Cyberangriff auf die EU-Kommission: 350 Gigabyte aus der Cloud gestohlen

Cyberkriminelle haben die Europäische Kommission attackiert. Dabei könnten sie eine große Menge an Daten erbeutet haben. Der Angriff ereignete sich am Dienstag, den 24. März, und traf mindestens einen der Amazon-Web-Services-Accounts der Kommission.

Laut BleepingComputer, das Informationen von einem der beteiligten Bedrohungsakteure erhalten haben will, wurden 350 Gigabyte an Daten erbeutet, inklusive mehrerer Datenbanken. Der Angreifer legte Screenshots vor, die Zugriff auf Informationen der Kommission sowie auf einen ihrer E-Mail-Server zeigen sollen.

Was die Kommission sagt

Die EU-Kommission bestätigte den Vorfall. Demnach sei ein Webauftritt auf der EU-eigenen Plattform europa.eu betroffen gewesen, aber keine internen Systeme der Kommission. „Frühe Ergebnisse unserer laufenden Untersuchung deuten darauf hin, dass Daten von diesen Websites stammen", erklärte die Kommission.

Amazon bestätigte, dass bei dem Unternehmen kein Sicherheitsvorfall stattgefunden habe und alle Dienste wie vorgesehen funktionieren. Die Schwachstelle lag also nicht bei Amazon, sondern bei der Konfiguration der Kommission.

Der Widerspruch

Die Kommission behauptet, keine internen Systeme seien betroffen. Der Angreifer zeigt Screenshots mit Zugriff auf E-Mail-Server und Mitarbeiterdaten. Diese Darstellungen widersprechen sich.

Wer Recht hat, ist zum aktuellen Zeitpunkt unklar. Die EU untersucht noch die vollständigen Auswirkungen. Dass auch andere EU-Einrichtungen von dem Vorfall betroffen sein könnten, will die Kommission diese informieren.

Der Angreifer betont, dass das Ziel nicht Erpressung sei. Allerdings will er zeitnah einige der Daten veröffentlichen. Welche Daten genau erbeutet wurden, ist noch nicht bekannt.

AWS als Angriffsvektor

Der Vorfall wirft eine unbequeme Frage auf: Wenn die EU-Kommission, eine der mächtigsten politischen Institutionen der Welt, nicht in der Lage ist, einen AWS-Account zu schützen, wer dann?

AWS ist an sich nicht unsicher. Aber die Konfiguration von AWS-Accounts, Zugriffsberechtigungen, IAM-Rollen und Bucket-Policies ist komplex. Ein falsch konfigurierter Account kann Daten offenlegen, ohne dass ein Angriff im klassischen Sinne stattfindet. Man nennt das Cloud-Misconfiguration.

Die Frage ist nicht ob AWS sicher ist. Die Frage ist, ob die Organisation, die AWS nutzt, sicher konfiguriert hat.

Was das für die Cloud-Souveränität bedeutet

Der Vorfall passt in eine Reihe von Ereignissen, die europäische Cloud-Souveränität auf die Agenda gebracht haben. Der Deutschland-Stack setzt auf den Sovereign Cloud Stack. Euro-Office baut auf europäischer Open-Source-Software. Die EUDI-Wallet soll auf offenen Protokollen basieren.

Aber die EU-Kommission selbst betreibt ihre Cloud auf AWS. Einem US-amerikanischen Hyperscaler. Und genau dieser Account wurde kompromittiert.

Das ist kein Argument gegen Cloud. Es ist ein Argument gegen die Abhängigkeit von einem einzelnen Anbieter, dessen Konfiguration man nicht vollständig kontrolliert.

Quellen:

• Heise: Cyberangriff auf Cloud der EU-Kommission
• BleepingComputer: European Commission investigating breach after Amazon cloud account hack
• TechCrunch: European Commission confirms cyberattack
• EU Commission: Press Release