1. „Miasma“-Wurm kompromittiert 73 Microsoft-Repositories — Angriffsvektor sind KI-Coding-Tools

Seit Samstag, 6. Juni 2026 · zuletzt aktualisiert Dienstag, 9. Juni 2026 · Score 97

Die Gruppe TeamPCP hat mit dem selbst-replizierenden Wurm „Miasma“ — einer Variante des Mini-Shai-Hulud-Kits — 73 öffentliche GitHub-Repositories in vier Microsoft-Organisationen (Azure, Azure-Samples, Microsoft, MicrosoftDocs) kompromittiert. Der Wurm pflanzt Konfigurationsdateien ein, die beim Öffnen eines Repositories in KI-Coding-Werkzeugen — darunter Claude Code, Gemini CLI, Cursor und VS Code — automatisch Schadcode ausführen und GitHub-Actions-Secrets, Cloud-Credentials, SSH-Keys und Kubernetes-Material abgreifen.

Letzte Entwicklung: StepSecurity dokumentierte eine neue Umgehungstechnik („Phantom Gyp“), die das Sicherheitsmonitoring von npm-Installationsprozessen aushebelt. Parallel wurden über 30 npm-Pakete im Red-Hat-Namespace mit zusammen rund 117.000 wöchentlichen Downloads kompromittiert.

1.1 Databroker-Affäre: Landeskriminalämter nutzen Werbe-Standortdaten — Prüfverfahren eingeleitet

02.06.2026 · netzpolitik.org · borncity.com

Zusammenfassung: Recherchen von netzpolitik.org und BR belegen, dass mindestens zwei Landeskriminalämter (Mecklenburg-Vorpommern, Brandenburg) kommerziell erworbene Databroker-Daten für Ermittlungen genutzt haben — darunter ursprünglich für Werbung gesammelte Handy-Standortdaten, die metergenaue Bewegungsprofile ermöglichen. Neun weitere Länder verweigerten die Auskunft, nur fünf verneinten den Einsatz klar. Der Landesdatenschutzbeauftragte Mecklenburg-Vorpommern hat ein förmliches Prüfverfahren eingeleitet.

Hintergrund & Einordnung: Der Polizeirechtler Prof. Mark Zöller stuft die Praxis als rechtswidrig ein — eine ausdrückliche gesetzliche Ermächtigungsgrundlage für den Ankauf solcher Daten fehle. Der Fall zeigt exemplarisch, wie zu Werbezwecken gesammelte Daten zweckentfremdet werden und über Datenbroker-Pools wieder auftauchen.

Praxisfolgen / Handlungsempfehlung: Verantwortliche sollten prüfen, ob ihre Datenschutzhinweise und Auftragsverarbeitungsverträge auch eine behördliche Weiternutzung adressieren, und Beschäftigte zu App-Berechtigungen schulen. Wer Tracking-SDKs einsetzt, sollte die Weitergabewege seiner Daten kennen.

1.2 Digitalministerkonferenz beschließt Datenschutz-Lockerungen für KI in der Verwaltung

15.05.2026 · netzpolitik.org

Zusammenfassung: Auf der 5. Digitalministerkonferenz einigten sich Bund und Länder auf Maßnahmen zur Beschleunigung der Verwaltungsdigitalisierung, die ausdrücklich Datenschutzlockerungen umfassen. Bis Ende 2027 soll im BDSG eine Regelung geschaffen werden, die Behörden die Anonymisierung oder Pseudonymisierung personenbezogener Daten für KI-Training erlaubt.

Hintergrund & Einordnung: Bundesdigitalminister Wildberger hält bestehende Datenschutzregeln für zu streng ausgelegt und plädiert für die Abschaffung des Pflichtbeauftragten auf Länderebene. BfDI Specht-Riemenschneider äußerte erhebliche Bedenken, vor allem zu ungeklärten Löschrechten in bereits trainierten KI-Modellen.

Praxisfolgen / Handlungsempfehlung: Bis zu einer endgültigen Gesetzesänderung gibt es keine Erleichterung. Wer KI-Trainingsdaten auf Basis personenbezogener Bestände plant, muss die geltenden DSGVO-Anforderungen strikt einhalten und die Gesetzgebung eng verfolgen.

1.3 EDSA schließt Konsultation zu einheitlicher DSFA-Vorlage ab

Konsultation bis 09.06.2026 · bfdi.bund.de · datenschutzticker.de

Zusammenfassung: Der Europäische Datenschutzausschuss hat eine standardisierte Vorlage für Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) samt Anleitungsdokument vorgelegt und bis zum 9. Juni 2026 öffentlich konsultiert. Die unter Mitwirkung der BfDI entwickelte Vorlage soll insbesondere KMU bei der Dokumentationsstruktur entlasten, ohne eine bestimmte Risikobewertungsmethode vorzuschreiben.

Hintergrund & Einordnung: Nach Auswertung der Konsultation soll das Template faktisch zum europäischen Referenzstandard werden. Auf dem 121. EDSA-Plenum (8.–9. Juni) wurden zudem die Auswirkungen des Digital-Omnibus-Pakets auf die DSGVO erörtert.

Praxisfolgen / Handlungsempfehlung: Verantwortliche sollten die EDSA-Vorlage als Grundlage für neue und überarbeitete DSFAs übernehmen, um behördenübergreifende Akzeptanz zu sichern, und ein Update bestehender DSFA-Prozesse einplanen.

2.1 Miasma-Wurm: selbst-replizierender Supply-Chain-Angriff über KI-Coding-Tools

06.06.2026 · The Hacker News · BleepingComputer

Zusammenfassung: Der Wurm „Miasma“ hat 73 öffentliche Repositories in vier Microsoft-GitHub-Organisationen kompromittiert. Er pflanzt Konfigurationsdateien ein, die beim Öffnen eines Repos in KI-Coding-Tools (Claude Code, Gemini CLI, Cursor, VS Code) Schadcode ausführen und Secrets, Cloud-Credentials, SSH-Keys und Kubernetes-Material exfiltrieren. Zusätzlich wurden über 30 npm-Pakete im Red-Hat-Namespace (~117.000 Downloads/Woche) kompromittiert.

Hintergrund & Einordnung: Die Technik „Phantom Gyp“ umgeht das Standard-Monitoring von npm-Installationsprozessen. Der Angriff verbindet zwei Trends: selbst-verbreitende Supply-Chain-Malware und die Nutzung von KI-Entwicklerwerkzeugen als neuen, bisher kaum abgesicherten Ausführungskontext.

Praxisfolgen / Handlungsempfehlung: AI-Tool-Konfigurationen in geklonten Repositories vor dem Öffnen prüfen, keine ungeprüften Repos in KI-Tools laden, betroffene npm-Pakete identifizieren und GitHub-/Cloud-Credentials rotieren.

2.2 Magento/Mirasvit Cache Warmer (CVE-2026-45247, CVSS 9.8) aktiv ausgenutzt

03.06.2026 · The Hacker News · CISA

Zusammenfassung: CISA nahm CVE-2026-45247 in den KEV-Katalog auf — eine kritische PHP-Deserialisierungslücke in der Magento-Erweiterung „Mirasvit Cache Warmer“. Nicht authentifizierte Angreifer können über den CacheWarmer-Cookie beliebigen PHP-Code ausführen. Betroffen sind alle Versionen vor 1.11.12; ein Patch ist seit dem 25. Mai verfügbar.

Hintergrund & Einordnung: Hauptangriffsländer sind USA, Großbritannien, Frankreich und Australien; primäre Ziele sind Gaming- und Business-Websites. Die kurze KEV-Remediationsfrist (6. Juni für US-Behörden) unterstreicht das Tempo der aktiven Ausnutzung.

Praxisfolgen / Handlungsempfehlung: Shopbetreiber mit Magento/Adobe Commerce sollten prüfen, ob die Mirasvit-Cache-Warmer-Erweiterung installiert ist, und sofort auf Version 1.11.12 oder neuer aktualisieren.

3.1 SolarWinds Serv-U (CVE-2026-28318) in CISA-KEV aufgenommen

05.06.2026 · The Hacker News · CISA

Zusammenfassung: CISA hat am 5. Juni eine aktiv ausgenutzte Denial-of-Service-Schwachstelle in SolarWinds Serv-U (CVSS 7.5) in den KEV-Katalog aufgenommen. Angreifer können den Dienst ohne Authentifizierung durch präparierte POST-Anfragen mit dem Header Content-Encoding: deflate zum Absturz bringen. Der Patch ist in Version 15.5.4 HF1 enthalten.

Hintergrund & Einordnung: US-Bundesbehörden mussten bis zum 19. Juni patchen. CISA empfiehlt generell, den Header Content-Encoding zu blockieren, da Serv-U diese Funktionalität nicht benötigt.

Praxisfolgen / Handlungsempfehlung: Serv-U-Instanzen sofort auf 15.5.4 HF1 aktualisieren; alternativ den Header am Perimeter blockieren und den Zugriff auf bekannte Adressen beschränken.

3.2 Cisco Unified CM (CVE-2026-20230, CVSS 8.6): öffentlicher PoC

07.06.2026 · The Hacker News

Zusammenfassung: Cisco hat in Unified Communications Manager und der Session Management Edition eine Server-Side-Request-Forgery-Lücke gepatcht, die beliebige Datei-Schreibvorgänge und eine Root-Privilegienerweiterung ermöglicht. Exploit-Code ist öffentlich; aktive Angriffe meldet Cisco PSIRT bislang nicht. Angreifbar ist nur, wenn der WebDialer-Dienst aktiv ist (Standard: inaktiv).

Hintergrund & Einordnung: Ein öffentlicher PoC verkürzt erfahrungsgemäß das Zeitfenster bis zur aktiven Ausnutzung erheblich. Für den 15er-Train steht der vollständige Patch erst im September bereit, ein Interim-COP-Patch ist jedoch jetzt verfügbar.

Praxisfolgen / Handlungsempfehlung: WebDialer-Status prüfen und deaktivieren, falls nicht benötigt; verfügbaren Patch bzw. COP-Patch sofort einspielen.

4.1 VG Berlin: Ausweiskontrollen und Videoüberwachung in Schwimmbädern DSGVO-konform

Verwaltungsgericht Berlin · 06.05.2026 · VG 42 K 73/25 · LTO · beck-aktuell

Sachverhalt: Die Berliner Datenschutzbeauftragte hatte die Berliner Bäder-Betriebe wegen anlassbezogener Ausweiskontrollen (ab 14 Jahren) und punktueller Videoüberwachung verwarnt. Dagegen klagten die Bäder-Betriebe.

Entscheidung: Das VG Berlin hob die Verwarnung auf. Die Maßnahmen sind mit der DSGVO vereinbar, wenn die Daten nicht dokumentiert werden, keine Live-Beobachtung stattfindet und die Speicherdauer auf 72 Stunden begrenzt ist.

Begründungs-Kernpunkte: Das Gericht gewichtete den Schutz von Leben und körperlicher Unversehrtheit höher als den Eingriff in das Recht auf informationelle Selbstbestimmung. Es ist die erste verwaltungsgerichtliche Maßstabsbildung für Einlasskontrollen in öffentlichen Einrichtungen; die Datenschutzbeauftragte prüft Berufung, das Urteil ist nicht rechtskräftig.

Praxisfolgen: Betreiber öffentlicher Einrichtungen können sich orientieren, müssen aber die engen Bedingungen einhalten (keine Dokumentation, kurze Speicherfrist, punktuell statt flächendeckend, Art.-13-Information vor Betreten) und eine DSFA durchführen.

4.2 EuGH C-526/24: Missbräuchliches „DSGVO-Hopping“ kann schon beim ersten Auskunftsantrag abgelehnt werden

EuGH · 19.03.2026 · C-526/24 · haufe.de · CMS-Blog

Sachverhalt: Streitig war, ob ein Auskunftsantrag nach Art. 15 DSGVO bereits beim ersten Antrag als „offensichtlich unbegründet“ abgelehnt werden darf, wenn er erkennbar nur der Vorbereitung von Schadensersatzforderungen dient.

Entscheidung: Ja — eine Ablehnung ist zulässig, wenn keine echte Informationsbeschaffung beabsichtigt ist. Indikatoren sind ein sehr kurzer Abstand zwischen Dateneingabe und Antrag sowie dokumentierte Muster gleichgelagerter Fälle desselben Antragstellers.

Begründungs-Kernpunkte: Die Beweislast liegt vollständig beim Unternehmen. Wer zu früh oder ohne belastbare Begründung ablehnt, riskiert selbst Schadensersatzansprüche; eine pauschale Ablehnung bleibt unzulässig.

Praxisfolgen: Auskunftsanträge systematisch dokumentieren, Muster früh erkennen und eine rechtlich abgestimmte interne Prüfroutine für Missbrauchsverdacht einführen.

5.1 Keine neue deutsche Großsanktion im Tagesfenster — Trend zur Anbieter- und Drittlandkontrolle hält an

Stand 09.06.2026 · GDPR Enforcement Tracker

Behörde: — · Adressat: — · Höhe: —

Verstoß / Rechtsgrundlage: Im Zeitfenster 5.–9. Juni 2026 wurde kein frisches großes deutsches DSGVO-Bußgeld veröffentlicht. Schwerpunkte der jüngeren Durchsetzung bleiben unzureichende Kontrolle von Drittanbietern und Datenflüssen sowie Transparenz- und Rechtmäßigkeitsanforderungen.

Praxisfolgen: Unternehmen sollten Auftragsverarbeitungs- und Drittlandtransfers systematisch erfassen, vertraglich absichern und regelmäßig auditieren. Eine tagesaktuelle Prüfung empfiehlt sich über den GDPR Enforcement Tracker.

6.1 BSI und BfV warnen vor russischer Ausspähung von Photovoltaik-Anlagen

ca. 03.06.2026 · BSI

Zusammenfassung: BSI und Bundesamt für Verfassungsschutz haben einen gemeinsamen Sicherheitshinweis der höchsten Kritikalitätsstufe veröffentlicht: Russische staatliche Akteure führen aktiv Aufklärung gegen internetverbundene Photovoltaik-Anlagen in Deutschland durch. Besonders gefährdet sind Anlagen mit steuerndem Zugriff, deren Monitoringsysteme ohne Zugangsdaten erreichbar sind.

Hintergrund & Einordnung: Betreiber sind häufig Privatpersonen oder Genossenschaften mit teils stark veralteten Firmware-Ständen. Die Warnung steht im Kontext russischer Sabotageinteressen an europäischer Energie-Infrastruktur.

Praxisfolgen / Handlungsempfehlung: Betreiber sollten prüfen, ob ihre Anlage ohne Passwort erreichbar ist, die Firmware umgehend aktualisieren und den Fernzugriff auf bekannte IP-Adressen beschränken oder deaktivieren.

6.2 KI-MIG: Bundesnetzagentur wird deutsche AI-Act-Marktüberwachungsbehörde

parlamentarisches Verfahren, Stand Juni 2026 · bundestag.de

Zusammenfassung: Das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG), nationales Durchführungsgesetz zum EU-AI-Act, macht die Bundesnetzagentur zu Koordinierungszentrum, Marktüberwachungs- und notifizierender Behörde. Vorgesehen sind Bußgelder bis 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes.

Hintergrund & Einordnung: Der EU-AI-Act gilt ab 2. August 2026 weitgehend verbindlich; für Hochrisiko-KI im HR-Bereich und Kredit-Scoring gilt durch das Digital-Omnibus-Paket eine Fristverlängerung bis Dezember 2027.

Praxisfolgen / Handlungsempfehlung: Unternehmen sollten jetzt ein Inventar aller eingesetzten KI-Systeme erstellen und Risikokategorien zuordnen. HR- und Kredit-Anwendungen profitieren von der verlängerten Frist, die Vorbereitung sollte dennoch sofort beginnen.