Die Europäische Kommission bestätigte am Donnerstag einen Cyberangriff auf Teile ihrer bei Amazon Web Services gehosteten Cloud-Infrastruktur, bei dem mehr als 350 Gigabyte an Daten gestohlen worden sind. Der Angriff ereignete sich am 24. März, und die Sicherheitsteams erkannten und blockierten ihn, allerdings erst nachdem der Angreifer bereits ein erhebliches Volumen sensibler Informationen abgezogen hatte, darunter mehrere Datenbanken und interne Dateien.
Nach Angaben von mit der Untersuchung vertrauten Quellen nahm der Bedrohungsakteur direkt Kontakt mit BleepingComputer auf und legte Beweise für den Einbruch vor. Die bereitgestellten Screenshots zeigen den Zugriff auf Mitarbeiterinformationen der Europäischen Kommission sowie auf einen internen E-Mail-Server. Die kompromittierte Infrastruktur beherbergt den Webauftritt der Kommission auf der Plattform Europa.eu, was Bedenken hinsichtlich des Umfangs der während des Eindringens zugänglichen Daten aufwirft.
Cybersicherheitsanalysten haben bestätigt, dass Amazon Web Services selbst bei diesem Vorfall nicht kompromittiert ist. Stattdessen zielte der Angreifer auf die Verwaltungsebene ab und kompromittierte mindestens ein Konto, das zur Administration der Cloud-Umgebung der Kommission dient. Diese Unterscheidung ist entscheidend, da sie auf ein Versagen bei den Zugriffskontrollen und der Anmeldeinformationsverwaltung hinweist und nicht auf eine Schwachstelle in der zugrunde liegenden Cloud-Plattform.
Die Europäische Kommission erklärte, sie habe sofortige Maßnahmen ergriffen, um den Angriff nach seiner Erkennung einzudämmen, und die Sicherheitslücke sei vollständig isoliert. Eine interne Untersuchung läuft derzeit, um das volle Ausmaß der Datenexfiltration festzustellen und weitere möglicherweise betroffene Systeme zu identifizieren. Die Kommission hat bisher nicht offengelegt, ob die gestohlenen Daten als Verschlusssache eingestufte oder anderweitig eingeschränkte Informationen enthalten.
In einer besonders besorgniserregenden Entwicklung hat der Bedrohungsakteur angekündigt, kein Lösegeld für die gestohlenen Daten zu verlangen. Der Hacker plant stattdessen, die Informationen zu einem späteren Zeitpunkt öffentlich zu veröffentlichen, was darauf hindeutet, dass die Motivation hinter dem Angriff eher geopolitischer oder reputationsbezogener Natur ist als finanzieller. Dieser Ansatz spiegelt einen wachsenden Trend unter hochentwickelten Bedrohungsakteuren wider, die den maximalen Schaden durch öffentliche Enthüllung anstreben statt durch private Erpressung.
Dieser Vorfall stellt den zweiten großen Cybersicherheitsvorfall dar, der die Europäische Kommission im Jahr 2026 betrifft. Am 30. Januar hat ein unbefugter Zugriff auf die zentrale Infrastruktur zur Verwaltung mobiler Geräte stattgefunden, der am 6. Februar erkannt worden ist. Dabei sind möglicherweise Namen und Telefonnummern von Mitarbeitern offengelegt worden. Jener erste Vorfall, den die Sicherheitsteams innerhalb von neun Stunden eindämmten, hat möglicherweise die als CVE-2026-1281 und CVE-2026-1340 identifizierten Schwachstellen ausgenutzt.
Die wiederholte Angriffswelle gegen Institutionen der Europäischen Union unterstreicht die eskalierende Cyberbedrohungslage, mit der Regierungsorganisationen weltweit konfrontiert sind. Experten für Cybersicherheit betonen, dass Cloud-Umgebungen robuste Protokolle für Identitäts- und Zugriffsverwaltung, Mehrfaktor-Authentifizierung und kontinuierliche Überwachung erfordern, um ähnliche Vorfälle in Zukunft zu verhindern.
Kommentare