Am Mittwoch deckte die Europäische Kommission einen Cyberangriff auf, bei dem wahrscheinlich Mitarbeiterdaten gefährdet wurdenDie EU hat neue Cyber-Gesetze angekündigtum sich vor solchen Angriffen zu schützen.
Der Eingriff in das Datensystem der Kommission erfolgte am 30. Januar, als ein unbekannter Täter Zugang zu einem Bereich der Kommission erhielt, der auch die technische Ausrüstung zur Verwaltung und Anbindung mobiler Geräte der Mitarbeiter umfasste.
Möglicherweise hatten die Eindringlinge auch Zugriff auf die internen Mobiltelefonnummern und Namen der in der Kommission tätigen Mitarbeiter.
Durch eine schnelle Reaktion konnte der Schaden eingedämmt werden
Die Kommission erklärte: „Unsere schnelle Reaktion hat die Situation entschärft und das kompromittierte System in weniger als neun Stunden bereinigt.“ Wir haben keine Anzeichen für kompromittierte Mobilgeräte gefunden.
Obwohl die Geräte der Mitarbeiter sicher zu sein scheinen, werden durch den Verstoß persönliche Informationen offengelegt, die Angreifer für gezieltes Phishing oder Social Engineering nutzen könnten.
Der Zeitpunkt könnte nicht schlechter sein: Die Kommission hatte gerade wichtige Gesetze zur Cybersicherheit vorgeschlagen, um kritische Infrastrukturen vor staatlich geförderten Hackern und Cyberkriminellen zu schützen, als dieser Angriff entdeckt wurde.
Dieser Vorfall unterstreicht die Akutheit, auch wenn es seine regulatorischen Muskeln spielen lässt, um die Kontrolle über eine andere Dimension der digitalen Welt zu erlangen: die Datenschutzpraktiken der mächtigsten Technologieunternehmen der Welt.
Die Kommission hat nicht genau angegeben, wie sich die Angreifer Zugang verschafft haben, es liegen jedoch alle Anzeichen dafür vor, dass dies nur ein Teil eines größeren Angriffszyklus gegen europäische Institutionen war.
Niederländische Behörden wurden von der gleichen Angriffsmethode getroffen
Am selben Tag meldeten die niederländische Datenschutzbehörde und der Justizrat fast dieselben Verstöße gegen ihr Datensystem. Die beiden Behörden bestätigten, dass die Kriminellen Schwachstellen in der Ivanti Endpoint Manager Mobile-Software ausnutzten, um die Namen der Mitarbeiter, ihre geschäftlichen E-Mails und Telefonnummern zu infiltrieren und abzurufen.
Die niederländischen Behörden haben erklärt:
„Das National Cyber Security Center wurde am 29. Januar vom Anbieter über Schwachstellen in EPMM informiert. Zu diesem Zeitpunkt wurde klar, dass ein ausländisches Unternehmen auf mitarbeiterbezogene Arbeitsdaten zugegriffen hat, darunter Name, Firmen-E-Mail und Telefonnummer.“
Das Muster ist, dass Hacker mit derselben Ausbeutungsmethode systematisch das europäische Regierungssystem ins Visier nehmen.
Am 29. Januar schlug Ivanti, ein globaler Anbieter von Enterprise-Mobile-Management-Software für staatliche und private Unternehmen, Alarm, nachdem er zwei kritische Sicherheitslücken (CVE-2026-1281 und CVE-2026-1340) identifiziert hatte, die bei Zero-Day-Angriffen aktiv ausgenutzt wurden.
Bei diesen Schwachstellen handelt es sich um Code-Injection-Schwachstellen, die es Angreifern ermöglichen, von einem entfernten Standort aus beliebige Befehle auf einem ungepatchten System auszuführen. Es ist keine Authentifizierung erforderlich. Hacker sehen darin einen wahrgewordenen Traum; IT-Sicherheitsteams stehen vor einem Albtraum.
Was das für die Sicherheit der Regierung bedeutet
Die gleichzeitige Ausrichtung auf mehrere europäische Institutionen weist darauf hin, dass eine koordinierte Anstrengung im Gange ist. Ob staatlich geförderte oder opportunistische Kriminelle, die Angreifer erzielen das gleiche Ergebnis: Die Daten von Regierungsmitarbeitern geraten in die falschen Hände. Betroffene Mitarbeiter sind nun einem unmittelbaren Risiko gezielter Phishing-Angriffe ausgesetzt.
Die Angreifer nutzen alle ihnen vorliegenden persönlichen Daten für ihre Phishing-E-Mails, um an die Mitarbeiter zu gelangen. Anstatt Spam-E-Mails zu versenden, verwenden die Angreifer echte Namen und Nummern, die diese E-Mails sehr real erscheinen lassen, sodass es für die Mitarbeiter schwieriger wird, festzustellen, ob die von ihnen gesendete E-Mail glaubwürdig war oder nicht.
Bisher hat die Europäische Kommission auf keine Anfragen zu diesem Vorfall geantwortet; Offensichtlich sind fortlaufende Untersuchungen erforderlich. Eines ist klar: Die Zahl der Beschwerden über Cybersicherheitsgesetze übersteigt die tatsächlich vorhandenen Präventionsmaßnahmen bei weitem.
Als Reaktion darauf ergreift die EU an mehreren Fronten Maßnahmen, von der Stärkung ihrer eigenen Institutionen gegen Angriffe bis hin zuaggressiv untersuchen, wie globale Plattformenverwaltet die Daten seiner Bürger.