News & Beiträge
Aktuelles aus IT, Security und Tech — kuratiert von Schönfelder EDV.
BSI setzt neue NIS2-Frist: Unternehmen müssen sich bis Ende Juli registrieren
Das BSI setzt eine neue NIS2-Registrierungsfrist bis zum 31. Juli 2026. Noch immer fehlen Tausende betroffene Unternehmen – insbesondere im Mittelstand. Bei Verstößen drohen Bußgelder bis zu 10 Millionen Euro. Der Artikel erklärt die Fristen, die Registrierung und die Pflichten für KMU.
WordPress-Supply-Chain-Angriff: OptinMonster-Kompromittierung gefährdet 1,2 Millionen Websites
Am 13. Juni 2026 deckte Sansec einen aktiven Supply-Chain-Angriff auf die WordPress-Plugins OptinMonster, TrustPulse und PushEngage auf. Angreifer erlangten Zugriff auf das BunnyNet-CDN-Konto des Anbieters Awesome Motive und injizierten bösartigen JavaScript-Code in legitime SDK-Dateien. Das injizierte Skript wartet auf eingeloggte Administratoren, erstellt versteckte Admin-Konten und installiert ein unsichtbares Backdoor-Plugin. Betreiber betroffener WordPress-Seiten müssen dringend handeln.
Deutschland-Stack: Bund und Länder einigen sich auf verbindliche Einführung
Der IT-Planungsrat hat am 18. Juni 2026 einen Durchbruch beim Deutschland-Stack verkündet. Die 16 Bundesländer verpflichten sich zur verbindlichen Anbindung und flächendeckenden Nutzung zentraler Basiskomponenten wie der digitalen Identität (eID/EUDI-Wallet), dem Once-Only-System (NOOTS) und der Datentransportinfrastruktur FIT-Connect. Der Bund finanziert Entwicklung und Betrieb. Für IT-Dienstleister und KMU entstehen neue Standards und Marktchancen.
Android 17: Google rollt Pixel Drop mit neuen Funktionen und Sicherheitspatches aus
Google hat am 16. Juni 2026 Android 17 als stabile Version zusammen mit dem June Pixel Drop veröffentlicht. Die wichtigsten Neürungen umfassen schwebende App-Bubbles, Screen Reactions für Reaktionsvideos, Foldable Gaming Mode und umfassende Sicherheitsverbesserungen wie biometrische Gerätesperre, einmalige Standortfreigabe und Post-Quantum-Kryptographie. Der Rollout betrifft Pixel 6 bis Pixel 10a sowie ausgewählte Partner-Geräte.
Atlassian Juni-Bulletin: 100 Sicherheitslücken in Jira, Confluence, Bitbucket, Bamboo und Crowd
Das Juni-Bulletin 2026 von Atlassian schließt 100 Sicherheitslücken in Jira Software, Conflünce, Bitbucket, Bamboo, Jira Service Management, Crowd, Fisheye und Crucible. Mehrere Lücken in den Tomcat- und Axios-Abhängigkeiten erreichen CVSS 10.0 oder 9.8 und betreffen zentrale Enterprise-Tools im KMU-Stack.
libssh2: Kritische Out-of-Bounds-Lücke gefährdet SSH-Infrastruktur – Patches nur als Commits
Die SSH-Bibliothek libssh2 enthält zwei Sicherheitslücken: eine kritische Out-of-Bounds-Lücke (CVE-2026-55200) in der Funktion ssh2_transport_read() und eine zweite hochriskante Lücke (CVE-2026-55199). Reparierte Ausgabe 1.11.1-3 ist erst in der Testphase, offizielle Pakete für die gängigen Distributionen fehlen noch weitgehend.
F5 patcht außerplanmäßig kritische Nginx-Lücken: HTTP/3-Use-after-free und Heap-Überlauf
F5 hat am 19. Juni 2026 vier Nginx-Sicherheitslücken außer der Reihe geschlossen, darunter eine kritische Use-after-free-Lücke im HTTP/3-QUIC-Modul (CVE-2026-42530, CVSS 9.2) und einen Heap-Überlauf im Proxy- und gRPC-Modul (CVE-2026-42055, CVSS 9.2). Admins, die HTTP/3 aktiv nutzen, müssen ihre Nginx-Konfiguration anpassen, der Nginx Ingress Controller bleibt ohne Fix.
JetBrains Marketplace: 15 schädliche Plug-ins stehlen API-Keys für OpenAI, DeepSeek und SiliconFlow
Sicherheitsforscher von Aikido haben 15 bösartige Plug-ins im offiziellen JetBrains-Marketplace entdeckt, die API-Keys für OpenAI, DeepSeek und SiliconFlow an einen externen Server übertragen. Die Plug-ins tarnen sich als DeepSeek- und AI-Coding-Tools, locken mit Paywall-Modellen und kommen zusammen auf rund 70.000 Installationen. Admins müssen jetzt handeln.
usbliter8: Unpatchbare BootROM-Lücke in Apple A12/A13-Chips
Paradigm Shift veröffentlicht usbliter8-Exploit gegen Apple A12/A13 SecureROM. Kein Software-Patch möglich.
Nightmare Eclipse: Der Zero-Day-Forscher, der Microsoft seit Monaten vorführt
Seit März 2026 veröffentlicht Nightmare Eclipse regelmäßig Exploits für ungepatchte Microsoft-Lücken – immer dienstags, immer am Patchday. Sechs Zero-Days, eine MSRC-Kontroverse und kein Ende in Sicht.