Informationssicherheit

EU-Kommission gehackt: Wenn die Cloud das Versprechen nicht hält

Michael Mrak

Michael Mrak

3 Min. Lesezeit
EU-Kommission gehackt: Wenn die Cloud das Versprechen nicht hält
Photo by Towfiqu barbhuiya / Unsplash

Der aktuelle Cyberangriff auf die AWS-Infrastruktur der Europäischen Kommission zeigt einmal mehr, dass Cloud-Sicherheit kein Selbstläufer ist.

Am 24. März 2026 wurde die Europäische Kommission Opfer eines Cyberangriffs. Betroffen war die Cloud-Infrastruktur hinter der Europa.eu-Plattform, also dem zentralen Webauftritt der EU-Institutionen. Der Vorfall hat es in sich: Die Hackergruppe ShinyHunters beansprucht die Verantwortung und behauptet, über 350 GB an Daten erbeutet zu haben, darunter E-Mail-Server-Dumps, Datenbanken, vertrauliche Dokumente und Verträge. Teile davon sind bereits auf einer Darknet-Leak-Seite veröffentlicht.

AWS im Zentrum des Vorfalls

Was diesen Vorfall besonders bemerkenswert macht: Die kompromittierte Infrastruktur lief auf Amazon Web Services (AWS). Mindestens ein AWS-Account der Kommission wurde übernommen. Amazon selbst betonte umgehend, dass die eigenen Dienste nicht betroffen waren und „wie vorgesehen funktionierten". Das ist zwar technisch korrekt, greift aber viel zu kurz.

Denn genau hier liegt das grundsätzliche Problem bei allen sogenannten Hyperscalern: AWS, Azure, Google Cloud und andere Anbieter vermitteln ihren Kunden ein Gefühl von Sicherheit, das in der Praxis häufig trügerisch ist.

Das Modell der „Shared Responsibility" bedeutet im Klartext: Der Cloud-Provider sichert die Infrastruktur ab, aber für die Konfiguration, Zugriffssteuerung und den Schutz der eigenen Daten ist der Kunde selbst verantwortlich.

Wenn ein Identity & Access Management (IAM) - Account kompromittiert wird, wenn Zugangsdaten gestohlen werden oder Berechtigungen zu weit gefasst sind, hilft die beste Cloud-Plattform nichts.

Fehlkonfigurationen als Dauerbrenner

Die Fakten sprechen eine deutliche Sprache: Laut IBM betrugen die durchschnittlichen Kosten eines Cloud-Breaches 2025 weltweit 4,4 Millionen US-Dollar. Fehlkonfigurationen und kompromittierte Zugangsdaten zählen laut Verizon DBIR 2025 zu den häufigsten Ursachen für erfolgreiche Angriffe in Cloud-Umgebungen.

Erst im November 2025 dokumentierte das Sysdig Threat Research Team einen Fall, bei dem Angreifer mithilfe von KI-gestützten Tools eine komplette AWS-Umgebung in nur acht Minuten übernehmen konnten, vom initialen Zugriff über gestohlene Credentials bis hin zu vollen Admin-Rechten.

Im Dezember 2025 wurden zudem zahlreiche AWS-Accounts über gestohlene IAM-Credentials für Crypto-Mining missbraucht.

Der aktuelle Fall der EU-Kommission reiht sich in dieses Muster ein. Laut Analysten erfolgte der Angriff vermutlich über kompromittierte Zugangsdaten oder unzureichende Zugriffskontrolle auf der Management-Ebene der Cloud-Infrastruktur. ShinyHunters ist bekannt dafür, über Social Engineering und Voice Phishing (Vishing) an SSO-Credentials zu gelangen und so in SaaS- und Cloud-Plattformen einzudringen.

Das Narrativ der sicheren US-Cloud hinterfragen

US-Cloud-Provider investieren zweifelsohne erheblich in die Sicherheit ihrer Plattformen. Aber das Marketing-Versprechen, Daten seien „in der Cloud sicher", ist irreführend. Es suggeriert eine Rundum-Absicherung, die es in dieser Form nicht gibt. Wer seine Workloads zu AWS, Azure oder Google Cloud migriert, muss die Sicherheitsarbeit trotzdem selbst leisten:

  • Identity & Access Management
  • Konfigurationsmanagement
  • Monitoring
  • Incident Response
  • regelmäßige Audits

sind unabdingbar für einen sicheren Betrieb.

Der Fall der EU-Kommission ist besonders pikant, weil er zeigt, dass selbst Organisationen mit erheblichen Ressourcen und einem erklärten Fokus auf Cybersicherheit anfällig bleiben. Erst im Januar 2026 hatte die Kommission ein neues Cybersecurity-Paket vorgestellt, um die Abwehrfähigkeit der EU zu stärken. Ebenfalls im Januar 2026 gab es bereits einen anderen Vorfall, bei dem über eine Ivanti-Schwachstelle auf das Mobile Device Management der Kommission zugegriffen wurde. Der aktuelle AWS-Breach ist also bereits der zweite Sicherheitsvorfall innerhalb weniger Monate.

Was gelernt werden sollte

Die Kernbotschaft ist nicht neu, aber offenbar noch immer nicht angekommen: Cloud-Sicherheit ist keine Produkteigenschaft, die man einkauft. Sie ist ein fortlaufender Prozess, der Kompetenz, Ressourcen und vor allem eine realistische Einschätzung der eigenen Verantwortung erfordert.

Wer glaubt, mit dem Umzug zu AWS oder einem anderen Hyperscaler sei das Thema Informationssicherheit erledigt, irrt fundamental.

Für Organisationen, die unter NIS2, DORA oder ähnlichen Regulierungen stehen, bedeutet dieser Vorfall: Die Nutzung eines zertifizierten Cloud-Providers allein erfüllt keine Compliance-Anforderung. Es braucht ein funktionierendes ISMS, klare Verantwortlichkeiten, technische Härtung und regelmäßige Überprüfung der gesamten Cloud-Konfiguration. Und es braucht die ehrliche Erkenntnis, dass „die Cloud" kein magischer Schutzschild ist, sondern nur ein anderes Rechenzentrum mit denselben grundlegenden Sicherheitsherausforderungen.

Quellen: heise online, BleepingComputer, Cybernews, TechCrunch, The Record, IT Pro, Computing.co.uk

Weiterlesen

Bernie Sanders im Gespräch mit Claude: Datenschutz, Überwachung und die Macht der Tech-Konzerne

Bernie Sanders im Gespräch mit Claude: Datenschutz, Überwachung und die Macht der Tech-Konzerne

US-Senator Bernie Sanders hat ein bemerkenswertes Video auf seinem YouTube-Kanal veröffentlicht: Er unterhält sich darin direkt mit Anthropics KI-Agenten Claude über die Themen Datensammlung, Privatsphäre und die gesellschaftlichen Gefahren von künstlicher Intelligenz. Sanders selbst beschreibt das Ergebnis als schockierend und als Weckruf dafür, wie massiv persönliche Daten gesammelt und zur

Von Michael Mrak