Hackergruppe, TeamPCP

Hackergruppe TeamPCP infiltriert EU-Cloud über Sicherheits-Tool

06.04.2026 - 04:18:13 | boerse-global.de

Ein Lieferkettenangriff über ein manipuliertes Sicherheitstool ermöglichte Hackern Zugriff auf die Cloud der EU-Kommission. Sie erbeuteten und veröffentlichten hunderte Gigabyte sensibler Daten.

Hackergruppe TeamPCP infiltriert EU-Cloud über Sicherheits-Tool - Foto: über boerse-global.de

Eine Hackergruppe hat die Cloud-Infrastruktur der Europäischen Kommission geknackt. Dabei erbeuteten sie sensible Daten von 30 EU-Behörden und veröffentlichten sie im Darknet. Der Angriff nutzte ein manipuliertes Sicherheitswerkzeug als Einfallstor.

So drangen die Hacker ein

Der Cybersecurity-Dienst CERT-EU beschreibt den Vorfall als klassischen Lieferketten-Angriff. Die Gruppe TeamPCP schleuste eine präparierte Version des Open-Source-Scanners „Trivy“ in offizielle Update-Kanäle ein. Die EU-Kommission nutzte genau dieses Tool, um eigene Systeme auf Schwachstellen zu überprüfen.

Anzeige

Der massive Angriff auf die EU-Behörden zeigt, wie leicht sensible Daten in die falschen Hände geraten können. Ein kostenloses E-Book enthüllt, welche neuen Bedrohungen aktuell auf Unternehmen zukommen und wie Sie Sicherheitslücken proaktiv schließen. IT-Sicherheit stärken und Unternehmen schützen

Durch die Installation erhielten die Angreifer unbemerkt einen API-Schlüssel für die Amazon Web Services (AWS) der Kommission. Damit verschafften sie sich ab dem 19. März weitreichende Admin-Rechte. Spezialwerkzeuge wie „TruffleHog“ halfen ihnen, nach weiteren Zugangsdaten in der Cloud zu suchen. Um Spuren zu verwischen, verknüpften sie neue Schlüssel mit bestehenden Konten. Erst am 24. März bemerkte das Sicherheitsteam der Kommission die ungewöhnlichen Aktivitäten.

340 GB Daten im Darknet veröffentlicht

Das Ausmaß des Datendiebstahls ist enorm. Die Hacker entwendeten rund 92 GB komprimierte Daten – entpackt entsprechen diese etwa 340 GB. Am 28. März stellte die berüchtigte Gruppe „ShinyHunters“ das gesamte Paket auf einer Leak-Seite im Darknet online.

Die Analyse zeigt: Zehntausende Dateien mit Namen, E-Mail-Adressen und Korrespondenzinhalten wurden gestohlen. Neben der EU-Kommission selbst sind mindestens 29 weitere Agenturen betroffen. Darunter strategisch wichtige Einrichtungen wie die Europäische Arzneimittel-Agentur (EMA), die Bankenaufsicht (EBA) und die Grenzschutzagentur Frontex. Besonders brisant: In den Archiven finden sich auch „Bounce-back“-Mails, die ursprüngliche Bürgeranfragen enthalten können.

EU sperrt Schlüssel und startet Untersuchung

Die Kommission reagierte umgehend nach der Entdeckung. Alle kompromittierten AWS-Schlüssel wurden gesperrt und neu erstellte Zugriffe deaktiviert. Laut erster Stellungnahme blieben die internen Kern-IT-Systeme unberührt. Der Angriff zielte primär auf die Cloud-Umgebung für öffentliche Webauftritte.

Seit dem 25. März unterstützt CERT-EU die forensische Aufarbeitung. Alle betroffenen EU-Einrichtungen wurden informiert, die Datenschutzbehörden eingeschaltet. Die EU kündigte an, die Prüfung von Open-Source- und Drittanbieter-Software drastisch zu verschärfen. Die vollständige Bereinigung der Systeme wird jedoch noch erhebliche Zeit dauern.

Warum Lieferketten-Angriffe so gefährlich sind

Der Vorfall unterstreicht eine gefährliche Trendwende. Lieferketten-Angriffe sind besonders tückisch, weil sie das Vertrauen in etablierte Update-Prozesse missbrauchen. Wenn ausgerechnet ein Verteidigungswerkzeug wie Trivy korrumpiert wird, bricht das traditionelle Sicherheitsmodell zusammen.

Was bedeutet das für Nutzer? Viele Apps und Dienste basieren auf ähnlichen Open-Source-Komponenten. Zudem liefert das geleakte Material perfekte Grundlagen für gezielte Phishing-Angriffe. Experten raten in den kommenden Monaten zu erhöhter Wachsamkeit bei E-Mails, die vermeintlich von EU-Behörden stammen.

Anzeige

Gestohlene Daten aus solchen Großangriffen bilden oft die Basis für täuschend echte Betrugs-E-Mails. Dieser kostenlose Report zeigt Ihnen die psychologischen Tricks der Hacker und wie Sie Phishing-Angriffe in vier Schritten effektiv stoppen. Anti-Phishing-Paket jetzt gratis herunterladen

Digitale Souveränität rückt in den Fokus

Die politischen Folgen des Hacks werden noch lange nachhallen. Die Forderung nach mehr „digitaler Souveränität“ und weniger Abhängigkeit von außereuropäischen Cloud-Anbietern erhält neuen Rückenwind. Strengere Richtlinien für Open-Source-Software in kritischer Infrastruktur sind wahrscheinlich.

Da das manipulierte Trivy-Tool weltweit im Einsatz ist, könnten noch weit mehr Organisationen betroffen sein. Die EU-Kommission plant nun eine Überarbeitung ihrer Cybersicherheitsstrategie. Im Fokus stehen sogenannte Zero-Trust-Architekturen, bei denen keinem Nutzer im Netzwerk blind vertraut wird. Für die 30 betroffenen Behörden beginnt jetzt die schwierige Aufgabe, das verlorene Vertrauen zurückzugewinnen.

So schätzen die Börsenprofis Aktien ein!

<b>So schätzen die Börsenprofis Aktien ein!</b>
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
Für. Immer. Kostenlos.
boerse | 69084300 |