{"id":5227,"date":"2026-04-05T18:45:09","date_gmt":"2026-04-05T18:45:09","guid":{"rendered":"https:\/\/www.europesays.com\/europa\/5227\/"},"modified":"2026-04-05T18:45:09","modified_gmt":"2026-04-05T18:45:09","slug":"hacker-nutzen-sicherheits-software-als-einfallstor","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/europa\/5227\/","title":{"rendered":"Hacker nutzen Sicherheits-Software als Einfallstor"},"content":{"rendered":"<p>Ein Angriff \u00fcber das Open-Source-Tool Trivy erm\u00f6glichte Hackern den Zugriff auf die Cloud der EU-Kommission und den Diebstahl von 340 GB sensibler Daten, darunter interne Vertr\u00e4ge und Kommunikationen.<\/p>\n<p>Ein vergiftetes Update f\u00fcr ein weit verbreitetes Sicherheitstool hat zu einem massiven Datenleck bei der Europ\u00e4ischen Kommission gef\u00fchrt. Laut einem aktuellen Bericht des EU-Computer Emergency Response Teams (CERT-EU) sind Dutzende EU-Institutionen betroffen \u2013 ein Alarmsignal f\u00fcr die Sicherheit von Open-Source-Software in der Regierungs-IT.<\/p>\n<p>Anzeige<\/p>\n<p>Warum Cyberkriminelle gerade kleine und mittelst\u00e4ndische Unternehmen ins Visier nehmen \u2013 ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne gro\u00dfes Budget sch\u00fctzen. <a href=\"https:\/\/www.datenschutz-praemien.de\/skillsforwork\/cyber-security\/?af=KOOP_MFW_DSN_DNV_YES_CYBER-SECURITY_X-RSS-Ad-Hoc-News-AD1of2-EAID-821565\" rel=\"noopener nofollow\" style=\"color: #337ab7 !important; font-weight: bold; text-decoration: underline;\" target=\"_blank\">IT-Sicherheits-Report f\u00fcr Unternehmen jetzt kostenlos herunterladen<\/a><\/p>\n<p>Die Attacke, die Ende M\u00e4rz 2026 entdeckt wurde, nutzte den Schwachstellenscanner Trivy als Einfallstor. Die Bedrohungsgruppe TeamPCP manipulierte das Open-Source-Tool \u00fcber dessen GitHub-Repository. Da die Kommission den Scanner f\u00fcr Routine-Checks einsetzte, gelangte der sch\u00e4dliche Code direkt in deren AWS-Cloud-Umgebung. Die Hacker erbeuteten einen geheimen API-Schl\u00fcssel, der ihnen Management-Rechte \u00fcber mehrere AWS-Konten der Beh\u00f6rde verschaffte.<\/p>\n<p>Wie die Angreifer durch die Cloud wanderten<\/p>\n<p>Mit dem gestohlenen Schl\u00fcssel konnten sich die Angreifer lateral durch die Cloud-Infrastruktur bewegen. Sie nutzten Tools wie TruffleHog, um nach weiteren Zugangsdaten zu suchen. Ihr Ziel erreichten sie schlie\u00dflich: der Zugriff auf den Backend-Hostingdienst der offiziellen EU-Webpr\u00e4senz Europa.eu.<\/p>\n<p>Erst am 24. M\u00e4rz 2026 schlug das Cybersecurity Operations Centre (CSOC) der Kommission Alarm \u2013 ungew\u00f6hnlicher API-Verkehr und ein Anstieg des Netzwerk-Traffics waren die Indizien. Obwohl die kompromittierten Zugangsdaten innerhalb von Stunden gesperrt wurden, war es zu sp\u00e4t. Die Angreifer hatten bereits eine enorme Datenmenge abgezogen.<\/p>\n<p>Das volle Ausma\u00df: 340 Gigabyte sensible Daten<\/p>\n<p>Das tats\u00e4chliche Ausma\u00df des Diebstahls wurde erst mit der Ver\u00f6ffentlichung des Datensatzes im Darknet durch die Erpressergruppe ShinyHunters deutlich. Analysen best\u00e4tigen: Die komprimierten 92 Gigabyte entpackt entsprechen rund 340 Gigabyte unkomprimiertem Material.<\/p>\n<p>Die gestohlenen Daten sind h\u00f6chst sensibel:<br \/>*   Interne Datenbanken und vertrauliche Vertr\u00e4ge<br \/>*   \u00dcber 51.000 Dateien mit ausgehenden E-Mail-Kommunikationen<br \/>*   DKIM-Signaturschl\u00fcssel und interne Admin-URLs<\/p>\n<p>Laut CERT-EU-Bericht sind mindestens 71 Kunden des Europa-Webhosting-Dienstes potenziell betroffen. Darunter 42 interne Generaldirektionen der Kommission und 29 weitere EU-Einrichtungen. Zu den genannten Agenturen z\u00e4hlen die Europ\u00e4ische Arzneimittel-Agentur (EMA), die Europ\u00e4ische Bankaufsichtsbeh\u00f6rde (EBA), die EU-Agentur f\u00fcr Cybersicherheit (ENISA) und die Grenzschutzagentur Frontex.<\/p>\n<p>Zwei Gruppen, eine Attacke: TeamPCP und ShinyHunters<\/p>\n<p>Der Vorfall zeigt eine gef\u00e4hrliche Arbeitsteilung im Cyber-\u00d6kosystem. TeamPCP (auch bekannt als DeadCatx3, ShellForce) f\u00fchrte den technisch anspruchsvollen Supply-Chain-Angriff durch. Die Gruppe ist als cloud-nativer Akteur bekannt, der gezielt Entwicklerplattformen und Open-Source-Infrastrukturen angreift.<\/p>\n<p>Die Ver\u00f6ffentlichung der Daten \u00fcbernahm die ber\u00fcchtigte Gruppe ShinyHunters. Sie machte den Sicherheitsvorfall am 28. M\u00e4rz 2026 \u00f6ffentlich und eskalierte ihn so zu einer Reputationskrise f\u00fcr die EU. ShinyHunters spezialisiert sich nicht auf Erpressung durch Verschl\u00fcsselung, sondern auf den Verkauf oder die Ver\u00f6ffentlichung gestohlener Daten, um dem Ansehen des Ziels maximal zu schaden.<\/p>\n<p>Anzeige<\/p>\n<p>Rekord-Sch\u00e4den durch Phishing und Datenklau zeigen, wie wichtig pr\u00e4ventive Awareness-Kampagnen f\u00fcr Institutionen und Firmen heute sind. Experten erkl\u00e4ren in diesem kostenlosen Paket, wie Sie Ihr Unternehmen wirksam in vier Schritten gegen Hacker-Abwehr absichern k\u00f6nnen. <a href=\"https:\/\/www.datenschutz-praemien.de\/allgemein\/anti-phishing-paket\/?af=KOOP_MFW_DSN_DNV_YES_ANTI-PHISHING-PAKET_X-RSS-Ad-Hoc-News-AD2of2-EAID-821565\" rel=\"noopener nofollow\" style=\"color: #337ab7 !important; font-weight: bold; text-decoration: underline;\" target=\"_blank\">Anti-Phishing-Paket f\u00fcr Unternehmen gratis anfordern<\/a><\/p>\n<p>Folgen f\u00fcr die EU und die Cybersicherheits-Branche<\/p>\n<p>Der Vorfall offenbart ein \u201emodernes Breach-Paradox\u201c: W\u00e4hrend die \u00f6ffentlichen Europa-Websites normal online blieben, wurde im Hintergrund systematisch Cloud-Speicher geleert. Diese Diskrepanz zwischen Service-Verf\u00fcgbarkeit und Datenintegrit\u00e4t zeigt eine kritische L\u00fccke in aktuellen \u00dcberwachungsstrategien.<\/p>\n<p>Die Abh\u00e4ngigkeit von Open-Source-Tools wie Trivy ist in der Tech-Branche Standard. Dass eine Bedrohungsgruppe ein solches Werkzeug kapern und damit in eine Hochsicherheitsumgebung gelangen konnte, stellt jedoch die Angemessenheit bestehender Pr\u00fcfverfahren infrage. Besonders pikant: Der Angriff erfolgte kurz nach der Umsetzung neuer EU-Cybersicherheitsvorschriften zur St\u00e4rkung der Resilienz.<\/p>\n<p>Was nun? Zero-Trust und Credential-Rotation<\/p>\n<p>Als Reaktion k\u00fcndigte die Europ\u00e4ische Kommission versch\u00e4rfte Ma\u00dfnahmen an. Dazu geh\u00f6ren rigorosere Credential-Rotation-Richtlinien und der Schritt hin zu Zero-Trust-Architekturen f\u00fcr das Cloud-Management. CERT-EU analysiert weiterhin die gestohlenen Datenbanken \u2013 ein Prozess, der angesichts des Volumens noch Wochen dauern wird.<\/p>\n<p>Betroffene Mitarbeiter wurden \u00fcber das erh\u00f6hte Phishing-Risiko informiert. Die EU wird voraussichtlich die Entwicklung ihres Cyber-Solidarity-Act und \u00e4hnlicher Initiativen beschleunigen, um eine einheitlichere Abwehr gegen hybride Bedrohungen zu schaffen.<\/p>\n<p>Die Untersuchungen zu TeamPCP weiten sich aus. Sicherheitsforscher fanden Hinweise, dass die Gruppe im gleichen Zeitraum auch andere Sicherheitstools wie den Checkmarx KICS-Scanner und das LiteLLM AI Gateway ins Visier nahm. Die EU-Kommission war demnach nur ein Ziel in einer systematischen Kampagne gegen die globale Sicherheitsinfrastruktur. Die Frage bleibt: Wie lassen sich die Supply-Chain-L\u00fccken schlie\u00dfen, die einen derart folgenschweren Angriff erm\u00f6glichten?<\/p>\n","protected":false},"excerpt":{"rendered":"Ein Angriff \u00fcber das Open-Source-Tool Trivy erm\u00f6glichte Hackern den Zugriff auf die Cloud der EU-Kommission und den Diebstahl&hellip;\n","protected":false},"author":2,"featured_media":5228,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[595,959,3862,21,3290,22,3861,3863,3736,3562,3564,3864],"class_list":{"0":"post-5227","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-eu","8":"tag-angriff","9":"tag-cloud","10":"tag-einfallstor","11":"tag-eu","12":"tag-eu-datenleck","13":"tag-europaeische-union","14":"tag-hacker","15":"tag-hackern","16":"tag-open-source-tool","17":"tag-sicherheits-software","18":"tag-trivy","19":"tag-zugriff"},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/europa\/wp-json\/wp\/v2\/posts\/5227","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/europa\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/europa\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/europa\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/europa\/wp-json\/wp\/v2\/comments?post=5227"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/europa\/wp-json\/wp\/v2\/posts\/5227\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/europa\/wp-json\/wp\/v2\/media\/5228"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/europa\/wp-json\/wp\/v2\/media?parent=5227"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/europa\/wp-json\/wp\/v2\/categories?post=5227"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/europa\/wp-json\/wp\/v2\/tags?post=5227"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}