EU-Datenleck: Hacker nutzen Sicherheits-Software als Einfallstor

Ein vergiftetes Update für ein weit verbreitetes Sicherheitstool hat zu einem massiven Datenleck bei der Europäischen Kommission geführt. Laut einem aktuellen Bericht des EU-Computer Emergency Response Teams (CERT-EU) sind Dutzende EU-Institutionen betroffen – ein Alarmsignal für die Sicherheit von Open-Source-Software in der Regierungs-IT.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Report für Unternehmen jetzt kostenlos herunterladen

Die Attacke, die Ende März 2026 entdeckt wurde, nutzte den Schwachstellenscanner Trivy als Einfallstor. Die Bedrohungsgruppe TeamPCP manipulierte das Open-Source-Tool über dessen GitHub-Repository. Da die Kommission den Scanner für Routine-Checks einsetzte, gelangte der schädliche Code direkt in deren AWS-Cloud-Umgebung. Die Hacker erbeuteten einen geheimen API-Schlüssel, der ihnen Management-Rechte über mehrere AWS-Konten der Behörde verschaffte.

Wie die Angreifer durch die Cloud wanderten

Mit dem gestohlenen Schlüssel konnten sich die Angreifer lateral durch die Cloud-Infrastruktur bewegen. Sie nutzten Tools wie TruffleHog, um nach weiteren Zugangsdaten zu suchen. Ihr Ziel erreichten sie schließlich: der Zugriff auf den Backend-Hostingdienst der offiziellen EU-Webpräsenz Europa.eu.

Erst am 24. März 2026 schlug das Cybersecurity Operations Centre (CSOC) der Kommission Alarm – ungewöhnlicher API-Verkehr und ein Anstieg des Netzwerk-Traffics waren die Indizien. Obwohl die kompromittierten Zugangsdaten innerhalb von Stunden gesperrt wurden, war es zu spät. Die Angreifer hatten bereits eine enorme Datenmenge abgezogen.

Das volle Ausmaß: 340 Gigabyte sensible Daten

Das tatsächliche Ausmaß des Diebstahls wurde erst mit der Veröffentlichung des Datensatzes im Darknet durch die Erpressergruppe ShinyHunters deutlich. Analysen bestätigen: Die komprimierten 92 Gigabyte entpackt entsprechen rund 340 Gigabyte unkomprimiertem Material.

Die gestohlenen Daten sind höchst sensibel:
* Interne Datenbanken und vertrauliche Verträge
* Über 51.000 Dateien mit ausgehenden E-Mail-Kommunikationen
* DKIM-Signaturschlüssel und interne Admin-URLs

Laut CERT-EU-Bericht sind mindestens 71 Kunden des Europa-Webhosting-Dienstes potenziell betroffen. Darunter 42 interne Generaldirektionen der Kommission und 29 weitere EU-Einrichtungen. Zu den genannten Agenturen zählen die Europäische Arzneimittel-Agentur (EMA), die Europäische Bankaufsichtsbehörde (EBA), die EU-Agentur für Cybersicherheit (ENISA) und die Grenzschutzagentur Frontex.

Zwei Gruppen, eine Attacke: TeamPCP und ShinyHunters

Der Vorfall zeigt eine gefährliche Arbeitsteilung im Cyber-Ökosystem. TeamPCP (auch bekannt als DeadCatx3, ShellForce) führte den technisch anspruchsvollen Supply-Chain-Angriff durch. Die Gruppe ist als cloud-nativer Akteur bekannt, der gezielt Entwicklerplattformen und Open-Source-Infrastrukturen angreift.

Die Veröffentlichung der Daten übernahm die berüchtigte Gruppe ShinyHunters. Sie machte den Sicherheitsvorfall am 28. März 2026 öffentlich und eskalierte ihn so zu einer Reputationskrise für die EU. ShinyHunters spezialisiert sich nicht auf Erpressung durch Verschlüsselung, sondern auf den Verkauf oder die Veröffentlichung gestohlener Daten, um dem Ansehen des Ziels maximal zu schaden.

Rekord-Schäden durch Phishing und Datenklau zeigen, wie wichtig präventive Awareness-Kampagnen für Institutionen und Firmen heute sind. Experten erklären in diesem kostenlosen Paket, wie Sie Ihr Unternehmen wirksam in vier Schritten gegen Hacker-Abwehr absichern können. Anti-Phishing-Paket für Unternehmen gratis anfordern

Folgen für die EU und die Cybersicherheits-Branche

Der Vorfall offenbart ein „modernes Breach-Paradox“: Während die öffentlichen Europa-Websites normal online blieben, wurde im Hintergrund systematisch Cloud-Speicher geleert. Diese Diskrepanz zwischen Service-Verfügbarkeit und Datenintegrität zeigt eine kritische Lücke in aktuellen Überwachungsstrategien.

Die Abhängigkeit von Open-Source-Tools wie Trivy ist in der Tech-Branche Standard. Dass eine Bedrohungsgruppe ein solches Werkzeug kapern und damit in eine Hochsicherheitsumgebung gelangen konnte, stellt jedoch die Angemessenheit bestehender Prüfverfahren infrage. Besonders pikant: Der Angriff erfolgte kurz nach der Umsetzung neuer EU-Cybersicherheitsvorschriften zur Stärkung der Resilienz.

Was nun? Zero-Trust und Credential-Rotation

Als Reaktion kündigte die Europäische Kommission verschärfte Maßnahmen an. Dazu gehören rigorosere Credential-Rotation-Richtlinien und der Schritt hin zu Zero-Trust-Architekturen für das Cloud-Management. CERT-EU analysiert weiterhin die gestohlenen Datenbanken – ein Prozess, der angesichts des Volumens noch Wochen dauern wird.

Betroffene Mitarbeiter wurden über das erhöhte Phishing-Risiko informiert. Die EU wird voraussichtlich die Entwicklung ihres Cyber-Solidarity-Act und ähnlicher Initiativen beschleunigen, um eine einheitlichere Abwehr gegen hybride Bedrohungen zu schaffen.

Die Untersuchungen zu TeamPCP weiten sich aus. Sicherheitsforscher fanden Hinweise, dass die Gruppe im gleichen Zeitraum auch andere Sicherheitstools wie den Checkmarx KICS-Scanner und das LiteLLM AI Gateway ins Visier nahm. Die EU-Kommission war demnach nur ein Ziel in einer systematischen Kampagne gegen die globale Sicherheitsinfrastruktur. Die Frage bleibt: Wie lassen sich die Supply-Chain-Lücken schließen, die einen derart folgenschweren Angriff ermöglichten?

boerse | 69079965 |