Daily-Briefing Datenschutz & IT-Sicherheit
Deutschland · Datenschutz · Datensicherheit · IT-Sicherheit · Urteile · Bußgelder · Cyber-Sicherheit
Worauf Sie heute achten sollten
- Zu hohe Stromrechnung durch Smart-Meter-Fehler. Bei intelligenten Stromzählern kann die sogenannte Markt-Location-ID – die Kennung Ihrer Lieferstelle – im System des Messstellenbetreibers falsch verknüpft werden. Dann landet der Verbrauch eines fremden Haushalts auf Ihrer Rechnung, oder Sie rutschen ungewollt in die teure Grundversorgung. Prüfen Sie Ihre Abrechnung auf Plausibilität und melden Sie Auffälligkeiten dem Messstellenbetreiber – je früher, desto geringer das finanzielle Risiko.
- WordPress-Seitenbetreiber: OptinMonster und TrustPulse prüfen. Über einen Angriff auf das Content-Delivery-Network des Herstellers Awesome Motive wurde manipulierter Code in die beliebten Plugins OptinMonster und TrustPulse eingeschleust – rund 1,2 Millionen Websites waren potenziell bedroht. Wer diese Plugins nutzt, sollte Admin-Logins rund um den 12. Juni und unbekannte Administrator-Konten prüfen.
- KI findet Sicherheitslücken immer besser – auch für Angreifer. Ein frei verfügbares chinesisches KI-Modell (GLM-5.2) hält in Tests beim Aufspüren von Schwachstellen mit dem Spitzenmodell von Anthropic mit. Das hilft Verteidigern, senkt aber zugleich die Hürde für Angreifer – ein Grund mehr, eigene Systeme zügig zu aktualisieren.
Aktuelle Phishing- und Betrugswellen
Im engen Nachtrags-Zeitraum stand keine neue, noch nicht behandelte Verbraucher-Phishing-Welle mit belastbarer Primärquelle im Vordergrund. Praktisch relevant bleibt jedoch die Folge des OptinMonster-Vorfalls (siehe unten): Der eingeschleuste Code griff Administrator-Zugangsdaten ab und leitete sie an eine Tippfehler-Domain (tidio.cc, die tidio.com imitiert) weiter. Solche „Typosquatting“-Domains sind ein wiederkehrendes Muster – prüfen Sie bei Logins und Links stets die exakte Schreibweise der Adresse.
Was war los?
Der dominierende Vorfall ist ein Lieferkettenangriff auf weit verbreitete WordPress-Plugins: Angreifer kompromittierten nicht ein Plugin-Update, sondern das Content-Delivery-Network des Herstellers Awesome Motive und schleusten manipuliertes JavaScript in die ausgelieferten, eigentlich legitimen Dateien von OptinMonster und TrustPulse. Für Privatpersonen ist die Lehre die gleiche wie an den Vortagen: Sie können noch so vorsichtig sein – die Sicherheit Ihrer Daten hängt auch davon ab, wie gut die Anbieter ihre eigene Lieferkette absichern.
Technologisch sorgte zudem ein frei verfügbares chinesisches KI-Modell für Aufmerksamkeit: GLM-5.2 des Anbieters Z.ai erreicht beim Aufspüren von Sicherheitslücken nach Benchmark-Tests das Niveau westlicher Spitzenmodelle.
Was sich rechtlich geändert hat
Beim Smart-Meter-Problem geht es auch um Datenschutz: Stromverbrauchsdaten sind personenbezogene Daten. Werden sie durch eine falsche Zuordnung dem falschen Haushalt zugerechnet, besteht ein Anspruch auf Berichtigung nach Art. 16 DSGVO; für daraus entstandene Schäden haftet der Messstellenbetreiber nach allgemeinen Grundsätzen (§ 280 BGB). Da Smart Meter alle Werte über die Laufzeit speichern, lässt sich eine fehlerhafte Zuordnung rückwirkend korrigieren. Mehr dazu im Kapitel Datenschutz.
IT-Detailansicht für Fachpublikum
Der folgende Teil richtet sich an IT- und Datenschutzverantwortliche. Er bündelt die Schwerpunkte dieser Nachhol-Ausgabe, eine Management Summary mit Handlungsempfehlungen und die sechs Fachkapitel, ergänzt um einen KI-Überblick, Ausblick, Methodik und Quellenverzeichnis.
Top-Themen der Woche
1. Lieferkettenangriff auf OptinMonster/TrustPulse (1,2 Mio. WordPress-Seiten)
Angreifer kompromittierten das CDN des Herstellers Awesome Motive (über einen auf der Marketing-Website gespeicherten CDN-API-Key) und schleusten manipuliertes JavaScript in die legitimen Plugin-Dateien von OptinMonster und TrustPulse. Der Code wartet auf einen Admin-Login, legt einen Backdoor-Admin an und installiert eine versteckte Plugin-Backdoor.
Letzte Entwicklung: Die manipulierte Software wurde nur einige Stunden am 12.06. verteilt; Anwendungsserver und Quellcode blieben laut Hersteller unberührt. Aufgedeckt von Sansec; Patchstack beobachtete hunderte Angriffsversuche.
2. GLM-5.2 erreicht westliches Spitzenniveau bei der Schwachstellensuche
Das Open-Weight-Modell GLM-5.2 von Z.ai (Zhipu AI) hält laut IDOR-Benchmark-Tests der Sicherheitsfirma Semgrep beim Erkennen von Sicherheitslücken mit Anthropics Opus 4.8 mit – und schlägt es in diesen Cyber-Benchmarks teils.
Letzte Entwicklung: Als frei herunterladbares Modell ist GLM-5.2 ohne Aufsicht lokal betreibbar – ein zweischneidiges Werkzeug für Red Teams wie für Angreifer.
Management Summary
Das Lagebild dieser Nachhol-Ausgabe wird von einem Lieferkettenangriff und einer KI-Sicherheitsentwicklung geprägt. Im Zentrum steht die Kompromittierung des Content-Delivery-Networks von Awesome Motive: Über einen erbeuteten CDN-API-Key wurde manipuliertes JavaScript in die legitimen, vom CDN ausgelieferten Dateien der Plugins OptinMonster (über 1 Mio. Installationen) und TrustPulse eingeschleust. Der Code legt nach einem Admin-Login einen Backdoor-Administrator an und exfiltriert Zugangsdaten an eine Typosquatting-Domain. Rund 1,2 Millionen Websites waren potenziell bedroht; betroffen war ausschließlich die CDN-Auslieferung, nicht der Quellcode oder die Anwendungsserver. Das ist ein Lehrstück dafür, dass die Lieferkette einer Plattform über die Plugin-Updates hinausreicht – auch CDN-Zugänge und API-Keys gehören in die Bedrohungsmodellierung.
Auf der KI-Seite zeigt der Semgrep-Benchmark zu GLM-5.2, dass offene Modelle beim Aufspüren von Schwachstellen das Niveau westlicher Spitzenmodelle erreichen – mit der bekannten Doppelwirkung für Verteidigung und Angriff. Datenschutzseitig verdient der Smart-Meter-Zuordnungsfehler Beachtung: Eine fehlerhafte Verknüpfung der Markt-Location-ID führt dazu, dass personenbezogene Verbrauchsdaten dem falschen Haushalt zugerechnet werden – mit Berichtigungsanspruch nach Art. 16 DSGVO und Haftungsfolgen. Ein neuer DSGVO-Bußgeldbescheid lag im Nachtrags-Zeitraum nicht vor.
Die wichtigsten Punkte im Überblick
- OptinMonster/TrustPulse: CDN-Kompromittierung schleust Backdoor-JS in legitime Plugin-Dateien – 1,2 Mio. Seiten potenziell bedroht.
- Eingeschleuster Code legt Backdoor-Admin an und exfiltriert Zugangsdaten an Typosquatting-Domain (
tidio.cc). - GLM-5.2 (Z.ai, Open-Weight) erreicht laut Semgrep-Benchmark westliches Spitzenniveau bei der Schwachstellensuche.
- Smart-Meter-Zuordnungsfehler: falsche Markt-Location-ID rechnet Verbrauchsdaten dem falschen Haushalt zu (Art. 16 DSGVO).
- Kein neuer DSGVO-Bußgeldbescheid im Nachtrags-Zeitraum.
Top-Risiken – Handlungsempfehlungen für heute
- Awesome-Motive-Plugins prüfen: Wer OptinMonster, TrustPulse (oder andere Awesome-Motive-Plugins wie WPForms, All-in-One-SEO, MonsterInsights) einsetzt, prüft Admin-Logins um den 12.06., unbekannte Administrator-Konten und versteckte Plugins; Sansec-IOCs heranziehen, Zugangsdaten rotieren.
- CDN-/API-Key-Hygiene: CDN-Zugangsdaten und API-Keys nicht auf Marketing-/Web-Systemen ablegen; Lieferketten-Bedrohungsmodell um Auslieferungswege (CDN) erweitern.
- KI-gestützte Schwachstellensuche einplanen: Offene Modelle senken die Angriffshürde – Patch-Zyklen beschleunigen, eigene Code-Reviews ebenfalls KI-gestützt vorantreiben.
- Smart-Meter-Abrechnung: Verbrauchsdaten auf Plausibilität prüfen; bei falscher Zuordnung Berichtigung (Art. 16 DSGVO) verlangen und Messstellenbetreiber schriftlich informieren.
1. Datenschutz
1.1 Smart-Meter-Zuordnungsfehler: personenbezogene Verbrauchsdaten beim falschen Haushalt
Zusammenfassung: Bei intelligenten Messsystemen kann die Markt-Location-ID, die die Lieferstelle eines Haushalts kennzeichnet, im IT-System des Messstellenbetreibers oder durch den Gateway-Administrator falsch verknüpft werden. In der Folge fließen die viertelstundengenau erfassten Verbrauchsdaten eines fremden Haushalts in die Abrechnung – Betroffene zahlen ggf. den Verbrauch des Nachbarn oder rutschen in die teurere Grundversorgung. Ein einzelner Verursacher wird nicht benannt; im verlinkten Streitfall geht es um EWE Netz.
Hintergrund & Einordnung: Stromverbrauchsdaten sind personenbezogene Daten. Eine fehlerhafte Zuordnung berührt damit Art. 16 DSGVO (Recht auf Berichtigung unrichtiger Daten). Verantwortlich ist der Messstellenbetreiber nach § 3 MsbG; für Schäden haftet er nach § 280 BGB. Da Smart Meter alle Messwerte über die Laufzeit speichern, ist eine rückwirkende Korrektur möglich. Formell stehen die Beschwerde nach § 111a EnWG und eine Beschwerde bei der Bundesnetzagentur offen.
Praxisfolgen / Handlungsempfehlung: Verbraucher sollten ihr Verbrauchsprofil gegen die tatsächliche Nutzung prüfen, eigene Großverbraucher als Ursache ausschließen und bei Auffälligkeiten den Messstellenbetreiber sowie Netzbetreiber und Lieferanten schriftlich informieren und Beweise sichern. Aus Datenschutzsicht ist der Berichtigungsanspruch das wirksame Mittel; aus Sicht der Versorger ist die korrekte Zuordnung der Markt-Location-ID ein zentraler Datenqualitäts- und Compliance-Punkt.
2. Datensicherheit
Im Nachtrags-Zeitraum ließ sich keine eigenständige, noch nicht behandelte Datenpanne mit belastbarer Primärquelle bestätigen, die nicht bereits in einer früheren Ausgabe enthalten ist. Der strukturell relevante Vorfall (OptinMonster/TrustPulse-Lieferkettenangriff) ist im Kapitel IT-Sicherheit dargestellt.
3. IT-Sicherheit
3.1 Lieferkettenangriff über kompromittiertes CDN: OptinMonster und TrustPulse
Zusammenfassung: Angreifer kompromittierten das Content-Delivery-Network des Herstellers Awesome Motive und schleusten eine manipulierte JavaScript-Version in die vom CDN ausgelieferten legitimen Dateien der Plugins OptinMonster (über 1 Mio. Installationen) und TrustPulse ein – möglicherweise war auch PushEngage betroffen. Es handelt sich nicht um ein kompromittiertes Plugin-Update, sondern um die Manipulation der CDN-Auslieferung; der CDN-API-Key war auf der Marketing-Website hinterlegt. Der eingeschleuste Code wartet auf einen Admin-Login, legt einen Backdoor-Administrator an, installiert eine versteckte Plugin-Backdoor und sendet Zugangsdaten an die Tippfehler-Domain tidio.cc. Rund 1,2 Millionen Websites waren potenziell bedroht.
Hintergrund & Einordnung: Aufgedeckt wurde der Angriff von Sansec; Patchstack beobachtete am Wochenende hunderte Angriffsversuche. Die manipulierte Software wurde nur einige Stunden am 12.06. verteilt – Anwendungsserver, Quellcode und Kontodaten-Systeme blieben laut Awesome Motive unberührt. Weitere Awesome-Motive-Plugins mit großer Reichweite (WPForms über 6 Mio., All-in-One-SEO rund 3 Mio., MonsterInsights rund 2 Mio.) standen potenziell im Visier, dort wurde aber keine Malware gefunden. Ein CVE wurde nicht vergeben; der Anbieter stellt IOCs und Bereinigungshilfe bereit.
Praxisfolgen / Handlungsempfehlung: Betreiber mit Awesome-Motive-Plugins prüfen die Sansec-IOCs, fokussieren auf Admin-Logins rund um den 12.06. und kontrollieren auf unbekannte Administrator-Konten und versteckte Plugins; betroffene Zugangsdaten rotieren. Grundsätzlich gehören CDN-Zugänge und API-Keys aus Marketing-/Web-Systemen entfernt und in die Lieferketten-Bedrohungsmodellierung aufgenommen.
4. Urteile
Im Nachtrags-Zeitraum lag keine neue, noch nicht behandelte Gerichtsentscheidung mit Beratungs-/Schulungsrelevanz und belastbarem Volltext vor. Die zuletzt prägenden Entscheidungen wurden bereits in früheren Ausgaben behandelt.
5. Bußgelder
Im Nachtrags-Zeitraum ließ sich kein neuer DSGVO-Bußgeldbescheid mit belastbarer behördlicher Primärquelle bestätigen. Auf schwach belegte Tracker-Claims wird bewusst verzichtet.
6. Cyber-Sicherheit
6.1 GLM-5.2 (Z.ai): offenes KI-Modell erreicht Spitzenniveau bei der Schwachstellensuche
Zusammenfassung: Das Open-Weight-Modell GLM-5.2 von Zhipu AI (Z.ai) kann bei der Erkennung von Sicherheitslücken offenbar mit Anthropics Opus 4.8 mithalten. Grundlage sind IDOR-Benchmark-Tests der Cybersicherheitsfirma Semgrep, die im zugehörigen Blog titelt, GLM-5.2 schlage Claude in ihren Cyber-Benchmarks. Konkrete Zahlenwerte nennt die heise-Meldung nicht – sie verweist auf den Semgrep-Blog. Als Open-Weight-Modell ist GLM-5.2 frei herunterladbar, lokal betreibbar und modifizierbar.
Hintergrund & Einordnung: Die Doppelwirkung ist offenkundig: Für CERTs, Red Teams und DSGVO-konforme On-Premise-Code-Reviews ohne US-Cloud ist ein starkes offenes Modell ein Gewinn; zugleich ist es für Angreifer attraktiv, die damit ohne Aufsicht Schwachstellen in kritischen Systemen suchen können. Zhipu räumt in den Release Notes verstärktes „Reward Hacking“ im Reinforcement-Learning-Training ein und hat Anti-Hacking-Sicherungen integriert. Der Befund fügt sich in die Warnungen der Vorwoche ein, wonach KI das Tempo der Schwachstellenausnutzung erhöht.
Praxisfolgen / Handlungsempfehlung: Für EU-Unternehmen und Behörden stellt sich eine Governance-Frage – der Einsatz solcher Modelle in sicherheitskritischen Bereichen bewegt sich im Spannungsfeld von KI-Verordnung und nationalen Sicherheitsvorgaben. Defensiv sollten Organisationen KI-gestützte Schwachstellensuche selbst nutzen und ihre Patch-Zyklen auf das schrumpfende Zeitfenster zwischen Fund und Ausnutzung auslegen.
KI & große Sprachmodelle
- Z.ai / GLM-5.2: im Fokus dieser Ausgabe wegen der sicherheitsrelevanten Benchmark-Ergebnisse (siehe Kapitel Cyber-Sicherheit) – ein offenes Modell, das beim Aufspüren von Schwachstellen mit westlichen Spitzenmodellen mithält.
- Übrige Anbieter: Weitere Modell-Releases dieses Zeitraums (u. a. OpenAI GPT-5.6) sind in der Ausgabe vom 30.06.2026 behandelt und werden hier nicht wiederholt.
Ausblick / Termine
- 31.07.2026: Letzte BSI-Registrierungsfrist im Rahmen der NIS-2-Umsetzung (Carry-over; Bußgeldrahmen bis 500.000 Euro).
- 02.08.2026: Anwendungsbeginn weiter Teile der KI-Verordnung (VO (EU) 2024/1689).
Methodik
Dies ist eine am 30.06.2026 nachgetragene Ausgabe für den 29.06.2026; sie bündelt liegengebliebene, über konkrete Deep-Links belegte Meldungen bis zum 29.06. (zwei davon – OptinMonster-Lieferkettenangriff und Smart-Meter-Zuordnungsfehler – stammen aus der Vorwoche und werden als Nachzügler geführt; die GLM-5.2-Meldung datiert vom 29.06.). Bevorzugt werden Primärquellen und etablierte Fachmedien; alle Sachverhalte sind per defuddle am Quellartikel verifiziert. Mehrere weitere Inbox-Hinweise wurden gestrichen, weil sie bereits in früheren Ausgaben behandelt wurden (FortiBleed, DSK „Stuttgarter Impulse“, OLG Köln zu gelöschten Bewertungen) oder ohne tagesaktuellen Sachverhalt sind. Ein neuer DSGVO-Bußgeldbescheid lag nicht vor. Dieses Briefing ersetzt keine Rechts- oder Sicherheitsberatung im Einzelfall.













