1. Cisco Catalyst SD-WAN CVE-2026-20182 (CVSS 10.0) aktiv ausgenutzt

Seit Montag, 19. Mai 2026 · zuletzt aktualisiert Sonntag, 31. Mai 2026 · Score 95

Cisco bestätigt die aktive Ausnutzung einer maximalkritischen Authentifizierungs-Umgehung im Catalyst SD-WAN Controller (vormals vSmart) und im Catalyst SD-WAN Manager (vormals vManage). Eine Schwäche in der Peering-Authentifizierung über DTLS (UDP 12346) erlaubt nicht authentifizierten Angreifern aus dem Netz administrativen Zugriff. Die Lücke steht im CISA-KEV-Katalog, ein Metasploit-Modul ist verfügbar.

Letzte Entwicklung: Cisco Talos konkretisiert das Tooling des zurechenbaren Clusters UAT-8616; in Europa halten die Scan-Wellen gegen exponierte Management-Schnittstellen unverändert an. Betreiber sollten den Patchstand verifizieren und die Steuerungsebene vom offenen Internet trennen.

2. Palo Alto PAN-OS GlobalProtect CVE-2026-0257: Authentifizierungs-Umgehung aktiv ausgenutzt

Seit Sonntag, 31. Mai 2026 · zuletzt aktualisiert Sonntag, 31. Mai 2026 · Score 90

Palo Alto Networks und CISA bestätigen die aktive Ausnutzung einer Authentifizierungs-Umgehung in Portal und Gateway von GlobalProtect (PAN-OS). Angreifer können unter bestimmten Konfigurationen Sicherheitskontrollen umgehen und eine unautorisierte VPN-Verbindung aufbauen. CISA hat die Schwachstelle in den KEV-Katalog aufgenommen und eine kurzfristige Umsetzungsfrist für US-Bundesbehörden gesetzt.

Letzte Entwicklung: Erste Exploitation wurde am 18. Mai beobachtet, eine zweite Angriffswelle am 21. Mai; Rapid7 dokumentiert eigene Beobachtungen der Ausnutzung. Betroffen sind Deployments mit aktivierten Authentication-Override-Cookies – als Sofortmaßnahme empfiehlt sich das Deaktivieren dieses Mechanismus bzw. ein dediziertes Zertifikat.

3. Microsoft Defender CVE-2026-41091: aktiv ausgenutzte SYSTEM-Eskalation

Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Sonntag, 31. Mai 2026 · Score 90

Microsoft bestätigt eine aktiv ausgenutzte Schwachstelle in der Malware Protection Engine, die über fehlerhafte Symlink-Auflösung eine lokale Privilegieneskalation auf SYSTEM ermöglicht (CVSS 7.8). Die Lücke steht im CISA-KEV-Katalog mit Patch-Frist 3. Juni 2026. Die Verteilung erfolgt automatisch über die Antimalware-Plattform.

Letzte Entwicklung: Die KEV-Frist 3. Juni bleibt bestehen; Administratorinnen und Administratoren sollten die Verteilung der Antimalware Platform 1.1.26040.8 bzw. 4.18.26040.7 aktiv verifizieren, da die reine Auslieferung ohne Neustart nicht in jedem Fall greift.

4. LiteSpeed cPanel-Plugin CVE-2026-48172 (CVSS 10.0): Root-Eskalation massenhaft ausgenutzt

Seit Donnerstag, 28. Mai 2026 · zuletzt aktualisiert Sonntag, 31. Mai 2026 · Score 90

Über die Funktion lsws.redisAble lassen sich im LiteSpeed-User-End-cPanel-Plugin beliebige Skripte mit Root-Rechten ausführen. CISA nahm die Lücke am 26. Mai in den KEV-Katalog auf; FCEB-Behörden hatten Frist bis 29. Mai. Betroffen sind die Versionen 2.3 bis 2.4.4, behoben in cPanel-Plugin v2.4.7 bzw. WHM-Plugin 5.3.1.0.

Letzte Entwicklung: Die KEV-Frist ist abgelaufen; BleepingComputer dokumentiert Mass-Exploitation-Wellen, in deren Verlauf auch eine „Sorry“-Ransomware ausgerollt wird. Shared-Hosting-Anbieter sollten den Plugin-Stand flottenweit prüfen.

5. unimed-Datenpanne: über 120.000 Patientendaten kompromittiert

Seit Donnerstag, 21. Mai 2026 · zuletzt aktualisiert Sonntag, 31. Mai 2026 · Score 88

Beim Abrechnungsdienstleister unimed in Wadern wurden Daten von inzwischen mehr als 120.000 Patientinnen und Patienten zahlreicher Universitätskliniken entwendet, in rund 1.500 Fällen einschließlich Diagnose-Inhalten aus Patientenakten. Betroffen sind vor allem Privatversicherte und Wahlleistungspatienten. Patientenversorgung und Klinik-IT waren nach Angaben der Häuser nicht betroffen.

Letzte Entwicklung: Mit Stand 27./28. Mai melden zwölf Häuser betroffene Datensätze, darunter das UKE mit über 5.000 und die Unimedizin Mainz mit rund 2.800 Fällen. Die zuständigen Aufsichtsbehörden sind eingebunden; betroffene Personen sollten auf gezielte Betrugsversuche achten.

1.1 unimed-Datenpanne weitet sich auf über 120.000 Betroffene aus

31.05.2026 · aerzteblatt.de · Versicherungsmonitor · Borncity

Zusammenfassung: Beim Abrechnungsdienstleister unimed in Wadern sind Daten von inzwischen mehr als 120.000 Patientinnen und Patienten zahlreicher Universitätskliniken entwendet worden. In rund 1.500 Fällen umfassen die gestohlenen Daten auch Diagnose-Inhalte aus Patientenakten. Betroffen sind in erster Linie Privatversicherte und Wahlleistungspatienten der Häuser Freiburg, Heidelberg, Köln, Tübingen, Ulm und weiterer Kliniken. Die eigentliche Patientenversorgung und die Klinik-IT waren nach Angaben der Häuser nicht betroffen.

Hintergrund & Einordnung: Der Angriff auf unimed erfolgte bereits im April und blieb über Wochen unentdeckt. Mit Stand 27./28. Mai melden zwölf Häuser betroffene Datensätze, darunter das Universitätsklinikum Hamburg-Eppendorf mit über 5.000 und die Unimedizin Mainz mit rund 2.800 Fällen. Der Fall illustriert exemplarisch das Risiko aus der Auftragsverarbeiter-Kette: Auch wenn die Kliniken selbst nicht kompromittiert wurden, haften sie datenschutzrechtlich für die Auswahl und Kontrolle ihres Dienstleisters mit. Die zuständigen Landesdatenschutzbehörden sind eingebunden.

Praxisfolgen / Handlungsempfehlung: Verantwortliche im Gesundheitswesen sollten ihre Auftragsverarbeitungs-Verträge und die tatsächliche Dienstleisterkontrolle nach Art. 28 DSGVO überprüfen, insbesondere bei Abrechnungs- und IT-Dienstleistern mit Zugriff auf Gesundheitsdaten. Betroffene Personen sollten Rechnungen, Mahnungen und Rückfragen besonders kritisch prüfen und nicht vorschnell auf Zahlungsaufforderungen reagieren. Wer eine Benachrichtigung erhält, sollte die darin genannten Kontaktwege über offizielle Quellen verifizieren.

Update vom Sonntag, 31. Mai 2026: Die Betroffenenzahl ist gegenüber den Erstmeldungen weiter gestiegen; die Zahl der meldenden Häuser hat sich auf zwölf erhöht.

1.2 EDSB-Jahresbericht 2025: KI-Aufsicht und internationale Datentransfers im Fokus

07.05.2026 · EDPS · Dr. Datenschutz

Zusammenfassung: Der Europäische Datenschutzbeauftragte (EDSB) hat seinen Jahresbericht 2025 veröffentlicht und legt darin einen Schwerpunkt auf die wachsende Bedeutung von Künstlicher Intelligenz, Cloud-Diensten und internationalen Datentransfers. Mit einer Rekordzahl legislativer Konsultationen unterstreicht der EDSB seine Rolle als zentrale Aufsichts- und Frühwarninstanz für digitale Grundrechtsrisiken. Zugleich stärkt er seine Funktion als KI-Aufsichtsbehörde, unter anderem durch die Gründung einer eigenen AI-Unit, die Einführung von KI-Sandboxen und neue Leitlinien zu generativer KI.

Hintergrund & Einordnung: Der Bericht ist ein deutliches Signal, in welche Richtung sich die europäische Aufsichtspraxis bewegt. KI-Anwendungen, Plattform- und Cloud-Dienste sowie Drittlandtransfers rücken in den Mittelpunkt der Kontrolle. Für Verantwortliche bedeutet das einen steigenden Begründungs- und Dokumentationsaufwand, insbesondere an der Schnittstelle von DSGVO und KI-Verordnung. Der EDSB positioniert sich erkennbar als Taktgeber für die mitgliedstaatlichen Behörden.

Praxisfolgen / Handlungsempfehlung: Unternehmen sollten ihre KI-Governance, Datenschutz-Folgenabschätzungen und Transfermechanismen frühzeitig überprüfen und an die steigenden regulatorischen Anforderungen anpassen. Insbesondere Transfer-Impact-Assessments für Datenflüsse in Drittstaaten gewinnen an Bedeutung. Wer generative KI einsetzt, sollte die angekündigten EDSB-Leitlinien als Maßstab heranziehen.

1.3 Russmedia-Urteil: HmbBfDI konkretisiert Pflichten für Social-Media-Plattformen

12.05.2026 · HmbBfDI (PDF) · Dr. Datenschutz

Zusammenfassung: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat sich zu den Folgen des EuGH-Urteils „Russmedia“ (Urt. v. 2.12.2025, C-492/23) für Social-Media-Plattformen geäußert. Nach seiner Auffassung können Plattformbetreiber datenschutzrechtlich verantwortlich sein, wenn sie personenbezogene Inhalte mithilfe von Algorithmen, Rankings oder ähnlichen Mechanismen zu eigenen wirtschaftlichen Zwecken verbreiten. In diesem Fall müssten Plattformen rechtswidrige personenbezogene Inhalte nach Hinweis entfernen und deren weitere Verbreitung verhindern.

Hintergrund & Einordnung: Für kommerzielle Konten zieht der HmbBfDI weitergehende Maßnahmen wie Identitätsprüfungen oder Upload-Filter in Betracht. Eine allgemeine Überwachungspflicht für sämtliche Nutzerinhalte lehnt er jedoch ausdrücklich ab. Die Einschätzung verdeutlicht, wie die Aufsicht die wachsende Mitverantwortung von Plattformen für die algorithmische Verbreitung von Inhalten auslegt. Sie reiht sich in eine Linie ein, die die Rolle der Intermediäre bei der Datenverarbeitung schärfer fasst.

Praxisfolgen / Handlungsempfehlung: Plattformbetreiber sollten ihre Notice-and-Action-Prozesse überprüfen und für kommerzielle Accounts erweiterte Kontrollmechanismen vorbereiten. Auch Unternehmen, die Social-Media-Reichweite über kommerzielle Konten aufbauen, sollten die strengeren Anforderungen einplanen. Eine vollständige Vorab-Überwachung ist dabei weder gefordert noch zulässig.

1.4 Carnival: knapp 6 Mio. Treueprogramm-Datensätze nach Vishing abgeflossen

31.05.2026 · BleepingComputer · Help Net Security · Malwarebytes

Zusammenfassung: Carnival Corporation hat begonnen, 5.995.277 Kundinnen und Kunden zu benachrichtigen, deren Daten am 10. April nach einem Vishing-Angriff auf ein Mitarbeiterkonto abgeflossen sind. Betroffen sind Name, Geburtsdatum, E-Mail-Adresse, Geschlecht, Wohnsitzland sowie Daten des Treueprogramms „Mariner Society“. Die Gruppe ShinyHunters bekennt sich zu dem Angriff. Zahlungsdaten waren nach bisherigem Stand nicht Teil des Abflusses.

Hintergrund & Einordnung: Der Fall reiht sich in eine Serie von ShinyHunters-Vorfällen ein, bei denen über Social-Engineering am Telefon Zugang zu internen Konten erlangt wird. Auch wenn Carnival ein US-Konzern ist, dürften europäische Kundinnen und Kunden betroffen sein, womit DSGVO-Informationspflichten greifen. Solche Treueprogramm-Datensätze sind für gezielte, glaubwürdig wirkende Folgebetrügereien besonders wertvoll. Der Angriffsweg über Vishing zeigt, dass technische Kontrollen allein nicht genügen.

Praxisfolgen / Handlungsempfehlung: Betroffene sollten in den kommenden Wochen mit gut gemachten Phishing-Versuchen rechnen, die echte Reise- oder Programmdaten enthalten. Unternehmen sollten ihre Helpdesk- und Konto-Wiederherstellungsprozesse gegen Vishing härten und Mitarbeitende für Rückruf-Verifikation sensibilisieren. Identitätsbestätigungen am Telefon sollten nie allein auf abfragbaren Stammdaten beruhen.

2.1 Microsoft Edge: Passwörter im Klartext im Arbeitsspeicher

15.05.2026 · heise online · heise online (Korrektur)

Zusammenfassung: Microsoft Edge legte Passwörter aus dem integrierten Passwort-Manager als Klartext im Arbeitsspeicher ab – und zwar selbst dann, wenn die zugehörige Website gar nicht aufgerufen wurde. Entdeckt wurde das Verhalten von einem norwegischen Sicherheitsexperten; die heise-Redaktion konnte es nachstellen. Über ein Speicherabbild des Browsers, etwa via Windows Task Manager, ließen sich die Passwörter mit einem Hex-Editor im Klartext auffinden. Die vorgeschaltete Windows-Hello-Authentifizierung wirkte dadurch eher kosmetisch.

Hintergrund & Einordnung: Das Problem ist keine klassische Remote-Schwachstelle, sondern eine Designschwäche im Umgang mit sensiblen Geheimnissen im Prozessspeicher. Praktische Relevanz entfaltet sie vor allem auf geteilten Systemen, Terminalservern und in Szenarien mit lokalem Zugriff oder Schadsoftware. Microsoft kündigte rund zehn Tage nach der Entdeckung eine Korrektur an: Passwörter werden beim Start nicht mehr vorgeladen, und der Rollout über alle Edge-Kanäle wird beschleunigt. Die Änderung greift ab den kommenden Versionen in Canary und Stable.

Praxisfolgen / Handlungsempfehlung: Administratorinnen und Administratoren sollten den Edge-Update-Stand prüfen und die korrigierte Version flächendeckend ausrollen. Auf Mehrbenutzer- und Terminal-Systemen sollten besonders sensible Zugangsdaten nicht im Browser-Passwortmanager, sondern in einem dedizierten Passwort-Manager mit Speicherschutz vorgehalten werden. Generell empfiehlt sich, lokale Adminrechte zu begrenzen, um Speicherabbilder durch Dritte zu erschweren.

2.2 Microsoft Defender CVE-2026-41091: SYSTEM-Eskalation aktiv ausgenutzt

31.05.2026 · Help Net Security · BleepingComputer · CISA

Zusammenfassung: Microsoft bestätigt eine aktiv ausgenutzte Schwachstelle in der Malware Protection Engine, die über fehlerhafte Symlink-Auflösung eine lokale Privilegieneskalation auf SYSTEM ermöglicht (CVSS 7.8). CISA hat die Lücke in den KEV-Katalog aufgenommen, mit Patch-Frist 3. Juni 2026. Die Korrektur wird über die automatische Aktualisierung der Antimalware-Plattform verteilt.

Hintergrund & Einordnung: Defender und die Malware Protection Engine sind auf praktisch jedem aktuellen Windows-System aktiv, weshalb die Schwachstelle eine extrem breite Angriffsfläche eröffnet. Eine lokale Rechteausweitung auf SYSTEM ist ein klassischer Baustein in mehrstufigen Angriffsketten, etwa nach einer initialen Kompromittierung per Phishing. Die automatische Verteilung senkt zwar die Hürde zum Schließen der Lücke, ersetzt aber nicht die Kontrolle, ob die aktualisierte Plattform tatsächlich aktiv ist.

Praxisfolgen / Handlungsempfehlung: Administratorinnen und Administratoren sollten die Verteilung der Antimalware Platform 1.1.26040.8 bzw. 4.18.26040.7 flottenweit verifizieren und betroffene Endpunkte neu starten. Die KEV-Frist 3. Juni sollte als interner Stichtag übernommen werden. Geräte, die selten online sind, sollten gezielt zur Aktualisierung gebracht werden.

Update vom Sonntag, 31. Mai 2026: Die KEV-Frist 3. Juni bleibt bestehen; die korrekte Verteilung der aktualisierten Antimalware-Plattform ist weiterhin zu prüfen.

3.1 Palo Alto PAN-OS GlobalProtect CVE-2026-0257: Authentifizierungs-Umgehung aktiv ausgenutzt

31.05.2026 · Palo Alto Networks Advisory · BleepingComputer · Rapid7

Zusammenfassung: Palo Alto Networks warnt vor einer aktiv ausgenutzten Authentifizierungs-Umgehung in Portal und Gateway von GlobalProtect (PAN-OS), die als CVE-2026-0257 geführt wird. Angreifer können Sicherheitskontrollen umgehen und eine unautorisierte VPN-Verbindung aufbauen. Voraussetzung ist eine Konfiguration mit aktivierten Authentication-Override-Cookies und einer bestimmten Zertifikatskonstellation. CISA hat die Schwachstelle in den KEV-Katalog aufgenommen und eine kurzfristige Umsetzungsfrist für US-Bundesbehörden Anfang Juni gesetzt.

Hintergrund & Einordnung: Die erste Exploitation wurde am 18. Mai aus bei Vultr gehosteter Infrastruktur beobachtet, eine zweite Welle am 21. Mai. Rapid7 dokumentiert eigene Beobachtungen der Ausnutzung. GlobalProtect-Portale sind per Definition aus dem Internet erreichbar, was eine Authentifizierungs-Umgehung besonders gefährlich macht. Der Fall reiht sich in eine Serie von Perimeter-VPN-Schwachstellen ein, die zunehmend als Initialzugang für Netzwerkkompromittierungen dienen.

Praxisfolgen / Handlungsempfehlung: Betreiber sollten die betroffenen PAN-OS-Versionen (u. a. 10.2, 11.1, 11.2, 12.1) auf die von Palo Alto bereitgestellten Fixed-Releases heben. Wer nicht sofort patchen kann, sollte als Sofortmaßnahme Authentication-Override deaktivieren oder ein ausschließlich dafür genutztes Zertifikat erzeugen. Logs sind auf unautorisierte VPN-Verbindungen und ungewöhnliche Sitzungen zu prüfen.

3.2 Cisco Catalyst SD-WAN CVE-2026-20182 (CVSS 10.0) weiter aktiv ausgenutzt

31.05.2026 · Cisco Advisory · Cisco Talos · The Hacker News

Zusammenfassung: Die maximalkritische Authentifizierungs-Umgehung im Cisco Catalyst SD-WAN Controller (vormals vSmart) und im Catalyst SD-WAN Manager (vormals vManage) wird weiterhin aktiv ausgenutzt. Eine Schwäche in der Peering-Authentifizierung über DTLS (UDP 12346) erlaubt nicht authentifizierten Angreifern administrativen Zugriff. Die Lücke steht im CISA-KEV-Katalog; ein Metasploit-Modul ist verfügbar.

Hintergrund & Einordnung: Cisco führt die Angriffe mit hoher Konfidenz auf den Cluster UAT-8616 zurück, dessen Tooling Talos zuletzt weiter konkretisiert hat. In Europa halten Scan-Wellen gegen exponierte Management-Schnittstellen an. Da die Steuerungsebene eines SD-WAN-Netzes bei Übernahme weitreichende Kontrolle über die Verbindungen ermöglicht, ist das Schadenspotenzial entsprechend hoch.

Praxisfolgen / Handlungsempfehlung: Betroffene sollten die Cisco-Patches umgehend einspielen und Management- bzw. Controller-Schnittstellen strikt vom offenen Internet trennen. Der DTLS-Peering-Port (UDP 12346) sollte nur aus vertrauenswürdigen Netzen erreichbar sein. Eine Kompromittierungsprüfung anhand der von Talos beschriebenen Indikatoren ist angeraten.

Update vom Sonntag, 31. Mai 2026: Talos konkretisiert das UAT-8616-Tooling; die europäischen Scan-Wellen dauern an.

3.3 LiteSpeed cPanel-Plugin CVE-2026-48172 (CVSS 10.0): Mass-Exploitation

31.05.2026 · CISA-Alert · BleepingComputer · The Hacker News

Zusammenfassung: Über die Funktion lsws.redisAble im LiteSpeed-User-End-cPanel-Plugin lassen sich beliebige Skripte mit Root-Rechten ausführen. CISA nahm die Schwachstelle am 26. Mai in den KEV-Katalog auf; FCEB-Behörden hatten Frist bis 29. Mai. Betroffen sind die Versionen 2.3 bis 2.4.4, behoben in cPanel-Plugin v2.4.7 bzw. WHM-Plugin 5.3.1.0.

Hintergrund & Einordnung: BleepingComputer dokumentiert Mass-Exploitation-Wellen, in deren Verlauf auch eine „Sorry“-Ransomware ausgerollt wird. Da das Plugin in Shared-Hosting-Umgebungen weit verbreitet ist, kann eine einzelne Lücke zahlreiche Kundenseiten gleichzeitig betreffen. Die kurze KEV-Frist von vier Tagen unterstreicht die Dringlichkeit aus Sicht der US-Behörden.

Praxisfolgen / Handlungsempfehlung: Hosting-Anbieter sollten den Plugin-Stand flottenweit prüfen und auf die fehlerbereinigten Versionen heben. Server sind auf Kompromittierungsindikatoren und Spuren der „Sorry“-Ransomware zu untersuchen. Kundinnen und Kunden im Shared Hosting sollten den Update-Status aktiv erfragen.

Update vom Sonntag, 31. Mai 2026: Die KEV-Frist ist abgelaufen; die Mass-Exploitation hält an.

3.4 Microsoft Exchange OWA CVE-2026-42897 (Spoofing/XSS) aktiv ausgenutzt

31.05.2026 · Microsoft Tech Community · NVD · The Hacker News

Zusammenfassung: Microsoft hat eine aktiv ausgenutzte Spoofing-Schwachstelle in Exchange Outlook Web Access bestätigt (CVE-2026-42897, CVSS 8.1). Sie beruht auf einem Cross-Site-Scripting-Fehler und erlaubt es Angreifern, mit einer präparierten Mail JavaScript im OWA-Kontext eines Nutzers auszuführen. Betroffen sind die On-Prem-Versionen Subscription Edition RTM, 2019 und 2016; Exchange Online ist nicht betroffen. CISA hat die Lücke am 15. Mai in den KEV-Katalog aufgenommen.

Hintergrund & Einordnung: Ein regulärer Patch steht weiterhin aus; Microsoft hat eine automatische Mitigation über den Exchange-EM-Service ausgerollt. Da OWA für viele Organisationen aus dem Internet erreichbar ist, ist die Lücke gut angreifbar. Die FCEB-Frist datiert auf den 5. Juni, was den verbleibenden Handlungszeitraum eng setzt.

Praxisfolgen / Handlungsempfehlung: Betreiber sollten sicherstellen, dass die Mitigation M2.1.0 aktiv ist, und den Status laufend kontrollieren. Anwenderinnen und Anwender sind anzuweisen, bei ungewöhnlichen Schaltflächen, Anmeldemasken oder Pop-ups im Webmailer die Aktion abzubrechen und die Mail zu melden. Sobald ein regulärer Patch verfügbar ist, sollte er priorisiert eingespielt werden.

Update vom Sonntag, 31. Mai 2026: Kein regulärer Patch verfügbar; Mitigation bleibt Pflicht, FCEB-Frist 5. Juni.

3.5 BSI warnt vor hoher Schwachstellenlage in Oracle Communications Unified Assurance

28.05.2026 · it-boltwise

Zusammenfassung: Das BSI hat am 28. Mai eine Sicherheitswarnung für Oracle Communications Unified Assurance veröffentlicht und darin mehrere Schwachstellen mit hoher Ausnutzbarkeit beschrieben. Laut CVSS erreicht die Lage einen Base Score von 9,1. Die Komponente kommt typischerweise im Service-Assurance-Umfeld von Telekommunikations- und Netzbetreibern zum Einsatz.

Hintergrund & Einordnung: Schwachstellen in betrieblicher Telco-Software sind sicherheitspolitisch sensibel, weil sie Monitoring- und Steuerungsfunktionen kritischer Infrastruktur betreffen können. Die hohe Bewertung deutet auf ein erhebliches Risiko bei erreichbaren Instanzen hin. Konkrete Angaben zu aktiver Ausnutzung liegen in der Warnung nicht vor; maßgeblich ist die Verfügbarkeit der Hersteller-Updates.

Praxisfolgen / Handlungsempfehlung: Betreiber sollten die von Oracle bereitgestellten Updates zeitnah einspielen und die Erreichbarkeit der Komponente auf das Notwendige beschränken. Eine Bestandsaufnahme betroffener Instanzen und ein Abgleich mit dem BSI-Hinweis sind angeraten. Management-Zugänge sollten zusätzlich segmentiert werden.

4.1 BVerwG: Grenzen der Auswertung von Gesundheitsdaten für Vorsorgeprogramme

Bundesverwaltungsgericht · 06.03.2026 · Az. 6 C 7.24 · BVerwG · Dr. Datenschutz

Sachverhalt: Eine private Krankenversicherung wertete Gesundheitsdaten ihrer Versicherten aus, um geeignete Teilnehmer für Vorsorgeprogramme auszuwählen. Gegenstand des Verfahrens war die Frage, ob diese Verarbeitung sensibler Daten datenschutzrechtlich zulässig war und ob die Betroffenen hinreichend informiert wurden.

Entscheidung: Das Bundesverwaltungsgericht entschied, dass die Versicherung die Gesundheitsdaten ohne ausreichende datenschutzrechtliche Grundlage nicht zu diesem Zweck auswerten durfte. Zwar könne die Verarbeitung von Gesundheitsdaten grundsätzlich zulässig sein, hier habe die Versicherung die Betroffenen jedoch nicht ausreichend über die Datenverarbeitung informiert.

Begründungs-Kernpunkte: Das Gericht stellte klar, dass auch bei einer möglichen Zweckvereinbarkeit weiterhin eine eigenständige Rechtsgrundlage für die Verarbeitung erforderlich bleibt. Eine bloße Vereinbarkeit des neuen mit dem ursprünglichen Zweck rechtfertigt die Weiterverarbeitung sensibler Daten nicht automatisch. Den Transparenz- und Informationspflichten kommt bei Gesundheitsdaten ein besonders hoher Stellenwert zu.

Praxisfolgen: Unternehmen, die mit Gesundheitsdaten arbeiten, müssen ihre Informationspflichten vollständig und nachweisbar erfüllen. Für jede Verarbeitung – auch innerhalb eines vermeintlich kompatiblen Zwecks – ist eine eigenständige Rechtsgrundlage zu dokumentieren. Versicherer und Gesundheitsdienstleister sollten ihre Programm- und Auswahllogiken datenschutzrechtlich überprüfen.

4.2 VG Berlin: Partei muss Auskunft zu personalisierter Wahlwerbung erteilen

Verwaltungsgericht Berlin · 11.03.2026 · Az. 42 K 13/25 · gesetze.berlin.de · Dr. Datenschutz

Sachverhalt: Die Berliner Datenschutzbeauftragte verlangte von der AfD Auskunft über personalisierte Werbemaßnahmen in sozialen Medien während des Bundestagswahlkampfs 2021. Die Partei wandte sich gegen das Auskunftsverlangen.

Entscheidung: Das Verwaltungsgericht Berlin entschied, dass die Partei der Aufsicht die geforderten Auskünfte erteilen muss. Die Datenschutzaufsicht ist berechtigt, im Rahmen ihrer Untersuchungen zu datenschutzrechtlich relevanten Targeting-Praktiken Informationen zu geschalteten Anzeigen, deren Reichweiten und den verwendeten Zielgruppenmerkmalen anzufordern.

Begründungs-Kernpunkte: Nach Auffassung des Gerichts stellt das Auskunftsverlangen keinen unzulässigen Eingriff in die Parteienfreiheit dar. Die Untersuchungsbefugnisse der Aufsicht erstrecken sich auch auf das Microtargeting politischer Werbung. Die Reichweite der Auskunftspflicht umfasst dabei die für die Bewertung der Targeting-Praxis erforderlichen Detailangaben.

Praxisfolgen: Organisationen, die personalisierte Werbung in sozialen Medien schalten, müssen mit weitreichenden Auskunftsersuchen der Aufsichtsbehörden rechnen. Targeting-Kriterien, Reichweiten und Anzeigenhistorien sollten dokumentiert und auf Anforderung darlegbar sein. Die Entscheidung stärkt die Kontrollmöglichkeiten der Aufsicht gegenüber datengetriebener Wahlwerbung.

4.3 Berliner Kammergericht rügt Anwälte wegen KI-Halluzinationen

31.05.2026 · heise online

Sachverhalt: Das Berliner Kammergericht beanstandete den anwaltlichen Vortrag in einem Verfahren, weil dieser auf offenbar mit KI-Werkzeugen erzeugten, frei erfundenen Fundstellen beruhte. Solche „Halluzinationen“ generativer Sprachmodelle erzeugen plausibel wirkende, aber nicht existente Zitate oder Entscheidungen.

Entscheidung: Das Gericht rügte die verantwortlichen Anwälte für die Einreichung des fehlerhaften Vortrags. Die Entscheidung unterstreicht die fortbestehende Verantwortung der Prozessbevollmächtigten für die Richtigkeit ihres Vortrags – unabhängig von eingesetzten Hilfsmitteln.

Begründungs-Kernpunkte: Der Einsatz von KI-Werkzeugen entbindet nicht von der Pflicht zur sorgfältigen Prüfung der zitierten Quellen. Wer maschinell erstellte Inhalte ungeprüft übernimmt, verletzt seine Sorgfaltspflichten im Rechtsverkehr. Die gerichtliche Rüge wirkt als Warnsignal an die anwaltliche Praxis.

Praxisfolgen: Kanzleien und Rechtsabteilungen sollten klare interne Vorgaben zur Nutzung generativer KI etablieren und jede maschinell erzeugte Fundstelle vor Verwendung verifizieren. Der Fall ist ein anschauliches Beispiel für die Haftungsrisiken ungeprüfter KI-Ausgaben in regulierten Berufen. Eine dokumentierte Quellenprüfung sollte fester Bestandteil des Arbeitsablaufs werden.

5.1 100 Mio. Euro gegen Yango-Betreiberin MLU wegen unzulässiger Russland-Transfers

31.05.2026 · Autoriteit Persoonsgegevens · Dr. Datenschutz

Behörde: Autoriteit Persoonsgegevens (Niederlande), koordiniert mit Finnland und Norwegen · Adressat: MLU B.V. (Yango/Yandex-Tochter) · Höhe: 100 Mio. Euro

Verstoß / Rechtsgrundlage: Die Behörde beanstandete unzulässige Übermittlungen personenbezogener Daten europäischer Nutzer an Server in Russland. Zwar nutzte das Unternehmen Standardvertragsklauseln, diese wurden jedoch als unwirksam eingestuft, weil die tatsächlichen Rollen der Beteiligten nicht korrekt abgebildet waren und technische Schutzmaßnahmen praktisch nicht griffen.

Begründung: Die Speicherung der Verschlüsselungs-Keys in Russland bot nach Auffassung der Behörde keinen ausreichenden Schutz, zumal weitreichende behördliche Zugriffsmöglichkeiten bestehen. Standardvertragsklauseln allein gewährleisten keine rechtssicheren Drittstaatentransfers, wenn die ergänzenden Maßnahmen wirkungslos bleiben. Damit wird der Maßstab für die Wirksamkeit zusätzlicher Schutzmaßnahmen geschärft.

Praxisfolgen: Verantwortliche sollten ihre Transfer-Impact-Assessments überprüfen und sicherstellen, dass SCC die tatsächlichen Rollen korrekt widerspiegeln. Ergänzende technische Maßnahmen müssen praktisch wirksam ausgestaltet sein, insbesondere bei Transfers in Staaten mit weitreichendem Behördenzugriff. Der Fall bleibt ein zentraler Referenzpunkt für die Bewertung von Drittlandtransfers.

Update vom Sonntag, 31. Mai 2026: Das Verfahren bleibt europäischer Referenzpunkt für Drittlandtransfers; deutsche Verantwortliche sollten ihre TIA überprüfen.

5.2 45 Mio. Euro kombinierte Vodafone-Bußgelder im 34. Tätigkeitsbericht der BfDI bestätigt

31.05.2026 · BfDI · legal data

Behörde: BfDI · Adressat: Vodafone · Höhe: 45 Mio. Euro (15 Mio. + 30 Mio.)

Verstoß / Rechtsgrundlage: 15 Mio. Euro entfielen auf mangelhafte Auftragsverarbeiter-Kontrolle (Art. 28 DSGVO), 30 Mio. Euro auf Sicherheitsmängel im Authentifizierungsprozess von „MeinVodafone“ (Art. 32 DSGVO). Die Bußgelder sind im 34. Tätigkeitsbericht der BfDI dokumentiert.

Begründung: Massenwirkung entstand durch Übernahmen von Kundenkonten und Beeinträchtigungen von Telekommunikationsdiensten. Die Kombination aus unzureichender Dienstleisterkontrolle und Schwächen in der Nutzerauthentifizierung wog dabei besonders schwer. Der Fall verdeutlicht das Zusammenspiel von Art. 28 und Art. 32 DSGVO in der Aufsichtspraxis.

Praxisfolgen: Unternehmen sollten ihre Auftragsverarbeiter-Kontrollen und Authentifizierungsverfahren kritisch überprüfen, insbesondere bei Self-Service-Portalen mit hohem Kundenvolumen. Schwache Authentifizierung ist nicht nur ein Sicherheits-, sondern auch ein Bußgeldrisiko. Der Tätigkeitsbericht bleibt eine wichtige Referenz für die behördliche Bewertungspraxis.

Update vom Sonntag, 31. Mai 2026: Das 45-Mio.-Euro-Bußgeld bleibt im Kontext des Tätigkeitsberichts zentrale Referenz für Art. 28/32 DSGVO.

6.1 Signal-Nutzer im Visier: Phishing zielt auf Backup-Wiederherstellungsschlüssel

29.05.2026 · Malwarebytes · TechCrunch

Zusammenfassung: Eine neue Phishing-Kampagne zielt darauf ab, von Signal-Nutzern den 64-stelligen Wiederherstellungsschlüssel für verschlüsselte Backups zu erlangen. Die Angreifer geben sich per Textnachricht als „Signal Support“ aus und behaupten, ein Synchronisierungsfehler gefährde die Daten. Schritt für Schritt werden die Opfer angeleitet, den Schlüssel anzuzeigen, zu kopieren und in den Chat einzufügen. Wer den Schlüssel erhält, kann das gesamte verschlüsselte Nachrichtenarchiv herunterladen und entschlüsseln.

Hintergrund & Einordnung: Der Angriff nutzt Signals Funktion für sichere Backups aus, bei der verschlüsselte Archive auf Signal-Servern liegen und durch den Schlüssel geschützt sind. Dieser Schlüssel verlässt das Gerät normalerweise nie. Aktuell wirken die Angriffe gezielt – es liegen Berichte über betroffene Journalisten und Aktivisten vor –, doch die Masche kann sich rasch verbreiten. Für Angreifer ist der Zugriff auf das gesamte Archiv noch wertvoller als eine reine Kontoübernahme.

Praxisfolgen / Handlungsempfehlung: Wiederherstellungsschlüssel, PINs und Codes dürfen niemals weitergegeben werden; Signal fordert sie grundsätzlich nicht an und kontaktiert Nutzer nie zuerst. Anwenderinnen und Anwender sollten die Registrierungssperre und eine Registrierungs-PIN aktivieren und unaufgeforderte „Support“-Nachrichten als verdächtig behandeln. Verschwindende Nachrichten können den potenziellen Schaden zusätzlich begrenzen.

6.2 Kali365: Phishing-Kit umgeht MFA und stiehlt Microsoft-Logins

27.05.2026 · Malwarebytes

Zusammenfassung: Das FBI warnt vor einem Phishing-Baukasten namens „Kali365″, mit dem Angreifer dauerhaften Zugriff auf Microsoft-Konten erlangen. Über täuschend echte Anmeldeseiten werden nicht nur Passwörter, sondern auch Sitzungstokens abgefangen, womit sich die Mehr-Faktor-Authentifizierung aushebeln lässt. Ziel sind insbesondere Outlook-, Teams- und OneDrive-Konten.

Hintergrund & Einordnung: Adversary-in-the-Middle-Kits wie Kali365 industrialisieren den Diebstahl von Sitzungstokens und senken die Einstiegshürde für Angreifer deutlich. Der Diebstahl gültiger Sitzungen ermöglicht langanhaltenden Zugriff, ohne dass erneut eine MFA-Abfrage ausgelöst wird. Das untergräbt das Vertrauen in MFA als alleinige Schutzmaßnahme und verschiebt den Fokus auf Token- und Sitzungsschutz.

Praxisfolgen / Handlungsempfehlung: Organisationen sollten phishing-resistente Verfahren wie FIDO2/Passkeys einführen und Conditional-Access-Richtlinien sowie Token-Bindung nutzen. Anwenderinnen und Anwender sollten Anmeldeseiten nur über selbst eingegebene Adressen oder Lesezeichen öffnen und unerwartete Re-Login-Aufforderungen ignorieren. Eine kurze Sitzungsgültigkeit und Anomalieerkennung erschweren die Nutzung gestohlener Tokens.

6.3 Gefälschte ChatGPT-Download-Seite verteilt Malware an Windows- und Mac-Nutzer

28.05.2026 · Malwarebytes

Zusammenfassung: Eine gefälschte ChatGPT-Download-Seite verteilt Schadsoftware sowohl an Windows- als auch an Mac-Nutzer, jeweils mit plattformspezifischen Schadprogrammen. Wer nach einem ChatGPT-Download sucht, kann so auf die betrügerische Seite gelangen und unwissentlich Malware installieren. Die Kampagne setzt auf die hohe Nachfrage nach KI-Werkzeugen.

Hintergrund & Einordnung: Die Methode, populäre Marken über manipulierte Suchergebnisse und Werbeanzeigen zu missbrauchen, ist nicht neu, gewinnt aber durch den KI-Hype an Wirkung. Die parallele Auslieferung getrennter Payloads für Windows und macOS zeigt einen professionellen Aufbau. Solche Kampagnen zielen auf Zugangsdaten, Krypto-Wallets und Fernzugriff.

Praxisfolgen / Handlungsempfehlung: Software sollte ausschließlich aus offiziellen Quellen und über verifizierte Adressen bezogen werden; gesponserte Suchtreffer sind mit Vorsicht zu behandeln. Unternehmen sollten den Bezug von KI-Tools kanalisieren und Application-Allowlisting erwägen. Endpunktschutz und Web-Filter reduzieren das Risiko zusätzlich.

6.4 Bundeskabinett beschließt Cybersicherheitsgesetz mit erweiterten Befugnissen

31.05.2026 · Bundesregierung · t-online · IT-Business

Zusammenfassung: Das Bundeskabinett hat am 27. Mai einen Entwurf für ein Gesetz zur Stärkung der Cybersicherheit beschlossen. Das BSI soll auf Antrag in Systemen einer Institution nach Vorbereitungshandlungen für Cyberangriffe suchen dürfen und gegen schadhafte Domains aktiv vorgehen können. Die Befugnisse umfassen das Verbot des Betriebs gefährdender IT-Systeme sowie das Umleiten und Verändern von Datenverkehr, teils ohne Wissen der Betroffenen. Vorgesehen sind 37 zusätzliche Planstellen.

Hintergrund & Einordnung: Der Entwurf erweitert die Eingriffsbefugnisse von BSI, BKA und Bundespolizei deutlich und verschiebt das BSI stärker in eine operative Abwehrrolle. Verbände wie Bitkom äußerten Zustimmung, während der eco-Verband Kritik formulierte, insbesondere mit Blick auf Eingriffe in den Datenverkehr. Die konkrete Reichweite wird sich erst in den parlamentarischen Beratungen klären.

Praxisfolgen / Handlungsempfehlung: Betreiber und Provider sollten den Gesetzgebungsprozess verfolgen und mögliche Mitwirkungs- und Duldungspflichten frühzeitig bewerten. Für die Praxis relevant ist insbesondere, wie aktive Maßnahmen gegen Domains und Datenverkehr ausgestaltet und kontrolliert werden. KRITIS-Betreiber sollten ihre Schnittstellen zu Behörden prüfen.

Update vom Sonntag, 31. Mai 2026: Bitkom-Zustimmung und eco-Kritik liegen in Verbands-Pressemitteilungen vom 27./28. Mai vor; die parlamentarischen Beratungen stehen aus.