EU-Datenleck: 30 Behörden durch Angriff auf Sicherheits-Software betroffen

Ein Angriff auf ein weit verbreitetes Sicherheitstool führte zu einem der größten Datenlecks in der Geschichte der EU. Die europäische Cybersicherheitsagentur CERT-EU bestätigte, dass der als TeamPCP bekannte Angreifer über eine manipulierte Version des Scanners Trivy Zugriff erlangte. Dabei wurden sensible Daten von mindestens 30 EU-Einrichtungen gestohlen, darunter das Europäische Parlament und der Rat der EU.

Während Institutionen durch komplexe Supply-Chain-Angriffe bedroht werden, rücken auch kleine und mittelständische Betriebe immer stärker ins Visier von Cyberkriminellen. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken proaktiv schließen und gleichzeitig neue gesetzliche Anforderungen ohne teure Investitionen erfüllen. IT-Sicherheit stärken und Unternehmen langfristig schützen

Umfang des Lecks übertrifft alle Befürchtungen

Was Ende März zunächst als begrenzter Vorfall auf der Webplattform Europa.eu erschien, entpuppt sich als schwerwiegender Angriff auf das Herzstück der EU-IT. Laut dem aktuellen Bericht von CERT-EU vom 3. April 2026 waren 42 interne Clients der Europäischen Kommission sowie 29 weitere EU-Einrichtungen betroffen. Zu den betroffenen Institutionen zählen neben Parlament und Rat auch der Europäische Auswärtige Dienst.

Die Angreifer exfiltrierten etwa 91,7 Gigabyte komprimierte Daten – entpackt entspricht das rund 350 Gigabyte. Das erbeutete Material, darunter Zehntausende Dateien mit persönlichen Informationen und institutioneller Kommunikation, tauchte bereits in Darknet-Foren der Erpressergruppe ShinyHunters auf. Die Kommission betont, ihre Kernsysteme seien sicher. Doch das Ausmaß des Lecks stellt einen massiven Vertrauensverlust dar.

Supply-Chain-Angriff nutzte Sicherheitslücke in Trivy

Die Attacke folgte einem heimtückischen Muster: Statt direkt Firewalls zu überwinden, kompromittierten die Hacker die Lieferkette. Sie nutzten eine Schwachstelle in der GitHub Actions-Umgebung des Open-Source-Sicherheitsscanners Trivy von Aqua Security. So schleusten sie Malware in den Update-Stream des Tools ein.

Organisationen, die Trivy in ihren automatisierten Entwicklungsprozessen (CI/CD) nutzten, zogen unwissentlich die schadhafte Version ein. In der Infrastruktur der Kommission stahl die Malware einen geheimen Amazon Web Services (AWS) API-Schlüssel. Mit diesen Administrator-Rechten konnten sich die Angreifer in mehreren AWS-Konten der Kommission bewegen, Daten ausspähen und abfließen lassen – zunächst völlig unbemerkt.

Amazon bestätigte, dass kein eigener Systemfehler, sondern der Missbrauch gestohlener Zugangsdaten über das Drittanbieter-Tool vorlag. Entdeckt wurde der Angriff erst am 24. März 2026, als das Cybersecurity Operations Centre (CSOC) der Kommission einen abnormalen Anstieg des Netzwerkverkehrs meldete.

Der Vorfall zeigt eindrucksvoll, wie Hacker gezielt technische und menschliche Schwachstellen ausnutzen, um an sensible Daten zu gelangen. Ein spezieller Gratis-Report erklärt die aktuellen Methoden der Cyberkriminellen und zeigt Unternehmen in vier Schritten, wie sie sich effektiv gegen Manipulation und Datendiebstahl absichern können. Anti-Phishing-Paket zur Hacker-Abwehr jetzt kostenlos anfordern

Folgen für Datenschutz und IT-Sicherheit der EU

Die unmittelbare Gefahr ist gebannt: Die Kommission sperrte die kompromittierten Zugangsschlüssel innerhalb von 24 Stunden. CERT-EU unterstützt nun alle betroffenen Stellen bei der forensischen Analyse und der Benachrichtigung der Betroffenen. Doch die langfristigen Konsequenzen wiegen schwer.

Das Leck fällt in eine heikle Phase: Die EU richtet gerade die Durchsetzungsmechanismen für den neuen KI-Vertrag (AI Act) ein. Der Vorfall sendet ein fatales Signal zur Sicherheit der eigenen digitalen Infrastruktur. Der Europäische Datenschutzbeauftragte (EDPS) wird prüfen, ob die 72-Stunden-Meldepflicht der DSGVO eingehalten wurde.

Experten sehen in dem Angriff einen trend zu „datengetriebener“ Cyberkriegsführung. Im Gegensatz zu Ransomware zielte der Angriff nicht auf Lahmlegung, sondern auf die stille Extraktion von institutionellem Wissen. Die Beteiligung von ShinyHunters, die gestohlene Daten typischerweise gewinnbringend verkaufen, deutet auf finanzielle Motive hin. Der geopolitische Wert der Dokumente ist jedoch beträchtlich.

Die EU muss nun beweisen, dass sie ihre digitalen Grenzen ebenso effektiv schützen kann, wie sie die digitale Landschaft des Kontinents reguliert. Der Vorfall dürfte die Umsetzung der EU-Cybersicherheitsverordnung beschleunigen und als Lehrbeispiel für das neu geschaffene EU Cyber Reserve dienen.

boerse | 69072286 |