Data Breach bei der Europäischen Kommission

Möglicherweise besteht ein Zusammenhang mit Angriffen auf niederländische Institutionen in der vergangenen Woche.

Bild: Getty Imagaes / Credits: ismagilov

Die Europäische Kommission (EK) untersucht einen Datenverstoß, nachdem sie Hinweise auf einen Cyberangriff auf ihre mobile Infrastruktur gefunden hat. Die EK ist die wichtigste Exekutivbehörde der Europäischen Union und beschäftigt rund 32.000 Beamte in verschiedenen Abteilungen.

Das CERT-EU, der zentrale Cybersicherheitsdienst für alle Institutionen, Organe und Agenturen der Europäischen Union, hat am 30. Januar „Spuren” eines Cyberangriffs festgestellt, so die Europäische Kommission. Ähnlich wie ein privater Sicherheitsdienstleister kümmert sich CERT-EU rund um die Uhr um die Überwachung von Bedrohungen, automatisierte Warnsysteme und die Reaktion auf Vorfälle.

Die Kommission gibt an, dass CERT-EU den Vorfall innerhalb von neun Stunden eingedämmt hat und keine Kompromittierung von Mobilgeräten festgestellt wurde. Trotzdem könnte der Angriff „zum Zugriff auf Namen und Handynummern” einiger Mitarbeiter der Europäischen Kommission geführt haben.

Darren Guccione, CEO und Mitbegründer von Keeper Security, sagt dazu: „Die Offenlegung der Europäischen Kommission macht deutlich, dass die Infrastruktur zur Geräteverwaltung zu einer primären Angriffsfläche für staatliche und finanziell motivierte Bedrohungsakteure geworden ist. Organisationen im öffentlichen Sektor können es sich nicht länger leisten, diese Systeme als nebensächlich für ihre zentrale Sicherheitsstrategie zu betrachten.”

Es wurden keine Informationen darüber gegeben, wie der Angreifer in die Systeme der Kommission eingedrungen ist.

Erste Berichte deuten auf die mögliche Ausnutzung von Zero-Day-Schwachstellen in Ivanti Endpoint Manager Mobile hin, was einem breiteren Muster in der gesamten EMEA-Region entspräche.

“Zwar hat die Kommission erklärt, dass es keine Hinweise auf eine Kompromittierung mobiler Geräte gibt, doch die Offenlegung der Kontaktdaten von Mitarbeitern macht deutlich, dass Plattformen zur Verwaltung mobiler Geräte (MDM) ernst zu nehmende Ziele sind, sobald kritische Schwachstellen auftreten.”

Es wird ein Zusammenhang zu anderen Angriffen auf europäische Institutionen in diesem Jahr vermutet, bei denen Schwachstellen in der Software „Endpoint Manager Mobile” (EPMM) von Ivanti ausgenutzt wurden. Erst Ende letzter Woche teilten die niederländische Datenschutzbehörde und der Rat für die Justiz dem niederländischen Parlament mit, dass ihre Systeme gehackt worden seien. Beide bestätigten, dass die Angreifer Schwachstellen in Ivanti EPMM ausgenutzt hatten.

Der Hersteller von Software für u. a. die Geräteverwaltung (Unified Endpoint Management), das IT-Service-Management (ITSM) und das Supply-Chain-Management hatte 2025 mit diversen bekannt gewordenen Schwachstellen zu kämpfen. Von den 42 veröffentlichten Schwachstellen hatte die Hälfte einen CVSS-Score von größer als 7 (kritisch) und zwölf sogar von größer als 9 (besonders kritisch); drei waren als aktiv ausgenutzt bekannt.

Obwohl Ivanti erst Ende 2025 eine schwerwiegende Schwachstelle in EPMM, die zum Ausführen von beliebigem JavaScript-Code genutzt werden konnte (CVE-2025-10573), behoben hat, wurden am 29. Januar zwei neue Schwachstellen (CVE-2026-1281 und CVE-2026-1340) veröffentlicht. Dabei handelt es sich um Code-Injection-Schwachstellen, die Angreifer aus der Ferne nutzen können, um auf nicht gepatchten Geräten ohne Authentifizierung beliebigen Code auszuführen.

Angreifer zielen zunehmend auf Management- und Verwaltungssysteme statt nur auf Endgeräte ab, da diese einen privilegierten Zugriff, eine umfassende Transparenz und einen Weg für laterale Bewegungen innerhalb einer Organisation bieten, sofern diese nicht kontrolliert werden.

“Dieser Vorfall verdeutlicht sowohl für große Unternehmen als auch für Regierungsbehörden eine klare Tatsache: Patches sind zwar unerlässlich, reichen aber allein nicht aus”, sagt Guccione. “In komplexen Umgebungen entsteht durch die Verzögerungen zwischen der Offenlegung von Schwachstellen, der Verfügbarkeit von Patches und der vollständigen Behebung ein Zeitfenster, das ausgenutzt werden kann. Sobald der erste Zugriff erfolgt, ist es entscheidend, wie viel Privilegien, Vertrauen und Reichweite für die Angreifer möglich sind.”

David Neeson, stellvertretender SOC-Teamleiter bei Barrier Networks, merkte an, dass Ivanti zwar dabei ist, Sicherheitspatches zu veröffentlichen, diese jedoch „bei der Aktualisierung auf andere Versionen der Software wieder rückgängig gemacht werden und Kunden außerdem unterschiedliche Patches benötigen, um verschiedene Versionen von EPMM anzusprechen.

„Dies mag technisch erforderlich und eine notwendige Notlösung sein, aber es ist ein fragmentierter Ansatz zur Behebung solch schwerwiegender Fehler und setzt die Kunden wohl einem erheblichen Risiko aus, viel mehr als ein umfassendes Update. Ivanti gibt an, an einem solchen Update zu arbeiten, aber die Behebung dieser Probleme allein sollte eine sofortige Lösung rechtfertigen.“

Guccione führt weiter aus, dass der Angriff auch deutlich mache, “wie Code-Injektionen und unsichere Handhabung von Anmeldedaten die Auswirkungen einer einzigen Schwachstelle verstärken können. Fest codierte Geheimnisse (Secrets), gemeinsam genutzte Anmeldedaten und statische Konfigurationsdateien innerhalb von Verwaltungsplattformen werden regelmäßig ausgenutzt, um den Zugriff auszuweiten.”

Der Gründer und CEO von Keeper Security empfiehlt: “Unternehmen sollten davon absehen, Geheimnisse in Code einzubetten, und stattdessen sicherstellen, dass Anmeldedaten verschlüsselt, zentral verwaltet und nur zur Laufzeit eingefügt werden.”

Eine wirksame Verteidigung erfordert laut Guccione “einen Zugriff mit minimalen Privilegien, eine starke Authentifizierung, eine kontinuierliche Überwachung privilegierter Aktivitäten, eine Trennung zwischen Verwaltungs- und Betriebssystemen sowie Zero-Trust-Kontrollen für alle Plattformen, die privilegierte Aktionen ausführen können.” Er appelliert an die Führungskräfte: Diese “müssen erkennen, dass echte Resilienz nicht nur von der Verhinderung von Sicherheitsverletzungen abhängt, sondern auch von deren Eindämmung. Das bedeutet, dass Transparenz und Zugriffs-Governance als strategische Kontrollen priorisiert werden müssen und nicht als nachträgliche operative Maßnahmen angesehen werden sollten.“

Dieser Artikel basiert auf einem Beitrag unserer Schwester-Website Computing.