Daily-Briefing Datenschutz & IT-Sicherheit
Deutschland · Datenschutz · Datensicherheit · IT-Sicherheit · Urteile · Bußgelder · Cyber-Sicherheit
Worauf Sie heute achten sollten
- Datenleck bei Medtronic — auch deutsche Patienten möglicherweise betroffen. Der weltgrößte Medizingerätehersteller (Herzschrittmacher, Insulinpumpen) benachrichtigt ab heute rund 9 Millionen Menschen über einen Datendiebstahl durch die Gruppe ShinyHunters. Abgeflossen sind Namen, Geburtsdaten, Kontaktdaten und gesundheitsbezogene Informationen. Wer ein Medtronic-Implantat oder -Gerät nutzt, sollte in den kommenden Wochen besonders wachsam auf Phishing-Mails und Anrufe reagieren, die sich als Medtronic, Klinik oder Krankenkasse ausgeben.
- Neue Phishing-Welle im Namen von Banken, PayPal und Krankenkassen. Aktuell kursieren gefälschte „Konto-Bestätigungs“-Mails im Namen von PayPal, den Volksbanken Raiffeisenbanken, der Commerzbank und der AOK — stets mit knapper Frist und Link zur „Verifizierung“. Keine dieser Organisationen fordert per E-Mail zur Eingabe von Zugangsdaten auf. Solche Mails gehören ungeöffnet in den Papierkorb.
- Deutschland hat einen neuen obersten Datenschützer. Der Bundestag hat Prof. Dr. Moritz Hennemann zum neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gewählt. Er gilt als wirtschaftsnäher als seine Vorgängerin — für Unternehmen ein Signal, für Datenschützer ein Anlass zur wachsamen Beobachtung.
- Für Firmen mit eigenen Webservern: Adobe ColdFusion sofort patchen. Adobe hat außerplanmäßig sechs Lücken mit dem Höchstwert CVSS 10.0 geschlossen, über die Angreifer Server vollständig übernehmen können. Wer ColdFusion einsetzt, sollte umgehend aktualisieren.
Aktuelle Phishing- und Betrugswellen
Im Zentrum der aktuellen Betrugswelle stehen gefälschte Sicherheitsmitteilungen von Banken und Zahlungsdiensten. Unter Betreffzeilen wie „Sicherheitsmaßnahme – Aktivität verifizieren, um Sperre zu vermeiden“ behaupten Phishing-Mails im Namen von PayPal, das Konto müsse binnen 48 Stunden bestätigt werden, sonst drohe die Sperrung. Parallel laufen Kampagnen im Namen der Volksbanken Raiffeisenbanken (angebliche Adressabweichung in den Stammdaten, teils unter dem Vorwand einer „SecureGo“-Prüfsummen-Aktualisierung) und der Commerzbank, die zur Bestätigung des Online-Zugangs bis zu einem konkreten Fristdatum auffordert. Allen gemeinsam ist das Muster: künstlicher Zeitdruck, unpersönliche Anrede, ein Link auf eine täuschend echt nachgebaute Login-Seite.
Besonders perfide ist eine Welle im Namen der AOK: Empfänger sollen ihre Kontodaten überprüfen und werden zusätzlich aufgefordert, sich über ihr Online-Banking zu authentifizieren — womit die Täter neben den Krankenkassendaten gleich auch die Bankzugänge abgreifen. Grundregel bleibt: Weder Banken noch Zahlungsdienste noch Krankenkassen fordern per E-Mail zur Eingabe von Zugangsdaten, PINs oder TANs auf. Im Zweifel die Website des Anbieters direkt über ein Lesezeichen aufrufen, niemals über den Link in der Mail. Die Verbraucherzentrale führt die aktuellen Wellen im Phishing-Radar.
Was war los?
Der auffälligste Vorfall des Tages ist ein Datendiebstahl beim Medizingerätehersteller Medtronic: Rund neun Millionen Patientinnen und Patienten werden ab heute über den Abfluss ihrer Daten informiert. Weil dabei Gesundheitsangaben mit Identitätsdaten kombiniert wurden, ist das Risiko für gezielte Betrugsversuche hoch. Auf der IT-Seite dominieren kritische Serverlücken (Adobe ColdFusion) und ein Wiederaufleben der Ransomware-Marke LockBit, die aktuell auch deutsche Unternehmen auf ihre Erpressungsliste setzt.
Was sich rechtlich geändert hat
Personell steht der deutsche Datenschutz vor einem Wechsel: Der Bundestag hat Prof. Dr. Moritz Hennemann zum neuen Bundesbeauftragten gewählt; die bisherige Amtsinhaberin führt die Geschäfte noch bis Ende September. Auf europäischer Ebene haben sich die Datenschutzbehörden der G7-Staaten in Paris auf gemeinsame Grundsätze zur Altersverifikation und zum Schutz Minderjähriger verständigt. Und das OLG München hat in einem Grundsatzurteil zum Urheberrechts-Diensteanbieter-Gesetz die Anforderungen an Rechteinhaber deutlich verschärft, die gegen Plattformen wie TikTok vorgehen wollen.
IT-Detailansicht für Fachpublikum
Der folgende Teil richtet sich an IT-Verantwortliche, Datenschutzbeauftragte und Sicherheitsfachkräfte. Er vertieft die Meldungen des Tages mit technischen Details, Deep-Links auf Primärquellen und Handlungsempfehlungen.
Top-Themen der Woche
Gesundheitsdaten im Visier krimineller Datenhändler
Mit dem Medtronic-Fall (9 Mio. Betroffene) setzt sich das Muster der ShinyHunters-Kampagnen fort: Exfiltration statt Verschlüsselung, gefolgt von Erpressung. Gesundheitsdaten sind auf einschlägigen Marktplätzen besonders wertvoll — die Kombination aus Diagnosen, Kontaktdaten und Identitätsmerkmalen ermöglicht zielgenaues Phishing und Identitätsmissbrauch. Zuletzt aktualisiert: 2026-07-02.
LockBit ist zurück im DACH-Raum
Nach der Zerschlagung der ursprünglichen Infrastruktur 2024 operiert LockBit 5.0 seit Ende 2025 wieder aktiv und listet gezielt deutsche Mittelständler. Deutschland bleibt Europas meistangegriffenes Land bei Ransomware. Zuletzt aktualisiert: 2026-07-02.
Management Summary
Der 2. Juli 2026 steht im Zeichen zweier großer Datensicherheitsvorfälle und einer Häufung kritischer Serverlücken. Der Datendiebstahl bei Medtronic betrifft mit rund neun Millionen Personen eine der größten Fallzahlen des Jahres im Gesundheitssektor; die Angreifergruppe ShinyHunters folgt ihrem etablierten Vorgehen, Daten ohne Verschlüsselung zu exfiltrieren und anschließend mit Veröffentlichung zu drohen. Parallel meldet die wiedererstarkte Ransomware-Marke LockBit 5.0 mehrere deutsche Unternehmen als Opfer — ein Beleg dafür, dass die Zerschlagung krimineller Infrastrukturen keine dauerhafte Entwarnung bedeutet.
Auf der Schwachstellenseite ragt der außerplanmäßige Adobe-Patch für ColdFusion heraus, der gleich sechs Lücken mit dem Maximalwert CVSS 10.0 schließt und von Adobe mit der höchsten Dringlichkeitsstufe versehen wurde. Zusätzlich hat die US-Behörde CISA eine bereits im Mai gepatchte SharePoint-Lücke als aktiv ausgenutzt eingestuft und eine kurze Patchfrist gesetzt. Rechtlich und institutionell prägen die Wahl des neuen Bundesdatenschutzbeauftragten Hennemann, die G7-Datenschutz-Beschlüsse aus Paris und ein plattformrechtliches Grundsatzurteil des OLG München den Tag.
Die wichtigsten Punkte im Überblick
- Medtronic: rund 9 Mio. Betroffene, Datendiebstahl durch ShinyHunters (Zugriff Mitte April 2026), Benachrichtigung ab 2. Juli — Gesundheits- plus Identitätsdaten.
- LockBit 5.0: listet deutsche Unternehmen (u. a. PROBAT Bau AG, GIES Dienstleistungen) auf seiner Leak-Seite.
- Adobe ColdFusion (APSB26-68): sechs Lücken mit CVSS 10.0, Priority 1 — sofortiges Update erforderlich.
- SharePoint (CVE-2026-45659): von CISA als aktiv ausgenutzt eingestuft, Bundesbehörden-Patchfrist 4. Juli.
- Neuer BfDI: Moritz Hennemann mit 391 Stimmen gewählt.
- OLG München (6 U 812/24 e): verschärfte Darlegungslast für Rechteinhaber gegenüber UrhDaG-Diensteanbietern.
- Synology MailPlus Server: drei Lücken, eine mit CVSS 10.0 (CVE-2026-13136) — Update auf 4.0.1-21663.
- Apple „E-Mail-Adresse verbergen“: Alias-De-Anonymisierung trotz behaupteter Behebung weiterhin möglich.
- Warenkorbabbrecher-Mails: nach LDI NRW ohne Einwilligung regelmäßig unzulässige Werbung (§ 7 UWG).
- RustDuck: neues, in Rust portiertes DDoS-Botnet über Router und exponierte Server.
Top-Risiken – Handlungsempfehlungen für heute
- ColdFusion-Server sofort aktualisieren (2023 → Update 21, 2025 → Update 10); falls nicht sofort möglich, externen Zugriff auf Admin-Oberflächen sperren und MFA erzwingen.
- SharePoint On-Premises patchen (Mai-2026-Updates einspielen), AMSI aktivieren, Zugriffslogs auf verdächtige POST-Requests prüfen.
- Offline- und Immutable-Backups verifizieren angesichts der LockBit-5.0-Aktivität im DACH-Raum; Incident-Response-Plan testen.
- Beschäftigte für die aktuelle Phishing-Welle sensibilisieren (Bank-, PayPal-, Krankenkassen-Mails mit Fristdruck).
- Löschpflichten bei Auftragsverarbeitern kontrollieren — abgeflossene Daten sind oft solche, die längst hätten gelöscht sein müssen.
1. Datenschutz
Der Datenschutz erlebt in dieser Woche eine institutionelle Zäsur auf Bundesebene sowie eine internationale Abstimmung auf G7-Ebene.
1.1 Bundestag wählt Moritz Hennemann zum neuen Bundesdatenschutzbeauftragten
Zusammenfassung: Der Deutsche Bundestag hat am 25. Juni 2026 Prof. Dr. Moritz Hennemann (Universität Freiburg, Lehrstuhl für Informations- und Internetrecht) mit 391 Ja-Stimmen bei 122 Gegenstimmen und 77 Enthaltungen zum neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gewählt. Vorgeschlagen hatte ihn die Bundesregierung — der Vorlauf zwischen Vorschlag und Wahl war denkbar kurz. Hennemann folgt auf Prof. Dr. Louisa Specht-Riemenschneider, die im März 2026 aus gesundheitlichen Gründen ihren Rückzug angekündigt hatte und die Amtsgeschäfte bis zur förmlichen Ernennung Hennemanns durch den Bundespräsidenten (spätestens 30. September 2026) weiterführt.
Hintergrund & Einordnung: Hennemann gilt als Vertreter eines innovations- und wirtschaftsoffenen Datenschutzverständnisses, was ihn von der eher grundrechtsbetonten Ausrichtung seiner Vorgängerin unterscheidet. Wirtschaftsverbände wie eco und Bitkom begrüßten die Wahl. Der Wechsel fällt in eine Phase des institutionellen Umbruchs: Der BfDI hat seit Mai 2026 die Zuständigkeit für den Data Act hinzubekommen, und parallel läuft mit den „Stuttgarter Impulsen“ der Landesdatenschutzbehörden ein Reformprozess zur Neuordnung der Aufsichtsstruktur.
Praxisfolgen / Handlungsempfehlung: Für Unternehmen deutet die Personalie auf einen stärker abwägenden, risikobasierten Aufsichtsstil hin — eine verbindliche Kursprognose ist daraus jedoch nicht abzuleiten. Datenschutzverantwortliche sollten die ersten Schwerpunktsetzungen des neuen Amtsinhabers abwarten, insbesondere zu KI, Data Act und dem laufenden Digital-Omnibus-Prozess.
1.2 G7-Datenschutzbehörden verständigen sich in Paris auf Altersverifikation und Kinderschutz
Zusammenfassung: Unter französischem G7-Vorsitz hat die CNIL am 25. und 26. Juni 2026 den Roundtable der Datenschutzbehörden der G7-Staaten sowie der EU in Paris ausgerichtet. Die Behörden verabschiedeten ein gemeinsames Kommuniqué und eine eigenständige Erklärung zur Altersverifikation, die datenschutzrechtliche Grundsätze für Altersnachweis-Mechanismen festlegt. Weitere Themen waren der Schutz Minderjähriger im Netz, datenschutzfreundliche Smart Glasses sowie agentische KI und automatisierte Entscheidungsprozesse.
Hintergrund & Einordnung: Für Deutschland nahm der stellvertretende Bundesbeauftragte Andreas Hartl teil. Die gemeinsame Position zur Altersverifikation ist praktisch relevant, weil sie in laufende nationale und EU-Gesetzgebungsverfahren einfließen kann — ein Themenfeld, das durch die jüngsten Diskussionen um Altersgrenzen auf Plattformen und Erwachsenen-Websites zusätzlich an Gewicht gewonnen hat. Das nächste G7-Treffen findet 2027 unter US-Vorsitz statt.
Praxisfolgen / Handlungsempfehlung: Anbieter von Diensten mit Altersgrenzen sollten die G7-Grundsätze im Blick behalten: gefordert werden datensparsame, nicht überschießende Altersnachweis-Verfahren. Wer bereits Altersverifikation einsetzt, sollte prüfen, ob die erhobenen Daten auf das Erforderliche begrenzt sind.
1.3 Apples „E-Mail-Adresse verbergen“ gibt echte Adresse preis — auch nach behauptetem Fix
Zusammenfassung: Der iCloud+-Dienst „E-Mail-Adresse verbergen“ („Hide My Email“) soll Nutzerinnen und Nutzern erlauben, sich mit einer zufälligen Alias-Adresse anzumelden, statt die echte Mailadresse preiszugeben. Der Privacy-Dienstleister EasyOptOuts hat jedoch eine Lücke entdeckt, über die sich aus dem Alias die tatsächliche E-Mail-Adresse zurückrechnen lässt — in Tests mit einer Erfolgsquote von 100 Prozent. Obwohl Apple das Problem am 30. Juni 2026 erneut für behoben erklärte, verifizierten die Entdecker, dass die Lücke weiterhin offen ist.
Hintergrund & Einordnung: Das Problem wurde Apple bereits im Juni 2025 gemeldet und blieb über ein Jahr ungelöst. Besonders schwer wiegt der Vertrauensbruch: Der Dienst dient ausdrücklich dem Identitätsschutz — ist die Originaladresse einmal rekonstruiert, lassen sich über öffentliche Personendatenbanken weitere Informationen zusammentragen. Eine CVE-Kennung wurde nicht vergeben; Apple äußerte sich gegenüber der Presse nicht.
Praxisfolgen / Handlungsempfehlung: Wer „E-Mail-Adresse verbergen“ für sicherheitskritische oder besonders schützenswerte Anmeldungen nutzt, sollte sich der Restunsicherheit bewusst sein und für hochsensible Kontexte nicht allein auf das Alias vertrauen. Der Fall zeigt erneut, dass technische Datenschutz-Zusagen unabhängig überprüfbar sein müssen.
1.4 Warenkorbabbrecher-Mails: LDI NRW stuft Erinnerungen als unzulässige Werbung ein
Zusammenfassung: Erinnerungs-Mails an Kunden, die einen gefüllten Warenkorb verlassen haben, sind rechtlich Direktwerbung — nicht neutrale „Servicekommunikation“. Das stellt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW in ihrem 31. Tätigkeitsbericht klar, nachdem ein Neukunde nach einem Bestellabbruch drei Erinnerungs-Mails erhalten hatte. Für solche Mails gilt § 7 Abs. 2 Nr. 1 UWG: zulässig grundsätzlich nur mit ausdrücklicher (Double-Opt-in-)Einwilligung.
Hintergrund & Einordnung: Bei Neukunden ohne abgeschlossenen Kaufvertrag greift die Bestandskundenausnahme des § 7 Abs. 3 UWG nicht — es fehlt an der vollendeten Kaufbeziehung. Auch das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO kann die fehlende UWG-Konformität nicht heilen: Nach dem Grundsatz der Einheit der Rechtsordnung sind die wettbewerbsrechtlichen Wertungen in die Interessenabwägung einzubeziehen. Bei Bestandskunden bleiben solche Mails ohne Einwilligung zulässig, sofern alle vier kumulativen Bedingungen des § 7 Abs. 3 UWG erfüllt sind (Adresse im Kaufkontext erhalten, ähnliche Waren, kein Widerspruch, Hinweis bei Erhebung und jeder Nutzung).
Praxisfolgen / Handlungsempfehlung: Shop-Betreiber sollten Warenkorbabbrecher- und Retargeting-Mails nur auf Basis einer aktiv angeklickten Einwilligung (Double-Opt-in) versenden, den Zweck transparent benennen und in jeder Mail einen klaren Widerspruchshinweis bieten. Der pauschale Verweis auf „berechtigtes Interesse“ trägt für Neukunden nicht.
2. Datensicherheit
2.1 Medtronic: ShinyHunters erbeuten Daten von rund 9 Millionen Patienten
Zusammenfassung: Der Medizingerätehersteller Medtronic — tätig in rund 150 Ländern, mit Millionen Trägern von Herzschrittmachern, Insulinpumpen und Neuromodulatoren — benachrichtigt ab dem 2. Juli 2026 etwa neun Millionen Betroffene über einen Datendiebstahl. Die Gruppe ShinyHunters hatte zwischen dem 13. und 19. April 2026 Zugriff auf interne Systeme und exfiltrierte Namen, Kontaktdaten, Geburtsdaten, Sozialversicherungsnummern sowie gesundheitsbezogene Informationen.
Hintergrund & Einordnung: Der Vorfall folgt dem bekannten ShinyHunters-Muster: Datenabfluss ohne Ransomware-Verschlüsselung, danach Erpressung mit Veröffentlichungsdrohung. Medtronic wurde bereits Mitte April auf der Leak-Plattform der Gruppe gelistet. Für Betroffene im EWR greifen die Melde- und Benachrichtigungspflichten der DSGVO (Art. 33, 34); angesichts der Sensibilität der Daten ist eine Benachrichtigung der Betroffenen bei hohem Risiko regelmäßig geboten. Die Kombination aus Gesundheits- und Identitätsdaten macht die Betroffenen besonders anfällig für zielgerichtetes Phishing und Identitätsmissbrauch.
Praxisfolgen / Handlungsempfehlung: Nutzerinnen und Nutzer von Medtronic-Geräten sollten angebotene Schutzmaßnahmen (z. B. Kreditüberwachung) annehmen und in den kommenden Monaten skeptisch gegenüber unerwarteter Kontaktaufnahme mit Medtronic-, Klinik- oder Kassenbezug sein. Gesundheitseinrichtungen sollten ihr Monitoring auf Phishing mit Medtronic-Branding ausrichten.
2.2 LockBit 5.0 listet deutsche Unternehmen als Opfer
Zusammenfassung: Die seit Ende 2025 wieder aktive Ransomware-Marke LockBit 5.0 hat innerhalb weniger Tage zwei deutsche Unternehmen auf ihrer Erpressungsseite gelistet: die GIES Dienstleistungen GmbH (Facility-Management, Raum München; Eintrag 1. Juli 2026) und die PROBAT Bau AG (Bauunternehmen, Raum München/Ingolstadt; Eintrag 20. Juni 2026). LockBit droht in beiden Fällen mit Veröffentlichung gestohlener Daten binnen rund zwei Wochen, sofern kein Lösegeld gezahlt wird.
Hintergrund & Einordnung: LockBit 5.0 ist die Neuauflage der 2024 durch internationale Strafverfolgung („Operation Cronos“) zerschlagenen Infrastruktur. Datenmenge und -typen sind bei den beiden deutschen Opfern noch nicht öffentlich bekannt; die Angaben stützen sich auf Leak-Site-Beobachtungsdienste, nicht auf Bestätigungen der Unternehmen. Deutschland bleibt eines der am stärksten von Ransomware betroffenen Länder in Europa.
Praxisfolgen / Handlungsempfehlung: Deutsche Mittelständler sollten ihre Notfallpläne testen, insbesondere Offline- und unveränderbare (immutable) Backups. Bei Betroffenheit gilt: Meldung an das BSI sowie an die zuständige Aufsichtsbehörde (bei Betroffenheit personenbezogener Daten) und Einschaltung der Strafverfolgung; kein vorschnelles Zahlen von Lösegeld.
3. IT-Sicherheit
3.1 Adobe ColdFusion: sechs Lücken mit CVSS 10.0 — Notfall-Patch (APSB26-68)
Zusammenfassung: Adobe hat außerplanmäßig ein Sicherheitsupdate für ColdFusion 2023 und 2025 veröffentlicht, das insgesamt elf Schwachstellen schließt — davon sechs mit dem Höchstwert CVSS 10.0. Die kritischsten Lücken (CVE-2026-48276 und CVE-2026-48283) erlauben unauthentifizierten Angreifern das Hochladen beliebiger Dateien und die anschließende Remote-Code-Ausführung; weitere Höchstschwere-Lücken betreffen unzureichende Eingabevalidierung (CVE-2026-48277, -48281, -48316) und Path Traversal (CVE-2026-48282).
Hintergrund & Einordnung: Betroffen sind ColdFusion 2025 bis einschließlich Update 9 und ColdFusion 2023 bis einschließlich Update 20. Adobe stuft den Patch mit Priority 1 ein — der höchsten Dringlichkeitsstufe, die für Lücken mit unmittelbar drohender oder bereits laufender Ausnutzung reserviert ist. Zum Veröffentlichungszeitpunkt lagen Adobe keine Berichte über aktive Angriffe vor; bei ColdFusion-Lücken dieser Schwere ändert sich das erfahrungsgemäß rasch, zumal Admin-Schnittstellen häufig exponiert sind. Parallel schließt Adobe eine kritische Lücke in Campaign Classic (ACC v7, CVE-2026-48286, fehlerhafte Autorisierung, Linux und Windows) — Fix ist Build 9397 (Version 7.4.3). Bemerkenswert ist die begleitende strukturelle Ansage: Adobe verdoppelt den Patch-Rhythmus für ColdFusion und Campaign von einem auf zwei Termine pro Monat (zusätzlich zum zweiten künftig auch der vierte Dienstag) und begründet das ausdrücklich mit KI-beschleunigter Angriffsentwicklung — bekannte Schwachstellen würden zunehmend binnen Stunden statt Tagen ausgenutzt. Für Betreiber heißt das: Vulnerability-Management-Prozesse auf die höhere Frequenz einstellen.
Praxisfolgen / Handlungsempfehlung: Sofortiges Update auf ColdFusion 2023 Update 21 bzw. 2025 Update 10. Wo unmittelbares Patchen nicht möglich ist: externen Zugang zu Admin-Seiten sperren, MFA für alle Admin-Konten erzwingen, Netzwerkzugriff auf den Server einschränken.
3.2 Synology MailPlus Server: drei Lücken, eine mit CVSS 10.0
Zusammenfassung: In Synology MailPlus Server, der Mailserver-Anwendung für Synology-NAS-Geräte, stecken drei Schwachstellen — zwei davon kritisch. Die schwerwiegendste (CVE-2026-13136) erreicht den CVSS-Höchstwert 10.0 und ermöglicht unbefugten Dateizugriff sowie Denial-of-Service; auch CVE-2025-15660 ist als kritisch eingestuft, CVE-2026-13135 als mittelschwer. Synology hat alle drei Lücken in MailPlus Server 4.0.1-21663 behoben.
Hintergrund & Einordnung: Betroffen sind Installationen unter DSM 7.2.1, 7.2.2 und 7.3. Berichte über aktive Angriffe lagen zum Redaktionsschluss nicht vor. NAS-Systeme mit exponierten Mail-Diensten sind allerdings ein attraktives Ziel, weil sie oft am Netzwerkrand stehen und E-Mail-Kommunikation vorhalten.
Praxisfolgen / Handlungsempfehlung: Administratoren betroffener Synology-Systeme sollten zeitnah auf MailPlus Server 4.0.1-21663 aktualisieren und prüfen, ob der Mail-Dienst tatsächlich aus dem Internet erreichbar sein muss — andernfalls den Zugriff auf das interne Netz oder VPN beschränken.
3.3 SharePoint-Lücke CVE-2026-45659 jetzt aktiv ausgenutzt — CISA-Frist 4. Juli
Zusammenfassung: Die US-Behörde CISA hat die SharePoint-Server-Schwachstelle CVE-2026-45659 (CVSS 8.8) am 1. Juli 2026 in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen und damit aktive Ausnutzung in der Praxis bestätigt. Die Deserialisierungslücke erlaubt einem authentifizierten Angreifer mit minimalen Rechten die Remote-Code-Ausführung. Betroffen sind On-Premises-Installationen (SharePoint Subscription Edition, 2019, Enterprise Server 2016), nicht SharePoint Online.
Hintergrund & Einordnung: Diese Lücke wurde bereits im Mai 2026 von Microsoft gepatcht und war Gegenstand früherer Berichterstattung — neu ist die nun bestätigte aktive Ausnutzung. SharePoint-Server sind ein beliebter Erstzugangsvektor, weil sie oft interne, sensible Daten vorhalten und internet-exponiert sind. US-Bundesbehörden müssen bis zum 4. Juli 2026 patchen; für alle Organisationen mit On-Premises-SharePoint gilt derselbe Handlungsdruck.
Praxisfolgen / Handlungsempfehlung: Die Mai-2026-Sicherheitsupdates umgehend einspielen, AMSI für SharePoint aktivieren, EDR-Schutz sicherstellen und die Zugriffslogs auf verdächtige POST-Requests an SharePoint-Endpunkte prüfen.
4. Urteile
4.1 OLG München: Rechteinhaber müssen Rechtekette gegenüber TikTok vollständig belegen (UrhDaG)
Sachverhalt: Eine Filmlizenz-Verwerterin hatte TikTok wegen der öffentlichen Wiedergabe von zehn Kurzfilmen, die Nutzer hochgeladen hatten, auf Unterlassung, Auskunft und Schadensersatzfeststellung nach dem Urheberrechts-Diensteanbieter-Gesetz (UrhDaG) verklagt. Das LG München I hatte der Klage 2024 antragsgemäß stattgegeben — als erster großer UrhDaG-Anwendungsfall gegen eine bedeutende Videoplattform.
Entscheidung: Das OLG München hebt das erstinstanzliche Urteil vollständig auf und weist die Klage ab. TikTok gewinnt in allen Punkten; die Revision wurde nicht zugelassen.
Begründungs-Kernpunkte: Dass TikTok Diensteanbieter (§ 2 UrhDaG) ist und öffentliche Wiedergabe (§ 1 UrhDaG) vorliegt, war unstreitig. Entscheidend ist die Darlegungslast: Wer als angeblicher Rechteinhaber an einen Diensteanbieter herantritt, muss unaufgefordert die vollständige Rechtekette so konkret darlegen und belegen, dass die Plattform sie nachprüfen kann. Ein pauschaler Hinweis auf „exklusive weltweite Rechte“ genügt nicht — zumal die Behauptung hier zum Anfragezeitpunkt sogar unzutreffend war, weil die maßgebliche Vertragsergänzung erst Monate später geschlossen wurde. Es reicht auch nicht, die Rechtsinhaberschaft erstmals im Prozess zu belegen. Zudem war die Klägerin nur einfache Lizenznehmerin; eine „Ermächtigung zur Ermächtigung“ (§ 185 BGB) zur Unterlizenzierung an TikTok war nicht dargetan. Verstöße gegen die Blockierungspflichten (§§ 7, 8 UrhDaG) verneinte das Gericht ebenfalls.
Praxisfolgen: Rechteinhaber und Verwerter müssen ihre vollständige, plattformbezogene Lizenzkette vor dem ersten Kontakt aufbereiten und belegen und dürfen keine Rechte behaupten, die sie noch nicht halten. Blockierungsverlangen sind klar, förmlich und unter Nennung konkreter URLs über den vorgesehenen Meldeweg zu stellen. Für Diensteanbieter wird die Transparenzforderung zum wirksamen Verteidigungsmittel: Ohne nachprüfbaren Rechtenachweis entsteht keine Verhandlungspflicht. Ausführliche Aufbereitung: ur-202.
5. Bußgelder
Für das Fenster der vergangenen zwei Wochen ist kein neuer, seriös belegter DSGVO-Bußgeldbescheid einer europäischen Aufsichtsbehörde auffindbar. Die zuletzt bekannten Sanktionen — darunter das 5-Millionen-Euro-Bußgeld der CNIL gegen IQVIA (Ende Mai) — waren bereits Gegenstand früherer Ausgaben. Anstelle eines neuen Falls prägen derzeit strukturelle Weichenstellungen das Aufsichtsgeschehen: das im Juni verabschiedete harmonisierte Melde-Template des EDSA für Datenpannen und die G7-Grundsätze aus Paris (siehe k1). Konkrete Enforcement-Entscheidungen aus diesen Prozessen stehen noch aus.
6. Cyber-Sicherheit
6.1 RustDuck: neues DDoS-Botnet portiert seinen Schadcode nach Rust
Zusammenfassung: Forscher von QiAnXin XLab haben am 30. Juni 2026 eine Analyse der seit Februar 2026 beobachteten Malware-Familie RustDuck veröffentlicht. Das Botnet infiziert Consumer-Router (u. a. Huawei HG532, D-Link DIR-823X, Totolink X6000R), IP-Kameras, Android-TV-Boxen sowie exponierte Server (Apache CouchDB, Jenkins, Hadoop YARN) und baut sie zu einer DDoS-Infrastruktur aus.
Hintergrund & Einordnung: Technisch auffällig ist die laufende Portierung des ursprünglich in C geschriebenen Codes nach Rust, verbunden mit zunehmend ausgefeilter Verschlüsselung und Anti-Analyse-Routinen — ein Muster, das bereits andere Botnet-Familien übernommen haben, um die Erkennung zu erschweren. Verbreitet wird über bekannte, teils Jahre alte CVEs (u. a. CVE-2017-17215, CVE-2025-29635) sowie schwache Default-Zugangsdaten. Der aktuelle Umfang ist im Vergleich zu Großbotnetzen noch klein, die Entwicklungsgeschwindigkeit signalisiert jedoch Wachstumsabsichten.
Praxisfolgen / Handlungsempfehlung: Betreiber von Edge-Geräten sollten Firmware aktualisieren, Standard-Passwörter ändern und nicht benötigte Fernzugänge deaktivieren. Für exponierte Server (CouchDB, Jenkins, Hadoop) gilt: Patchstand prüfen und Management-Schnittstellen nicht ins offene Internet stellen.
KI & große Sprachmodelle
Die tonangebenden Modell-Neuheiten der Woche — Anthropics Claude Sonnet 5 und OpenAIs GPT-5.6 — wurden in den Ausgaben der Vortage behandelt und werden hier nicht wiederholt. Neu einzuordnen sind vor allem europäische Entwicklungen; einzelne Versionsangaben sind noch nicht abschließend bestätigt und entsprechend gekennzeichnet.
- Mistral: Der französische Anbieter hat seinen Assistenten „Le Chat“ in Vibe umbenannt und ein neues Open-Weight-Modell (Mistral Medium 3.5) sowie ein kommerzielles Dokumenten-Extraktionsprodukt (OCR 4) vorgestellt. Sicherheits- und souveränitätsrelevant: Mistral baut ein eigenes Rechenzentrum in Frankreich auf, um Abhängigkeiten von US-Cloud-Infrastruktur zu verringern. (mistral.ai/news)
- xAI: Grok 5 bleibt nach mehrfacher Verschiebung weiterhin unveröffentlicht; ein belastbarer Termin liegt nicht vor. (x.ai/news)
Datenschutzhinweis für den betrieblichen Einsatz: Bei europäischen Open-Weight-Modellen wie Mistral Medium 3.5 lässt sich ein On-Premises- oder EU-Hosting-Betrieb leichter realisieren, was die datenschutzkonforme Nutzung erleichtert — die konkreten Lizenz- und Betriebsbedingungen sind im Einzelfall zu prüfen.
Ausblick / Termine
- 4. Juli 2026: CISA-Patchfrist für US-Bundesbehörden zur SharePoint-Lücke CVE-2026-45659 — faktischer Handlungsdruck auch für andere Betreiber.
- 31. Juli 2026: Registrierungsfrist im Rahmen der NIS-2-Umsetzung für besonders wichtige und wichtige Einrichtungen.
- Laufend: Medtronic-Benachrichtigungen an Betroffene — mit erhöhtem Phishing-Risiko im Umfeld.
Methodik
Stichtag dieses Briefings ist der 2. Juli 2026. Berücksichtigt wurden Meldungen der vergangenen 24 bis 72 Stunden (bei Urteilen bis zu acht Wochen ab Verfügbarkeit der schriftlichen Gründe). Alle Angaben sind über Deep-Links auf Primärquellen (Behörden, Hersteller-Advisories, Gerichte) oder etablierte Fachmedien belegt; Meldungen ohne belastbaren Deep-Link wurden nicht aufgenommen. Bereits in früheren Ausgaben behandelte Sachverhalte werden nicht wiederholt, sofern kein materiell neuer Stand vorliegt. Dieses Briefing ersetzt keine Rechts- oder Sicherheitsberatung im Einzelfall.
Quellenverzeichnis
- BfDI — Pressemitteilung 10/2026: Wahl Hennemann
- Deutscher Bundestag — Wahl des Datenschutzbeauftragten (KW 26)
- CNIL — G7: verantwortungsvolle Innovation und Schutz Minderjähriger
- BleepingComputer — Medtronic notifies customers impacted by ShinyHunters breach
- ransomware.live — Ransomware-Opfer Deutschland
- DeXpose — LockBit 5.0 / PROBAT Bau AG
- Adobe — Security Bulletin APSB26-68 (ColdFusion)
- BleepingComputer — Adobe patches max-severity ColdFusion flaws
- The Hacker News — SharePoint RCE CVE-2026-45659 added to CISA KEV
- CISA — Known Exploited Vulnerabilities Catalog
- gesetze-bayern.de — OLG München 29.01.2026, 6 U 812/24 e (BeckRS 2026, 13433)
- Cyber Security Academy — Urteilsaufbereitung ur-202
- The Hacker News — RustDuck botnet rebuilds in Rust
- Security Affairs — RustDuck botnet analysis
- Verbraucherzentrale — Phishing-Radar aktuelle Warnungen
- mistral.ai — News
- x.ai — News
- heise online — Schwachstellen in Synology MailPlus Server
- heise online — Fehler in „E-Mail-Adresse verbergen“ von Apple weiter ohne Fix
- heise online — Adobe-Patchday für ColdFusion und Campaign Classic fortan zweimal im Monat
- Dr. Datenschutz — Warenkorbabbrecher-Mails als unzulässige Werbung?













