1. Five Eyes: KI verschiebt das Cyberrisiko – „leaders must act now“

Seit Montag, 22. Juni 2026 · zuletzt aktualisiert Donnerstag, 25. Juni 2026 · Score 86

Die Cyberbehörden der Five-Eyes-Staaten (USA, Großbritannien, Australien, Kanada, Neuseeland) haben in einer selten von den Behördenleitungen persönlich gezeichneten Erklärung gewarnt, dass KI Tempo, Ausmaß und Raffinesse von Angriffen rasant erhöht und das Zeitfenster zwischen Schwachstellenentdeckung und Ausnutzung schrumpfen lässt. Die Erklärung richtet sich ausdrücklich an Vorstände, nicht an IT-Abteilungen.

Letzte Entwicklung: Kernbotschaft ist „the timeline is not years, it is months“; Zero-Days seien zwangsläufig, Sicherheitsvorfälle würden eintreten – entscheidend sei die Vorbereitung. (Hinweis: Das BSI ist nicht Mitunterzeichner; die Erklärung ist rein Five-Eyes.)

2. Operation Endgame zerschlägt SocGholish-Infrastruktur

Seit Donnerstag, 18. Juni 2026 · zuletzt aktualisiert Donnerstag, 25. Juni 2026 · Score 80

In einer neuen Phase der Operation Endgame wurden 106 Server und 101 Domains der SocGholish-/FakeUpdates-Infrastruktur beschlagnahmt und 14.971 kompromittierte Websites bereinigt – unter Beteiligung des BKA. SocGholish ist ein zentrales Initial-Access-Glied, das über gefälschte Update-Prompts Schadsoftware ausliefert.

Letzte Entwicklung: ShadowServer fand zuvor über 1,44 Mio. kompromittierte WordPress-Sites; trotz Takedown ist mit Wiederaufbau der Infrastruktur zu rechnen.

2.1 Erpressergruppe Bashe setzt Flughafen Wien per Darknet-Countdown unter Druck

23.06.2026 · DeXpose · meinbezirk.at

Zusammenfassung: Die Erpressergruppe Bashe (auch APT73) beansprucht einen Angriff auf die Flughafen Wien AG und behauptet, über eine halbe Million E-Mails und mehr als 4.470 Dateien erbeutet zu haben; auf einer Darknet-Leak-Seite lief ein Countdown. Der Flughafen bestätigte lediglich das Auftauchen älterer Frachtdokumente aus 2025, keine Verschlüsselung, keine Passagierdaten und keinen Betriebsausfall. Unter den präsentierten Belegen finden sich Pre-Flight-Reports und Ladelisten.

Hintergrund & Einordnung: Sicherheitsanalysten verorten Bashe als Nachfolge-/Abspaltungsprojekt der zerschlagenen LockBit-Operation; die „APT“-Selbstbezeichnung gilt als Marketing. CloudSEK weist darauf hin, dass ein erheblicher Teil der von Bashe reklamierten Hacks auf wiederverwerteten Altdaten beruht. Der Fall ist damit ein Lehrstück für die nötige Verifikation von Erpresser-Behauptungen.

Praxisfolgen / Handlungsempfehlung: Erpresser-Claims forensisch gegen die behaupteten Datenstände prüfen, statt Countdown-Druck nachzugeben. Auch „nur“ alte Frachtdokumente können sensible Logistik-Details offenlegen – Drittparteien- und Lieferketten-Dokumente in die Incident-Bewertung einbeziehen.

3.1 libssh2: kritische Speicherfehler-Lücke (CVE-2026-55200), noch kein offizielles Release

21.06.2026 · heise Security

Zusammenfassung: In der weit verbreiteten SSH-Bibliothek libssh2 stecken zwei Schwachstellen: CVE-2026-55200 (kritisch) und CVE-2026-55199 (hoch). Über präparierte SSH-Pakete können Angreifer Speicherfehler auslösen und im schlimmsten Fall Schadcode ausführen; auch Denial-of-Service ist möglich. Betroffen sind alle Versionen bis einschließlich 1.11.1. Fixes existieren bisher nur als Commits im Master-Branch – ein offizielles Release steht noch aus, einzelne Distributionen (Kali, Debian-Testing) liefern bereits gepatchte Pakete.

Hintergrund & Einordnung: libssh2 ist tief in zahllose Produkte eingebettet und wird genutzt, um Router und IoT-Geräte fernzusteuern und Server zu verwalten. Genau diese Einbettung erschwert das Patchen: Betroffen ist nicht nur die Bibliothek selbst, sondern jede Anwendung, die sie statisch oder dynamisch einbindet. Ohne Upstream-Release hängt die Behebung an Distributions- und Hersteller-Backports.

Praxisfolgen / Handlungsempfehlung: Software-Inventar auf libssh2-Abhängigkeiten prüfen (auch in Appliances und Embedded-Firmware). Wo möglich auf gepatchte Distributions-Pakete umsteigen; bei eingebetteten Produkten Hersteller-Advisories abwarten und SSH-Dienste netzseitig einschränken.

3.2 Lantronix EDS5000: aktiv ausgenutzte Root-Command-Injection in der CISA-KEV

23.06.2026 · BleepingComputer

Zusammenfassung: Die CISA nahm CVE-2025-67038 in Lantronix-EDS5000-Device-Servern in ihren Known-Exploited-Vulnerabilities-Katalog auf. Der vom Nutzer gelieferte Username wird ohne ausreichende Bereinigung in einen Shell-Befehl eingesetzt, sodass injizierte OS-Befehle mit Root-Rechten ausgeführt werden. Lantronix stellt einen Patch in Version 2.2.0.0R1 bereit; für US-Behörden gilt die BOD-26-04-Frist zum 26.06.2026.

Hintergrund & Einordnung: EDS5000-Geräte sind serielle Device-/Terminal-Server, die in OT- und Industrieumgebungen serielle Hardware ins Netz bringen – oft langlebig, selten gepatcht und gelegentlich exponiert. Die KEV-Aufnahme signalisiert bestätigte Ausnutzung, nicht nur theoretisches Risiko. Solche Embedded-Geräte sind ein typischer Brückenkopf in industrielle Netze.

Praxisfolgen / Handlungsempfehlung: Auf Firmware 2.2.0.0R1 aktualisieren und EDS5000-Management-Zugänge aus dem Internet entfernen bzw. segmentieren. OT-Bestand auf Lantronix-Device-Server inventarisieren – diese Geräte fallen bei reinen IT-Patch-Zyklen oft durchs Raster.

4.1 OVG NRW: Bundesnetzagentur im Streit um Heavy-User-Drosselung vorläufig gestoppt

OVG Nordrhein-Westfalen (13. Senat) · 12.06.2026 · 13 B 1232/25 · LTO · beck-aktuell · teltarif

Sachverhalt: Die Bundesnetzagentur hatte einem Mobilfunkanbieter untersagt, in Tarifen mit sehr großem oder unbegrenztem Datenvolumen eine Depriorisierungsklausel zu verwenden, wonach Vielnutzer nach Überschreiten eines Datenvolumens bei außergewöhnlicher Funkzellen-Überlastung nachrangig transportiert werden. Der Anbieter wandte sich gegen die sofortige Vollziehung; das VG Köln (1 L 1250/25) hatte den Eilantrag zunächst abgelehnt.

Entscheidung: Das OVG änderte die Entscheidung des VG Köln, gab der Beschwerde statt und setzte die Vollziehung des Untersagungsbescheids vorläufig aus. Der Anbieter darf die Klausel bis zur Klärung in der Hauptsache weiterverwenden. Der Beschluss ist unanfechtbar.

Begründungs-Kernpunkte: Bei summarischer Prüfung lässt sich anhand der EuGH-Rechtsprechung nicht zweifelsfrei beurteilen, ob die Depriorisierung eine nach Art. 3 Abs. 3 VO (EU) 2015/2120 nicht gerechtfertigte Ungleichbehandlung darstellt; die Frage ist europarechtlich nicht abschließend geklärt und im Hauptsacheverfahren voraussichtlich dem EuGH vorzulegen. Bei offener Rechtslage überwiegt das Interesse des Anbieters, weil die Klauseln bei sofortigem Vollzug gegenüber zahlreichen Kunden „unwiederbringlich verloren“ wären.

Praxisfolgen: Vorläufiger Etappensieg der Mobilfunkanbieter – volumenabhängige Depriorisierung in Unlimited-Tarifen bleibt vorerst möglich; endgültige Klarheit bringt erst der EuGH. Die Kernfrage entscheidet, ob „unbegrenzte“ Tarife eine Drossel-Hintertür für Intensivnutzer enthalten dürfen. Mit mehrjähriger Verfahrensdauer ist zu rechnen. (Volltext bei Redaktionsschluss noch nicht in der NRW-Entscheidungsdatenbank veröffentlicht; Darstellung nach Pressemitteilung und Fachberichterstattung.)

4.2 BGH: Akteneinsicht nach § 42 ZVG ohne Schwärzung personenbezogener Daten

BGH (V. Zivilsenat) · 21.05.2026 · V ZB 90/25 · openJur

Sachverhalt: In einem Zwangsversteigerungsverfahren war streitig, ob bei der Akteneinsicht nach § 42 ZVG die enthaltenen personenbezogenen Daten zuvor zu schwärzen sind. Die Vorinstanzen (AG/LG Bamberg) hatten Schwärzungen verlangt.

Entscheidung: Der BGH hob die vorinstanzlichen Beschlüsse auf: § 42 ZVG gestattet die Einsicht in die dort genannten Aktenbestandteile, ohne dass personenbezogene Daten vorher zu schwärzen sind. Die Einsicht ist ungeschwärzt zu gewähren.

Begründungs-Kernpunkte: § 42 ZVG ist als vorrangige Spezialregelung der Rechtspflege die nach Art. 6 Abs. 3 DSGVO erforderliche nationale Rechtsgrundlage für eine Verarbeitung nach Art. 6 Abs. 1 lit. e DSGVO. Der datenschutzrechtliche Schutz erfolgt nicht durch Schwärzung, sondern durch ein Weitergabe- und Veröffentlichungsverbot. Ungeschwärzte Einsicht ist für Objektbewertung und Kontaktaufnahme erforderlich.

Praxisfolgen: Gerichte und Rechtspfleger dürfen Akteneinsicht in ZVG-Verfahren nicht mehr unter Berufung auf die DSGVO durch Schwärzung einschränken; Bietinteressenten unterliegen einem klaren Verbreitungsverbot. Das Argumentationsmuster ist auf andere bereichsspezifische Akteneinsichtsrechte übertragbar: Eine spezielle nationale Norm schlägt die pauschale DSGVO-Schwärzungsforderung.

6.1 Five Eyes warnen: KI verändert Cyberrisiken rasant – „leaders must act now“

22.06.2026 · CISA (gemeinsame Erklärung) · heise online

Zusammenfassung: Die Cyberbehörden der Five-Eyes-Staaten (NSA/CISA, NCSC-UK, ASD, CCCS, NCSC-NZ) haben in einer selten namentlich von den Behördenleitungen gezeichneten Erklärung „The AI shift in cyber risk: why leaders must act now“ zum Handeln aufgerufen. KI beschleunige Tempo, Ausmaß und Raffinesse von Angriffen und verkürze das Zeitfenster zwischen Schwachstellenentdeckung und Ausnutzung; Frontier-Modelle überträfen aktuelle Branchenerwartungen – „the timeline is not years, it is months“.

Hintergrund & Einordnung: Die Erklärung richtet sich ausdrücklich an Vorstände und Geschäftsleitungen: Cybersicherheit sei „a core business risk and leadership responsibility“. Zero-Days seien zwangsläufig, Sicherheitsvorfälle würden eintreten – entscheidend sei Resilienz und vorbereitete Incident-Response. Inhaltlich bleibt das Papier bewusst auf Leitungsebene und betont Kern-Hygiene (Angriffsfläche reduzieren, schneller patchen, Legacy adressieren, Identitäts-/Zugriffskontrollen stärken). Das deutsche BSI ist nicht Mitunterzeichner; die deutsche Berichterstattung verknüpft die Warnung nur thematisch mit der hiesigen Lage.

Praxisfolgen / Handlungsempfehlung: Cyberresilienz auf die Vorstandsebene heben; Patch-Management auf verkürzte Exploit-Fenster auslegen; Legacy-/unsupported Systeme als strategisches Risiko behandeln; Annahme „ein Vorfall wird eintreten“ mit getesteter Incident-Response hinterlegen. Defensiver KI-Einsatz wird vom Bonus zur Pflicht.

6.2 Operation Endgame zerschlägt SocGholish-Infrastruktur – BKA beteiligt

18.06.2026 · Eurojust · Security Affairs

Zusammenfassung: In einer neuen Phase der Operation Endgame beschlagnahmten Strafverfolger 106 Server und 101 Domains der SocGholish-Malware-Infrastruktur (auch „FakeUpdates“) und bereinigten 14.971 kompromittierte Websites. Beteiligt waren u. a. die niederländische NHTCU, das FBI, das deutsche BKA und die kanadische RCMP, unterstützt von Europol und Eurojust. SocGholish verteilt über gefälschte Software-/Browser-Updates Initial-Access-Malware, die anschließend gefährlichere Schadsoftware nachlädt.

Hintergrund & Einordnung: SocGholish gilt als zentrales Initial-Access-Glied und ist mit der sanktionierten Gruppe Evil Corp verknüpft; über die Jahre folgten Ransomware-Familien wie WastedLocker, LockBit und RansomHub auf SocGholish-Infektionen. ShadowServer fand im Mai 2026 über 1,44 Millionen kompromittierte WordPress-Sites. Die Resilienz solcher Infrastrukturen ist historisch hoch – frühere Takedowns wurden schnell durch Wiederaufbau konterkariert.

Praxisfolgen / Handlungsempfehlung: WordPress-Installationen auf SocGholish-Injektionen und manipulierte Update-Prompts prüfen; gefälschte „Browser-Update“-Aufforderungen bleiben ein Top-Initial-Access-Vektor für Awareness-Schulungen. Trotz Takedown mit erneutem Wiederaufbau rechnen – Erkennung nicht zurückfahren.