Der Cyberangriff auf die Europäische Kommission ist mehr als nur die nächste peinliche IT-Panne aus Brüssel. Er zeigt, wie sich die Bedrohungslage verschoben hat: weg von der reinen Schwachstelle im System, hin zur Schwachstelle im Umgang mit Identitäten, Zugängen und Menschen. Die Kommission hat bestätigt, dass beim Angriff auf ihre Europa.eu-Plattform Daten abgeflossen sind. Interne Systeme seien jedoch nicht betroffen gewesen. Doch genau diese Kombination ist heikel: politisch beruhigend im Ton, operativ aber unerquicklich im Befund.
Am 24. März entdeckte die EU-Kommission eigenen Angaben zufolge einen Angriff auf jene Cloud-Infrastruktur, auf der ihre Webpräsenz Europa.eu läuft. Die Websites blieben online, und der Vorfall wurde rasch eingedämmt. Gleichzeitig sagte die Kommission aber auch, dass erste Untersuchungsergebnisse darauf hindeuteten, dass Daten von den betroffenen Websites entwendet wurden. Das ist der entscheidende Punkt. Denn sobald Daten abfliessen, geht es nicht mehr nur um Technik, sondern auch um Vertrauen, Aufsicht und politische Glaubwürdigkeit. Wer in Brüssel ständig an der digitalen Sicherheitsarchitektur Europas baut, steht in einem solchen Moment plötzlich selbst als Baustelle da.
Gruppe ShinyHunters
Im Zentrum der Spekulationen steht die Gruppe ShinyHunters. Die Kommission selbst hat eine Täterschaft bislang nicht öffentlich bestätigt. Mehrere Fachmedien berichten jedoch, dass ShinyHunters die Verantwortung reklamiert hat. Laut BleepingComputer hatten die Angreifer Zugriff auf mindestens ein AWS-Konto der Kommission. Sie behaupten, mehr als 350 Gigabyte Daten erbeutet zu haben. Diese Menge ist nicht verifiziert. Bislang ist nur der Datenabfluss bestätigt. Zudem sprechen Berichte davon, dass bereits ein grosser Teil der mutmasslich gestohlenen Dateien veröffentlicht wurde. Genau dieses Spiel mit Behauptungen, Teilveröffentlichungen und Druckaufbau gehört zum bekannten Muster solcher Gruppen.
ShinyHunters ist kein unbekannter Name. Die Gruppe tauchte spätestens 2020 prominent auf und wurde damals mit dem Verkauf von mehr als 164 Millionen Datensätzen aus verschiedenen Unternehmen in Verbindung gebracht. Seither steht der Name für eine ziemlich nüchterne Geschäftsidee: Daten stehlen, Opfer unter Druck setzen, Veröffentlichung androhen, kassieren. Die Methode heisst heute oft «pay or leak». Das klingt nach Erpressung im Hoodie, ist aber längst zu einem standardisierten Geschäftsmodell geworden. Der Cyberkriminelle von heute will nicht nur eindringen. Er will verhandeln. Und wenn niemand zahlen will, sorgt er mit maximalem Theater für maximale Fallhöhe.
Einschätzung von ESET
Hier setzt auch die Einschätzung von ESET aus der vorliegenden Medienmitteilung an. Die Sicherheitsforscher sehen hinter dem Fall ein typisches ShinyHunters-Muster und verweisen auf Social Engineering als zentralen Angriffsvektor. Dies deckt sich mit aktuellen Erkenntnissen von Google Threat Intelligence und Mandiant. Diese beschreiben ShinyHunters-nahe Operationen Anfang 2026 als Kampagnen, die stark auf Voice-Phishing setzen. Dabei geben sich die Angreifer telefonisch als interne IT-Abteilung oder Dienstleister aus, locken Mitarbeitende auf täuschend echte Login-Seiten und erbeuten so SSO-Zugangsdaten sowie MFA-Codes. Die Burgmauer ist dabei oft gar nicht kaputt. Der Pförtner hebt einfach freundlich den Hörer ab.
Das ist besonders relevant, weil es eben kein Randphänomen mehr ist. Im aktuellen M-Trends-Report von Google und Mandiant war Voice-Phishing 2025 bereits für elf Prozent aller beobachteten Erstzugriffe verantwortlich und damit der zweithäufigste Angriffsvektor überhaupt. Klassisches E-Mail-Phishing verliert relativ an Gewicht, während interaktive Täuschung gewinnt. Das ist eine schlechte Nachricht für alle Organisationen, die Cyberabwehr noch immer als reines Patch-, Firewall- und Antivirus-Thema behandeln. Die Angreifer kommen heute nicht mehr nur über die Software. Sie nutzen Rollenbilder, Routine und Vertrauen. Mit anderen Worten: Das Passwortproblem ist längst ein Kommunikationsproblem geworden.
Politisch unerquicklich oder einfach peinlich?
Für die ist die Angelegenheit zusätzlich unerquicklich, weil sie nicht isoliert steht. Bereits im Februar wurde ein Sicherheitsvorfall in ihrer Infrastruktur zur Verwaltung mobiler Geräte öffentlich bekannt. Damals hiess es, dass Namen und Mobilfunknummern von Mitarbeitenden betroffen sein könnten. Nun folgt der nächste öffentlich bekannte Vorfall, diesmal in der Cloud-Infrastruktur der Webplattform. Niemand muss daraus gleich den Zusammenbruch der europäischen Cybersicherheit ableiten. Die Serie ist jedoch politisch unerquicklich, weil sie ausgerechnet jene Institution trifft, die in Europa regulatorisch gerne den Ton angibt. Sicherheit predigen ist das eine. Sicherheit im eigenen Maschinenraum zu gewährleisten, ist das andere.
Für Unternehmen und Behörden in der Schweiz liegt die Lehre deshalb auf der Hand. Wer nur Systeme absichert, aber Identitäten, Helpdesk-Prozesse und Kommunikationswege vernachlässigt, schützt nur die halbe Infrastruktur. Benötigt werden phishing-resistente MFA-Verfahren wie FIDO2-Schlüssel oder Passkeys, klar geregelte Rückruf- und Identitätsprüfungen, restriktivere Zugriffsrechte und regelmässige Schulungen gegen Vishing. Der Angriff auf Brüssel zeigt vor allem eines: Die gefährlichste Sicherheitslücke sitzt immer öfter nicht im Serverraum, sondern am Telefon. Und genau deshalb ist dieser Fall auch für die Schweiz relevant.
(Grosses Bild: Wortfilter.de)
