Ein scheinbar routinemäßiges Software-Update wurde zum Einfallstor für einen der brisantesten Cybervorfälle des Jahres: Ende März 2026 wurde die Cloud-Infrastruktur der EU-Kommission Ziel eines gezielten Cyberangriffs – mit weitreichenden Folgen.

Der Einstieg: Ein kompromittiertes Tool

Am 24. März schlugen die Alarmsysteme der Cybersecurity-Abteilung der EU-Kommission an: Auffällige API-Aktivitäten, ungewöhnlich hoher Netzwerkverkehr und Hinweise auf kompromittierte Konten. Einen Tag später wurde CERT-EU informiert.

Die Spur führte schnell zur Ursache, bei der es sich um eine sogenannte Supply-Chain-Attacke handelt. Die Kommission hatte – ohne es zu wissen – eine manipulierte Version des Sicherheitstools „Trivy“ eingesetzt. Diese kompromittierte Version, die dem Angreiferkreis „TeamPCP“ zugeschrieben wird, schleuste Schadcode über reguläre Update-Kanäle ein.

Bereits am 19. März konnten Angreifer so einen sensiblen AWS-API-Schlüssel abgreifen – ein digitaler Generalschlüssel mit weitreichenden Zugriffsrechten.

Der Angriff: Zugriff, Ausweitung, Datendiebstahl

Mit diesem Schlüssel verschafften sich die Angreifer Zugriff auf Cloud-Ressourcen der EU-Kommission. Sie legten unauffällig neue Zugangsschlüssel an, um dauerhaft Zugriff zu behalten, und durchsuchten die Systeme gezielt nach weiteren sensiblen Daten, unter anderem mit dem Tool „TruffleHog“.

Parallel dazu exfiltrierten sie große Datenmengen: Insgesamt rund 91,7 GB (komprimiert) – das entspricht etwa 340 GB unkomprimiert.

Die Beute: Persönliche Daten und interne Kommunikation

Die gestohlenen Daten stammen aus der Infrastruktur der Plattform „europa.eu“, über die Websites der EU-Kommission und weiterer EU-Einrichtungen betrieben werden.

Betroffen sind:

• Daten von bis zu 71 Organisationen (42 interne, mindestens 29 weitere EU-Einrichtungen)
• Personenbezogene Daten wie Namen, E-Mail-Adressen und Nutzernamen
• Rund 52.000 E-Mail-Dateien, darunter auch sogenannte „Bounce“-Nachrichten, die potenziell Inhalte von Nutzereingaben enthalten

Am 28. März veröffentlichte die bekannte Hackergruppe „ShinyHunters“ die Daten im Darknet – inklusive angeblicher Datenbank-Dumps und vertraulicher Dokumente.

Die Reaktion: Schnelles Eingreifen, begrenzter Schaden

Die EU-Kommission reagierte umgehend:

• Der kompromittierte Zugriff wurde gesperrt
• Alle betroffenen Zugangsschlüssel deaktiviert
• Datenschutzbehörden und betroffene Stellen informiert
• Direkte Kommunikation mit betroffenen Organisationen gestartet

Interne Systeme der EU-Kommission waren angeblich nicht betroffen, es gibt augenscheinlich keine Hinweise auf Manipulation oder Ausfälle der Websites. Auch eine seitliche Ausbreitung des Angriffs auf weitere Cloud-Konten konnte bislang nicht festgestellt werden.

Warum dieser Angriff so gefährlich ist

Der Vorfall zeigt eindrücklich die wachsende Bedrohung durch Supply-Chain-Angriffe. Statt direkt ein Ziel anzugreifen, kompromittieren Angreifer vertrauenswürdige Software und erreichen so zahlreiche Opfer gleichzeitig.

Besonders kritisch:

• Angriff über legitime Update-Prozesse
• Fokus auf CI/CD-Pipelines und Cloud-Zugänge
• Automatisiertes Sammeln und Abfließen sensibler Zugangsdaten

Lehren aus dem Vorfall

CERT-EU spricht eine klare Warnung aus. Organisationen sollten:

Sofortmaßnahmen:

• Kompromittierte Tools aktualisieren
• Alle Cloud-Zugangsdaten rotieren
• CI/CD-Pipelines auf verdächtige Aktivitäten prüfen

Kurzfristig:

• Zugriff auf Cloud-Credentials strikt begrenzen
• Drittanbieter-Software stärker prüfen
• Monitoring für ungewöhnliches Verhalten einführen

Langfristig:

• Prinzip der minimalen Rechte konsequent umsetzen
• Regelmäßige Sicherheitsupdates und Scans durchführen
• Mitarbeiter für Phishing-Risiken sensibilisieren

Der Angriff auf die EU-Kommission ist kein Einzelfall: Die größte Schwachstelle liegt oft nicht im eigenen System, sondern in der Lieferkette. Wer Software vertraut, muss auch deren Herkunft und Integrität hinterfragen, sonst kann ein einziges Update reichen, um ganze Infrastrukturen zu kompromittieren.