EU-Kommission: Cyberangriff erbeutet Mitarbeiterdaten

Ein gezielter Hackerangriff auf die IT der EU-Kommission hat persönliche Daten von Mitarbeitern kompromittiert – nur Tage nach Vorstellung eines neuen Sicherheitspakets.

Der Vorfall, der sich bereits Ende Januar ereignete, wirft ein grelles Schlaglicht auf die Verwundbarkeit der europäischen Institutionen. Angreifer verschafften sich Zugang zum System für die Verwaltung mobiler Dienstgeräte. Dabei könnten sie Namen und Mobilfunknummern von Kommissionsmitarbeitern erbeutet haben. Die Behörde betont, der Angriff sei innerhalb weniger Stunden eingedämmt worden. Die Geräte selbst seien nicht kompromittiert.

Doch der Zeitpunkt könnte kaum brisanter sein. Nur zehn Tage zuvor hatte die Kommission ihr neues, umfassendes Cybersicherheitspaket präsentiert. Jetzt muss es seinen ersten Praxistest bestehen. Sicherheitsexperten sind alarmiert: Die gestohlenen Kontaktdaten sind der ideale Köder für gezielte Phishing-Angriffe, um tief in EU-Netzwerke vorzudringen.

Passend zum Thema Phishing-Angriffe: Gestohlene Telefonnummern sind der ideale Köder für hochgradig personalisierte Betrugsversuche – vor allem, wenn sie Dienst‑Smartphones und MDM‑Systeme betreffen. Das kostenlose Anti‑Phishing‑Paket erklärt in einer leicht umsetzbaren 4‑Schritte‑Anleitung, wie IT‑Verantwortliche und Mitarbeitende gefälschte Anrufe, SMS und zielgerichtete E‑Mails erkennen, Meldungen sichern und Vorfälle melden. Mit konkreten Vorlagen für interne Warnungen und Sofortmaßnahmen. Anti‑Phishing‑Paket jetzt kostenlos anfordern

Schwachstelle in Standard-Software als Einfallstor

Der Angriff vom 30. Januar zielte präzise auf die Mobile-Device-Management-Infrastruktur (MDM). Solche Systeme verwalten zentral Tausende Dienst-Smartphones und Tablets. Obwohl die Kommission den Hersteller nicht nennt, deutet alles auf eine bekannte Lücke in Ivanti Endpoint Manager Mobile (EPMM) hin.

Kritische Sicherheitslücken in dieser weitverbreiteten Software waren erst kurz zuvor publik geworden – und wurden bereits aktiv ausgenutzt. Niederländische Behörden meldeten fast identische Angriffe. Das Muster ist klar: Angreifer nutzen die Zeit zwischen der Entdeckung einer Schwachstelle und der flächendeckenden Installation von Updates.

„Selbst scheinbar harmlose Daten wie Telefonnummern sind wertvoll“, warnt ein Sicherheitsexperte. „Sie sind der erste Schritt für maßgeschneiderte Betrugsanrufe oder Phishing-Mails, um an Passwörter oder sensible Dokumente zu gelangen.“

Schnelle Eindämmung, aber langfristige Risiken

Die Kommission reagierte nach eigenen Angaben schnell. Das kompromittierte System sei innerhalb von neun Stunden bereinigt worden. Die operative Abwehr liegt beim CERT-EU, der Zentralstelle für Cybersicherheit aller EU-Institutionen. Sie überwacht die Systeme rund um die Uhr.

Doch die eigentliche Arbeit beginnt jetzt. Eine gründliche Untersuchung soll klären, wie es zum Einbruch kam. Die Ergebnisse fließen in die laufenden Sicherheitsupgrades ein. Für die betroffenen Mitarbeiter beginnt eine Phase erhöhter Wachsamkeit vor betrügerischen Kontaktversuchen.

Politischer Weckruf zur Unzeit

Die Ironie des Zeitpunkts ist kaum zu überbieten. Am 20. Januar stellte die Kommission den „Cybersecurity Act 2.0“ vor. Ein Kernziel: sichere IT-Lieferketten und weniger Risiken durch anfällige Software von Drittanbietern.

Genau diese Abhängigkeit wurde dem Angreifer nun zum Vorteil. Der Vorfall unterstreicht eine unbequeme Wahrheit: Selbst die Hüter der europäischen Sicherheitsregeln sind nicht immun. Er erhöht den Druck, die eigenen, frisch verkündeten Ambitionen nun auch zügig in die Tat umzusetzen.

Flankiert wird der neue Act von der NIS2-Richtlinie. Sie verpflichtet 18 kritische Sektoren – von Energieversorgern bis zur öffentlichen Verwaltung – zu strengen Sicherheitsstandards. Der Angriff auf die Kommission zeigt, dass diese Regeln auch für ihre eigenen Schöpfer gelten müssen.

Die Herausforderung: Digitale Souveränität und wachsache Mitarbeiter

Langfristig steht die EU vor einer doppelten Aufgabe. Technologisch geht es um digitale Souveränität – also weniger Abhängigkeit von Software mit kritischen Schwachstellen. Organisatorisch braucht es eine dauerhafte Sensibilisierung aller Mitarbeiter für Cybergefahren.

Der jüngste Angriff ist ein Rückschlag. Er könnte sich aber als der notwendige Weckruf erweisen, um die europäischen Cyberabwehrpläne entschlossener voranzutreiben. Die Glaubwürdigkeit der EU als Regelgeberin für Cybersicherheit steht auf dem Spiel.

PS: Für Organisationen mit mobilen Dienstgeräten reicht Technik allein nicht aus. Das Anti‑Phishing‑Paket verbindet technische Gegenmaßnahmen mit Schulungsbausteinen und erklärt, welche psychologischen Tricks Angreifer nutzen, wie CERT‑Teams Prioritäten setzen und welche Checklisten sofort helfen, Folgeangriffe zu verhindern. Ideal für Behörden, IT‑Teams und Personalabteilungen, die ihre Mitarbeitenden konkret schützen wollen. Jetzt Anti‑Phishing‑Paket herunterladen