Miasma-Wurm: 73 GitHub-Repos infiltriert, Schadcode rückdatiert

Das erste Halbjahr 2026 steht im Zeichen beispielloser Cyberattacken auf Regierungen, Hilfsorganisationen und Unternehmen. Die Sicherheitslage hat sich dramatisch zugespitzt.

UN-Hilfswerk: Daten von 600.000 Haushalten gestohlen

Das Welternährungsprogramm der Vereinten Nationen (WFP) meldete einen schwerwiegenden Datenvorfall. Am 14. Mai 2026 verschafften sich Unbefugte Zugriff auf die Selbstregistrierungsanwendung für Palästina. Betroffen sind rund 600.000 Haushalte im Gazastreifen – ihre Namen, Ausweisnummern, Telefonkontakte und Standortdaten sind kompromittiert. Das WFP legte die Plattform umgehend still und warnte vor gezielten Phishing-Versuchen.

Die massiven Datenlecks des Jahres 2026 zeigen, wie raffiniert Hacker psychologische Schwachstellen ausnutzen, um an sensible Zugangsdaten zu gelangen. Dieses kostenlose Anti-Phishing-Paket enthüllt die aktuellen Methoden der Cyberkriminellen und bietet eine konkrete Anleitung zur Hacker-Abwehr. In 4 Schritten zum sicheren Unternehmen: Anti-Phishing-Paket gratis herunterladen

Parallel dazu erhöht der US-Kongress den Druck auf die Heimatschutzbehörde CISA. Am 6. Juni forderten Abgeordnete Aufklärung über einen Einbruch in das Chemikaliensicherheits-Tool der Behörde. Das System mit sensiblen Daten von rund 3.000 Chemieanlagen wurde Mitte Februar vom Netz genommen. Eine dritte forensische Prüfung läuft, während der Heimatschutzausschuss für Ende Juni Anhörungen vorbereitet.

Weitere spektakuläre Lecks erschütterten die USA: Die mutmaßliche Offenlegung von Sozialversicherungsdaten durch die neue Effizienzbehörde DOGE auf ungesicherten Servern könnte Analysten zufolge der größte Datenraub der US-Geschichte sein. Im April wurde zudem ein Kompromittierung des FBI-Überwachungssystems bekannt, hinter der ausländische Geheimdienste vermutet werden.

Krankenkassen und Kliniken im Visier von Erpressern

Die Gesundheits- und Versicherungsbranche bleibt das Hauptziel von Erpressungsbanden. Die Hackergruppe ShinyHunters veröffentlichte 234 Gigabyte gestohlener Daten von DentaQuest, einem Zahn- und Augenversicherer. Der Vorfall im Mai betrifft 2,6 Millionen Menschen. Die Täter erbeuteten Namen, Geburtsdaten, Ausweis- und Medicaid-Nummern – und zwar nicht durch Schadsoftware, sondern über gestohlene Cloud-Zugangsdaten aus Phishing-Angriffen.

Die Bilanz des Jahres 2026 liest sich wie ein Horrorszenario:

• Change Healthcare: Ein Angriff der Gruppe Alphv/BlackCat im Februar traf 100 Millionen Menschen – die Erpresser kassierten 22 Millionen Euro Lösegeld.
• Stryker: Iranische Hacker zerstörten im März rund 30.000 Geräte des Medizintechnikherstellers.
• Aspire Hospital: Am 5. Juni verschlüsselte die Ransomware-Bande „Nova" die Server dieser indischen Klinik und droht mit der Veröffentlichung von Patientendaten.
• National Public Data: Ein massiver Vorfall im April legte angeblich 2,9 Milliarden Datensätze offen – zum Verkauf im Darknet.

Neue Angriffswelle auf Software-Lieferketten

Am 5. Juni entdeckten Sicherheitsexperten eine neuartige Kampagne: Der Wurm „Miasma" infiltrierte 73 Microsoft GitHub-Repositorys. Die Angreifer nutzten gestohlene Zugangsdaten von Entwicklern und schleusten Schadcode ein – rückdatiert auf das Jahr 2020. Der Code sollte Anmeldedaten für große Cloud-Plattformen und Entwickler-Tools stehlen, sobald er in KI-gestützten Programmierassistenten geöffnet wurde. Microsoft deaktivierte die betroffenen Repositorys innerhalb von zwei Minuten.

Als Reaktion auf die wachsende Bedrohung durch Prompt-Injection-Angriffe und Datendiebstahl führte OpenAI am 6. Juni einen neuen Sicherheitsmodus ein. Der „Lockdown Mode" erlaubt Geschäftskunden, Live-Internetzugriff, Bildabruf und autonome Agenten zu deaktivieren – um unbefugte Datenübertragungen während KI-Interaktionen zu verhindern.

Deutschland verklagt Microsoft – EU verschärft Regeln

Die Behörden gehen zunehmend gegen Technologiekonzerne vor, die Sicherheitsstandards nicht einhalten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) leitete am 6. Juni rechtliche Schritte gegen Microsoft ein. Ziel: Die Offenlegung von Sicherheitsprotokollen erzwingen. Hintergrund ist der Verlust eines Master-Keys für die Microsoft Cloud – ein Vorfall, den US-Heimatschutzbeamte als schwerwiegendes Versagen bezeichneten. Das BSI zeigte sich unzufrieden mit der Kooperationsbereitschaft des Konzerns und verwies auf die deutlich besseren Sicherheitsmaßnahmen von Wettbewerbern.

Auf europäischer Ebene schließt der Europäische Datenschutzausschuss (EDSA) seine Konsultationen zu neuen Vorlagen für Datenschutz-Folgenabschätzungen ab. Ziel ist die Vereinfachung von Compliance-Prozessen für risikoreiche Datenverarbeitungen. Für den 8. Juni ist zudem eine hochrangige Debatte mit europäischen und nationalen Regulierern geplant: Es geht um die Verzahnung der DSGVO mit dem neuen KI-Gesetz – Grundrechte sollen gewahrt bleiben, bürokratische Hürden für die Industrie jedoch abgebaut werden.

Angesichts der neuen EU-Vorgaben stehen viele Unternehmen vor der Herausforderung, komplexe Risikoanalysen rechtssicher durchzuführen. Dieser kostenlose Leitfaden bietet praxisnahe Checklisten und eine Muster-Vorlage, um die geforderte Datenschutz-Folgenabschätzung effizient und ohne Bußgeldrisiko zu erstellen. Kostenlose Muster-DSFA und Checklisten jetzt sichern

de | wissenschaft | 69496964 |