Cyberangriff auf den Europarat: ShinyHunters nehmen europäische Institutionen ins Visier

Der mutmaßliche Datenabfluss beim Europarat zeigt, wie riskant schlecht abgesicherte Identitäten und administrative Systeme für Unternehmen geworden sind.

Der Europarat, das älteste zwischenstaatliche Gremium des Kontinents, prüft derzeit die Behauptung der cyberkriminellen Erpressergruppe „ShinyHunters“, umfangreiche HR- und Payroll-Daten erbeutet zu haben. Nach Angaben der Angreifer geht es um rund 297 Gigabyte an sensiblen Daten. Betroffen wären demnach insbesondere personenbezogene Daten von Mitarbeitern der internationalen Organisation; der Europarat hat den Umfang des Vorfalls bislang nicht bestätigt und untersucht die Angaben, wie SecurityWeek berichtet.

Ein gezieltes Muster?

Shane Barney, CISO von Keeper Security, ordnet die geopolitischen und strategischen Dimensionen dieses Vorfalls wie folgt ein:

„Die mutmaßliche Attacke auf den Europarat, eine Institution, die 46 Mitgliedstaaten und über 700 Millionen Menschen vertritt, macht deutlich, dass keine Organisation, wie prominent oder ressourcenstark sie auch sein mag, vor ausgeklügelten Erpressungskampagnen gefeit ist. Dies ist bereits der zweite öffentlich bekannte Fall mit Bezug zu einer bedeutenden europäischen Institution.”

Bereits im März 2026 war eine Kompromittierung eines AWS-Kontos beziehungsweise einer Cloud-Umgebung der Europäischen Kommission bekannt geworden; interne Systeme waren nach Angaben der Kommission damals nicht betroffen.

Barney ist überzeugt: “Zwei Fälle mit Bezug zu bedeutenden europäischen Institutionen innerhalb weniger Monate stellen ein Muster dar, keinen Zufall.“

Die Vorfälle reihen sich in eine Serie öffentlich bekannt gewordener Angriffe und Erpressungsversuche ein. Neben dem Europarat wurden ShinyHunters im Jahr 2026 auch mit Kampagnen gegen Oracle-PeopleSoft-Instanzen, Salesforce-Experience-Cloud-Umgebungen sowie einzelnen Unternehmensopfern wie Kodak, Charter/Spectrum und Canada Life Insurance Company in Verbindung gebracht. Die Fälle zeigen ein wiederkehrendes Muster: Die Gruppe nutzt Fehlkonfigurationen, kompromittierte Identitäten oder ungepatchte Unternehmenssoftware, exfiltriert Daten und setzt die Opfer anschließend mit Leak-Fristen unter Druck.

HR- und Gehaltssysteme als primäres Angriffsziel

Die von den Angreifern veröffentlichte Liste der mutmaßlich erbeuteten Daten umfasst nach deren Angaben rund 429.000 Einzeldateien. Darunter sollen sich Gehaltsabrechnungen aus den vergangenen 15 Jahren, Bankkontodaten, medizinische Informationen sowie Personalakten von mehr als 10.000 aktuellen und ehemaligen Mitarbeitern befinden.

Barney betont, dass die Aggregation solcher Datenbestände die Attraktivität für Cyberkriminelle massiv erhöht:

„Die behauptete Entwendung von Gehaltsabrechnungen aus 15 Jahren, Bankkontodaten, medizinischen Informationen und Personalakten von mehr als 10.000 Mitarbeitern umfasst eine erhebliche Menge sensibler Daten. Ein solches Volumen und eine solche Vielfalt an Daten sammeln sich nicht zufällig an einem einzigen zugänglichen Ort an. Diese Daten entsprechen genau dem, worauf es den Angreifern ankommt, und ihr Wert reicht weit über den Datenleck selbst hinaus. Finanzdaten ermöglichen Betrug. Persönliche Identifikationsmerkmale ermöglichen Identitätsdiebstahl. Medizinische Unterlagen haben ihr eigenes Gewicht. Kombiniert in einem einzigen Datenabfluss kann der Schaden für die betroffenen Personen über Jahre hinweg anhalten. Personal- und Gehaltsabrechnungssysteme befinden sich an der Schnittstelle all dieser Bereiche. Dennoch behandeln Unternehmen sie routinemäßig als administrative Infrastruktur und nicht als die hochwertigen Ziele, zu denen sie geworden sind.“

Defizite im Berechtigungsmanagement und der Echtzeiterkennung

Ob und wie sich die Angreifer Zugang zu Systemen des Europarats verschafft haben, ist noch Gegenstand laufender Untersuchungen. Die Historie von ShinyHunters zeigt jedoch, dass die Gruppe gezielt Schwachstellen bei Zugriffskontrollen, Cloud-Umgebungen und Integrationspunkten ausnutzt. Oftmals operieren solche Akteure mit kompromittierten Zugangsdaten oder Social-Engineering-Taktiken, um Authentifizierungsbarrieren zu umgehen.

Einzelne Threat-Intelligence-Berichte bringen den mutmaßlichen Vorfall zudem mit der kritischen Schwachstelle CVE-2026-35273 in Oracle PeopleSoft PeopleTools in Verbindung. Oracle beschreibt die Lücke als aus der Ferne ohne Authentifizierung ausnutzbar und warnt vor möglicher Remote Code Execution in betroffenen PeopleTools-Versionen. Eine Bestätigung durch den Europarat liegt dafür bislang jedoch nicht vor; der mögliche Angriffsvektor sollte daher als unbestätigter Hinweis und nicht als gesicherte Ursache eingeordnet werden.

Eine aktuelle globale Studie von Keeper Security aus dem Jahr 2026 unterstreicht, dass Unternehmen und Institutionen in genau diesen Bereichen signifikante Sicherheitslücken aufweisen.

„Die globale Keeper-Studie aus dem Jahr 2026 zeigt, dass 89 Prozent der befragten IT- und Sicherheitsentscheider Schwierigkeiten haben, die wachsende Zahl menschlicher und nicht-menschlicher Identitäten zu verwalten. 96 Prozent nennen schlecht integrierte oder voneinander getrennte Sicherheitstools als ausnutzbare Schwachstelle. Für Deutschland identifizierten laut Keeper 25 Prozent der Unternehmen schwache Anmeldedaten und mangelhaftes Passwortmanagement als erkannte Lücke in ihrem Cybersicherheitsprogramm. ShinyHunters hat konsequent Plattformen und Integrationspunkte ins Visier genommen, bei denen die Zugriffskontrolle nicht mit dem Risiko des Unternehmens Schritt gehalten hat. Der konkrete Angriffspunkt wird derzeit noch untersucht, doch das Ausmaß des mutmaßlichen Datenabflusses lässt darauf schließen, dass der Zugriff auf sensible Datenbestände nicht ausreichend eingeschränkt oder kontinuierlich überwacht wurde. Dies ist ein strukturelles Problem: Global können 72 Prozent der Unternehmen den Missbrauch von Zugangsdaten nicht in Echtzeit erkennen. Zum Zeitpunkt der Identifikation des Zugangsmissbrauchs ist der Schaden also häufig bereits angerichtet.“

Lehren für Unternehmen: Schutz vor komplexen Erpressungskampagnen

Der Angriff auf den Europarat verdeutlicht, dass administrative Systeme wie HR- und Payroll-Plattformen kritische Kernwerte („Kronjuwelen“) eines Unternehmens darstellen. Um sich vor ähnlichen Erpressungskampagnen und Datenexfiltrationen zu schützen, sollten Unternehmen folgende Sicherheitsstrategien im Rahmen ihrer Enterprise-Architektur priorisieren:

1. Aufwertung administrativer Systeme zu „High-Value Targets“: HR- und Gehaltssysteme dürfen in der Risikobewertung nicht länger als reine administrative Hintergrundinfrastruktur behandelt werden. Sie müssen denselben strengen Sicherheitsaudits, Härtungsmaßnahmen und Überwachungsmechanismen unterliegen wie Kernproduktionssysteme oder finanzielle Transaktionsdatenbanken.
2. Konsequente Umsetzung von Least-Privilege-Prinzipien und Datensegmentierung: Das von den Angreifern behauptete immense Volumen des Datenabflusses beim Europarat – Daten über einen Zeitraum von bis zu 15 Jahren – würde darauf hindeuten, dass Altdaten und sensible Archive unsegmentiert für bestehende Konten oder Systeme permanent zugänglich waren.
   1. Historische Daten isolieren: Konten- und Personaldaten älterer Jahrgänge sollten physisch oder logisch vom operativen System getrennt und verschlüsselt archiviert werden.
   2. Just-in-Time (JIT) Access: Der Zugriff auf sensible Personalakten sollte nur temporär, anlassbezogen und nach dem Vier-Augen-Prinzip gewährt werden, anstatt dauerhafte Leserechte einzurichten.
3. Implementierung resilienter Identitäts- und Zugriffskontrollen (IAM): Da Angreifergruppen wie ShinyHunters systematisch auf den Missbrauch valider Anmeldedaten setzen, müssen Passwörter und Zugänge robuster geschützt werden:
   1. Zentralisiertes Passwortmanagement: Einsatz von Enterprise-Passwortmanagern, um schwache, mehrfach verwendete oder unverschlüsselt gespeicherte Anmeldedaten zu eliminieren.
   2. Phishing-resistente MFA: Implementierung von Multi-Faktor-Authentifizierungsverfahren, die auf FIDO2/Passkeys basieren. Herkömmliche SMS- oder App-basierte Einmal-Pins können durch modernes Social Engineering (wie Vishing oder Adversary-in-the-Middle-Angriffe) relativ leicht abgefangen werden.
4. Etablierung von Echtzeit-Erkennungssystemen (SIEM und UEBA): Da offenbar ein Großteil der Unternehmen den Missbrauch von Zugangsdaten nicht in Echtzeit erkennen kann, ist der Ausbau von Detektionsfähigkeiten unerlässlich. Durch den Einsatz von User and Entity Behavior Analytics (UEBA) können untypische Datenbewegungen – wie der Massendownload historischer Gehaltsabrechnungen zu ungewöhnlichen Zeiten oder von untypischen Standorten aus – sofort als Anomalie erkannt und betroffene Konten automatisiert isoliert werden.
5. Kontinuierliche Überwachung von Cloud-Schnittstellen und Integrationspunkten: Erpressergruppen nutzen häufig Fehlkonfigurationen in Cloud-Umgebungen oder kompromittierte APIs von Drittanbietern und Integrationspartnern. Ein kontinuierliches Cloud Security Posture Management (CSPM) sowie regelmäßige Sicherheitsüberprüfungen sämtlicher externer Schnittstellen sind zwingend erforderlich, um unbemerkt offene Flanken in der Systemlandschaft zu schließen.