RSS FeedsTwitterEnglish Version
Bußgeld
Ransomware

DSGVO-Briefing

DSGVO-Briefing
Datum29. Juni 2026

Die ShinyHunters-Gruppe attackierte den Europarat, es wurden Versuchsteilnehmer-Daten vom Ozempic-Hersteller Novo Nordisk gestohlen und 86 Tsd.+ Fortinet-Zugänge geleakt. Das LG Berlin I kürzt das Deutsche Wohnen-Bußgeld auf 900.000 EUR.

Supply Chain-Angriff auf den Europarat: ShinyHunters veröffentlichen Beute.

Im Zuge ihrer Kampagne, in der die ShinyHunters-Gruppierung über eine Schwachstelle in Oracles PeopleSoft-Anwendung Einrichtungen und Unternehmen attackiert und diese erpresst, griffen die Hacker auch den Europarat an. Sie wollen so mehr als 297 GB Daten erbeutet haben, darunter auch 409.000 Lohnabrechnungen von Angestellten des Europarats aus den letzten 15 Jahren, über 14.000 Lebensläufe und 3.700 interne Personalakten. Diese enthalten unter anderem demografische Daten, Kontaktinformationen, Lohn- und Finanzdetails sowie medizinsiche Informationen.

Die ShinyHunters-Gruppe veröffentlichte ihre Beute, nachdem der Europarat die sehr kurz angesetzte Deadline des 16. Juni nicht einhielt.

Ozempic-Hersteller Novo Nordisk attackiert: Täter stehlen Versuchsteilnehmer-Daten.

Am 11. Juni gab der dänische Pharmakonzern Novo Nordisk einen Angriff auf Teile seiner internen Systeme IT bekannt. In den darauffolgenden Tagen wurde öffentlich, dass die Täter wohl personenbezogene Daten stehlen konnten; betroffen waren demnach Personen, die an klinischen Studien teilgenommen hatten. Diese sind nach Angaben des Ozempic-Herstellers jedoch pseudonymisiert. Kompromittiert wurden Patienten-IDs, Geschlecht, Geburtsjahr, sogenannte Biomarker, Gesundheitsdaten und beeinflussende Faktoren wie z.B. Rauchen und Alkoholkonsum.

Anders sieht dies bei im Gesundheitsbereich tätigen Personen aus, deren bei dem Hersteller hinterlegte Informationen ebenfalls abgegriffen wurden. Ihre Namen, Registrierungsnummern, Kontaktdaten und Arbeitsplatzadressen wurden demnach gestohlen; Novo Nordisk warnte sie vor Phishing-Attacken.

Betroffene Systeme wurden prompt abgeschaltet. Diese sollen nun nach und nach wieder in Betrieb genommen werden.

Am 13. Juni beanspruchte die Gruppe FulcrumSec, die vor allem für Hack-and-Leak-Angriffe bekannt ist, den Vorfall DataBreaches.net gegenüber für sich. Sie erklärten demnach, im März über ein GitHub-Token in die Firmennetzwerke eingedrungen zu sein und neben Personendaten auch urheberrechtlich geschützte Medikamentenrezepturen und mehr erbeutet zu haben. Darunter sollen auch interne KI-Assets sein. Sie verlangten am 1. Juni 2026 eigenen Angaben nach ca. 25 Mio. USD als Lösegeld von Novo Nordisk, die der Konzern nicht zahlte. Daraufhin drohten die Hacker mit dem Leak ihrer Beute, insgesamt 1,3 TB.

„FortiBleed“: Hacker-Datenbank mit 86,6 Tsd. Zugangsdaten entdeckt.

Um den 12. Juni herum berichtete der Sicherheitsforscher Bob Diachenko auf LinkedIn von einer möglichen gravierenden Sicherheitslücke bei Fortinet. Das als „FortiBleed“ betitelte Datenleck sollte zunächst die Zugangsdaten von 73.932 Fortinet- und FortiGate-VPN-Firewall-URLs enthalten - eine Zahl, die in den darauffolgenden Tagen auf mehr als 86.644 erhöht wurde. Die betroffenen Unternehmen und Organisationen sind auf der ganzen Welt beheimatet; spezifisch genannt wurden u.a. Samsung, Mercedes-Benz und Toyota.

Diachenko zufolge handelt es sich bei dem Datenleck um die Beute einer russischsprachigen Datendiebstahlsoffensive, deren Datenbank nicht ausreichend geschützt war. Die Daten wurden geprüft; zumindest große Teile davon sind funktional und aktuell. Laut einer Untersuchung von SOCRadar nutzten die Täter, die als Initial Access Broker identifiziert wurden, eine Schwachstelle in FortiOS' Diagnose-Tool, um Authentifizierungsdaten abzugreifen.

Fortinet äußerte sich zu dem Datenleck. Das Unternehmen versicherte, es seien keine frischen Schwachstellen ausgenutzt worden. Die Daten stammten demnach aus vergangenen Vorfällen oder Brute Force-Attacken.

Deutsche Wohnen-Bußgeld auf 900.000 EUR reduziert.

2019 wurde gegen die Deutsche Wohnen ein deutsches Rekordbußgeld wegen diverser Datenschutzverstöße ausgesprochen: 14,5 Mio. EUR. Sie sammelte die Daten ihrer Mieter über Jahre hinweg; interne Systeme fehlten auch nach einer Aufforderung der Aufsichtsbehörde in 2017 die technischen Möglichkeiten zur Datenlöschung.

2021 wurde der Beschluss zunächst nach Einspruch des Unternehmens für unwirksam erklärt; die Untersuchung wurde erneut aufgenommen.

Das LG Berlin I kürzte den ursprünglichen Bußgeldbetrag im Juni 2026 nun drastisch auf 900.000 EUR. Dies begründete das Gericht damit, dass die Deutsche Wohnen externe Fachleute zur Anpassung ihrer Systeme an die DSGVO hinzugezogen hatte. Zudem hätten sich die Verstöße in der Anfangszeit der DSGVO ereignet.

Impressum / Datenschutz / Rechtliche Hinweise