Tools / Neuigkeiten / ShinyHunters knackt AWS der EU-Kommission
Presse

ShinyHunters knackt AWS der EU-Kommission

· VaultTools

Am 24. März 2026 verschafften sich Angreifer Zugang zum Amazon-Web-Services-Konto der Europäischen Kommission, das ihre Europa.eu-Infrastruktur hostet. Die berüchtigte Gruppe ShinyHunters behauptet, 350 GB gestohlen zu haben, darunter Mail-Server-Dumps, Datenbankexporte, Verträge und interne Dokumente. Die Kommission bestätigte den Angriff drei Tage später.

VaultTools · 30. März 2026

Eine Person tippt auf einem Laptop mit einem digitalen Sicherheitsschloss-Overlay, das einen Cloud-Infrastruktur-Einbruch symbolisiert. Foto von Towfiqu barbhuiya auf Unsplash

Inhaltsverzeichnis


Was Geschah

Am 24. März 2026 entdeckte die Europäische Kommission einen Cyberangriff auf ihre Cloud-Infrastruktur. Drei Tage später, am 27. März, bestätigte die Kommission den Vorfall öffentlich. Der Angriff zielte auf den AWS-Account, der die Webpräsenz der Kommission auf der Europa.eu-Plattform hostet.

Der Bedrohungsakteur ist ShinyHunters, eine gut dokumentierte Gruppe, die für frühere Großangriffe wie Ticketmaster (560 Millionen Datensätze), Santander Bank und AT&T bekannt ist. Die Gruppe veröffentlichte ihre Behauptung am 26. März in einem Darknet-Forum, mit einem Zeitstempel von 2026-03-26 11:10:00. ShinyHunters stellte BleepingComputer Screenshots gestohlener Dokumente als Beweis für den Zugriff zur Verfügung.

Die offizielle Stellungnahme der Kommission lautete : „Am 24. März entdeckte die Europäische Kommission einen Cyberangriff, der ihre Cloud-Infrastruktur betraf, welche die Webpräsenz der Kommission auf der Europa.eu-Plattform hostet. Die Kommission ergriff sofortige Maßnahmen und konnte den Angriff eindämmen, wobei auch Maßnahmen zur Risikominderung umgesetzt wurden.”

Was Gestohlen Wurde

ShinyHunters behauptet, der gestohlene Datensatz umfasse 350 GB und enthalte :

  • Mail-Server-Dumps
  • Datenbankexporte
  • Interne Dokumente
  • Verträge
  • Mitarbeiterdaten

Die Gruppe erklärte, kein Lösegeld zu fordern, und plant stattdessen, die Daten zu veröffentlichen. Stand 30. März 2026 hat keine öffentliche Veröffentlichung stattgefunden, und die Untersuchung läuft noch.

Die Kommission stellte klar, dass ihre internen Systeme nicht betroffen waren. Der Einbruch beschränkte sich auf die Cloud-Infrastruktur, die für die öffentlich zugänglichen Europa.eu-Websites genutzt wird. AWS wies jegliches Sicherheitsversagen auf seiner Seite zurück.

Wie der Angriff Funktionierte

Laut Berichten von Cybernews und CSO Online nutzten die Angreifer Social Engineering, um Zugangsdaten für den AWS-Account der Kommission zu erlangen. Es wurde keine Software-Schwachstelle in AWS selbst ausgenutzt. Der Angriff beruhte auf einem Credential-Kompromiss auf Account-Ebene, der gleichen Technik, die bei der Mehrheit hochkarätiger Cloud-Einbrüche eingesetzt wird.

Dies entspricht dem Muster, das im 2026 State of Browser Security Report von Keep Aware, der drei Wochen zuvor veröffentlicht wurde, identifiziert wurde : In 46 % der Fälle werden sensible Zugangsdaten in Unternehmensumgebungen über persönliche oder nicht verifizierte Konten ohne zusätzliche Kontrollen übermittelt.

Die DSGVO-Ironie

Die Europäische Kommission ist die Institution, die die Datenschutz-Grundverordnung entworfen, erlassen und durchgesetzt hat. Sie ist das Gremium, das Bußgelder verhängt hat, durch die die kumulierten DSGVO-Strafen die Marke von 7,1 Milliarden Euro überschritten haben. Ihre eigenen Cloud-gehosteten Dokumente befinden sich nun im Besitz einer Gruppe, die gestohlene Daten auf kriminellen Märkten verwertet hat.

Der Einbruch stellt im regulatorischen Sinne keine DSGVO-Verletzung durch die Kommission gegenüber einem Betroffenen dar, aber die institutionelle Dimension ist bedeutsam. Die Organisation mit der höchsten formalen Autorität über den Datenschutz in der Welt konnte ihre eigenen Cloud-gespeicherten Dateien nicht vor einem bekannten Bedrohungsakteur schützen.

Was das für in der Cloud Gespeicherte Dateien Bedeutet

Der Angriff nutzte keine Zero-Day-Schwachstelle. Er setzte keine ausgefeilte Schadsoftware ein. Er verwendete kompromittierte Zugangsdaten gegen einen Cloud-Account. Das ist das normale Bedrohungsmodell für jede Organisation, die Dokumente auf Cloud-Infrastruktur von Drittanbietern speichert.

Dateien, die niemals einen Server erreichen, können auch nicht von einem gestohlen werden. Dokumente, Verträge, PDFs und Bilder lokal im Browser zu verarbeiten, ohne sie auf einen externen Dienst hochzuladen, eliminiert das serverseitige Angriffsziel vollständig. Es gibt keinen Cloud-Account zu kompromittieren, keinen Speicher-Bucket zu exfiltrieren und keinen Mail-Dump zu verkaufen. Die Datei verbleibt auf dem Gerät, das sie erstellt hat.


Quellen