DSGVO-Briefing
04. Juni 2026Hackerangriffe treffen Fotografie-Dienstleister Portraitbox GmbH und Unimed, Abrechnungsdienstleister für Unikliniken; CIFSwitch-Schwachstelle bedroht Linux seit 2007.
Datendiebstahl bei Portraitbox GmbH: Täter drohen mit Datenleck.
Am Wochenende des 16. und 17. Mai wurde die Paderborner Portraitbox GmbH Ziel eines Cyberangriffs. Unbekannte verschafften sich Zugriff auf Cloud‑Systeme, kopierten Daten und löschten anschließend Inhalte aus den Systemen des Dienstleisters für Fotografen, der Bilder-Hosting anbietet.
Betroffen waren demnach Kinder‑ und Klassenfotos, Namen, E‑Mail‑Adressen, Lieferanschriften, Bestellungen sowie Zugangsdaten zu passwortgeschützten Galerien der Nutzer des Dienstes. Die Täter drohten, die Daten – darunter auch Kinderbilder – im Darknet zu veröffentlichen.
Unimed-Daten gestohlen: Hochschulen landesweit betroffen.
Bereits am 14. April drangen Cyberkriminelle in die Systeme des im Saarland beheimateten Abrechnungsdienstleisters Unimed ein, der für zahlreiche deutsche Universitätskliniken Privatpatienten abrechnet. Die Täter kopierten zunächst Daten und versuchten danach ohne Erfolg, die Infrastruktur zu verschlüsseln.
Betroffen waren unter anderem die Universitätskliniken in Köln, Mainz, Freiburg, Heidelberg, Tübingen, Homburg und Ulm. Gestohlen wurden Namen, Adressen, Rechnungsdaten, teils Gesundheitsinformationen und vereinzelt Bankdaten. Die Uni-Klinik Köln z.B. meldete rund 30.000 Betroffene, die Uni-Klinik Freiburg 54.000 – insgesamt betrifft der Vorfall vermutlich deutlich über 100.000 Menschen.
Die Kliniken betonten, dass ihre eigenen Systeme unberührt seien.
CIFSwitch: Wieder eine fast 20 Jahre alte Linux-Lücke entdeckt.
Auch in dieser Woche berichten wir über eine schwerwiegende Linux-Schwachstelle. Auch diese, als CIFSWitch (CIFS: Common Internet File System) bekannt, betrifft mehrere Distributionen – und existiert offenbar bereits seit 19 Jahren.
Bei dieser Sicherheitslücke ist es Usern ohne die nötigen Privilegien möglich, einen cifs.spnego-Schlüssel anzufragen, der dann root-Zugriffe erlaubt. Grund ist, dass das CIFS-Subsystem des Linux-Kernels nicht verifiziert, ob die Anfrage tatsächlich aus dem Klienten des Kernels stammt. Dem Sicherheitsforscher Asim Viladi Oglu Manizada zufolge, der die Schwachstelle entdeckte, kann man so also mit einer gefälschten Schlüsselbeschreibung großen Schaden anrichten.
Nutzer betroffener Distributionen sollen das CIFS-Modul sicherheitshalber blacklisten oder ausschalten, sofern es nicht nötig ist. Zudem rät der Forscher ihnen, das cifs-utils-Paket zu löschen und die Namespaces von Usern ohne entsprechende Privilegien ebenfalls abzuschalten.