empfangsprozesse überarbeiten: Lichtbildausweis-Kontrolle, Rückruf an interne Hotline (nicht an die vom Besucher genannte Nummer), Begleitung durch Personal aus dem Haus, USB-Sperre und keine Remote-Sitzungen ohne Ticket-Referenz. Awareness-Trainings ergänzen, dass IT-Mitarbeitende sich gegenüber Endanwendern niemals durch Auftauchen am Empfang ausweisen, sondern über die Ticket-Hotline.

6.3 KI als Werkzeug der Angreifer: Erster AI-gebauter Zero-Day für 2FA-Bypass

11./27.05.2026 · The Hacker News · SecurityWeek · The Register

Zusammenfassung: Die Google Threat Intelligence Group (GTIG) hat dokumentiert, dass eine Kriminellengruppe im Mai 2026 einen 2FA-Bypass-Zero-Day mit Hilfe eines LLM entwickelt hat. Die Schwachstelle stammte aus einer fest in den Authentifizierungs-Workflow einkodierten Trust-Ausnahme in einer Open-Source-Web-Administrations-Plattform; die Angreifer hatten eine Massen-Exploitation geplant. Google hat den Hersteller eingebunden und den Patch ausgerollt, bevor die Kampagne startete.

Hintergrund & Einordnung: GTIG schätzt mit hoher Konfidenz, dass das genutzte KI-Modell weder Googles Gemini noch Anthropics Mythos Preview war. Hersteller, Threat Actor und Modell wurden nicht öffentlich benannt. Der Fall ist die erste belastbar dokumentierte Bestätigung, dass LLMs in der Praxis von Angreifern eingesetzt werden, um semantische Logik-Fehler zu entdecken und auszunutzen.

Praxisfolgen / Handlungsempfehlung: Verantwortliche sollten ihren eigenen Code auf hartkodierte Trust-Ausnahmen prüfen, statische und semantische Code-Analyse-Werkzeuge ergänzen und ihre Threat-Modelle um KI-gestützte Schwachstellen-Discovery erweitern. Patch-Disziplin bleibt der wichtigste Hebel; die LLM-Komponente verkürzt das Zeitfenster vom Patch zur Mass-Exploitation weiter.