Ein Angriff \u00fcber eine manipulierte Version des Scanners Trivy f\u00fchrte zum Diebstahl sensibler Daten von \u00fcber 70 EU-Einrichtungen, darunter Parlament und Rat. Die Angreifer nutzten eine Schwachstelle in der Lieferkette.<\/p>\n
Ein Angriff auf ein weit verbreitetes Sicherheitstool f\u00fchrte zu einem der gr\u00f6\u00dften Datenlecks in der Geschichte der EU. Die europ\u00e4ische Cybersicherheitsagentur CERT-EU best\u00e4tigte, dass der als TeamPCP bekannte Angreifer \u00fcber eine manipulierte Version des Scanners Trivy Zugriff erlangte. Dabei wurden sensible Daten von mindestens 30 EU-Einrichtungen gestohlen, darunter das Europ\u00e4ische Parlament und der Rat der EU.<\/p>\n
Anzeige<\/p>\n
W\u00e4hrend Institutionen durch komplexe Supply-Chain-Angriffe bedroht werden, r\u00fccken auch kleine und mittelst\u00e4ndische Betriebe immer st\u00e4rker ins Visier von Cyberkriminellen. Dieses kostenlose E-Book enth\u00fcllt, wie Sie Sicherheitsl\u00fccken proaktiv schlie\u00dfen und gleichzeitig neue gesetzliche Anforderungen ohne teure Investitionen erf\u00fcllen. IT-Sicherheit st\u00e4rken und Unternehmen langfristig sch\u00fctzen<\/a><\/p>\n Umfang des Lecks \u00fcbertrifft alle Bef\u00fcrchtungen<\/p>\n Was Ende M\u00e4rz zun\u00e4chst als begrenzter Vorfall auf der Webplattform Europa.eu erschien, entpuppt sich als schwerwiegender Angriff auf das Herzst\u00fcck der EU-IT. Laut dem aktuellen Bericht von CERT-EU vom 3. April 2026 waren 42 interne Clients der Europ\u00e4ischen Kommission sowie 29 weitere EU-Einrichtungen betroffen. Zu den betroffenen Institutionen z\u00e4hlen neben Parlament und Rat auch der Europ\u00e4ische Ausw\u00e4rtige Dienst.<\/p>\n Die Angreifer exfiltrierten etwa 91,7 Gigabyte komprimierte Daten \u2013 entpackt entspricht das rund 350 Gigabyte. Das erbeutete Material, darunter Zehntausende Dateien mit pers\u00f6nlichen Informationen und institutioneller Kommunikation, tauchte bereits in Darknet-Foren der Erpressergruppe ShinyHunters auf. Die Kommission betont, ihre Kernsysteme seien sicher. Doch das Ausma\u00df des Lecks stellt einen massiven Vertrauensverlust dar.<\/p>\n Supply-Chain-Angriff nutzte Sicherheitsl\u00fccke in Trivy<\/p>\n Die Attacke folgte einem heimt\u00fcckischen Muster: Statt direkt Firewalls zu \u00fcberwinden, kompromittierten die Hacker die Lieferkette. Sie nutzten eine Schwachstelle in der GitHub Actions-Umgebung des Open-Source-Sicherheitsscanners Trivy von Aqua Security. So schleusten sie Malware in den Update-Stream des Tools ein.<\/p>\n Organisationen, die Trivy in ihren automatisierten Entwicklungsprozessen (CI\/CD) nutzten, zogen unwissentlich die schadhafte Version ein. In der Infrastruktur der Kommission stahl die Malware einen geheimen Amazon Web Services (AWS) API-Schl\u00fcssel. Mit diesen Administrator-Rechten konnten sich die Angreifer in mehreren AWS-Konten der Kommission bewegen, Daten aussp\u00e4hen und abflie\u00dfen lassen \u2013 zun\u00e4chst v\u00f6llig unbemerkt.<\/p>\n Amazon best\u00e4tigte, dass kein eigener Systemfehler, sondern der Missbrauch gestohlener Zugangsdaten \u00fcber das Drittanbieter-Tool vorlag. Entdeckt wurde der Angriff erst am 24. M\u00e4rz 2026, als das Cybersecurity Operations Centre (CSOC) der Kommission einen abnormalen Anstieg des Netzwerkverkehrs meldete.<\/p>\n Anzeige<\/p>\n