4 Min. Lesezeit

Die Europäische Kommission hat am 30. März bestätigt, dass Angreifer ihre auf Amazon AWS gehostete öffentliche Webinfrastruktur kompromittiert haben. Mehr als 350 Gigabyte Daten sollen abgeflossen sein. Es ist der zweite Sicherheitsvorfall innerhalb von 30 Tagen – im Februar waren bereits Dienstgeräte hochrangiger Mitarbeiter kompromittiert worden. Für Cloud-Architekten im regulierten DACH-Umfeld liefert der Vorfall ein konkretes Referenz-Szenario: Die Institution, die NIS2 und den Cyber Resilience Act vorantreibt, scheitert an der eigenen Umsetzung.

Das Wichtigste in Kürze

• Die EU-Kommission bestätigte am 30. März 2026 einen Cyberangriff auf ihre öffentlich zugänglichen Europa-Websites, gehostet auf Amazon AWS.
• Laut Berichten wurden über 350 GB Daten exfiltriert. Die Kommission nennt keine Mengenangaben und verweigert Auskunft zu Angriffsvektor und Angriffsdauer.
• Es ist der zweite Breach in 30 Tagen. Im Februar waren Diensthandys hochrangiger Kommissionsmitarbeiter kompromittiert worden.

Was passiert ist

Der Angriff wurde am 24. März entdeckt und am 30. März öffentlich bestätigt. Betroffen sind die öffentlich zugänglichen Webportale der Europäischen Kommission – keine internen Verwaltungssysteme, soweit bisher bekannt. Die Kommission spricht von „Daten dieser Websites“ ohne zu spezifizieren welche Datenkategorien betroffen sind. Eine Attribution zu einem staatlichen oder kriminellen Akteur liegt nicht vor.

Der Angriffsvektor ist nicht bestätigt. Die Infrastruktur läuft auf Amazon Web Services – ob die Schwachstelle in der AWS-Konfiguration, in einer Webanwendung oder in einem Supply-Chain-Element lag, ist unklar. AWS selbst hat sich bisher nicht zu dem Vorfall geäußert.

Warum es für DACH zählt

NIS2 ist seit Oktober 2024 in Kraft und verpflichtet Betreiber kritischer Infrastruktur in der EU zu strikten Meldepflichten, Risikomanagement und Incident-Response-Prozessen. Der Cyber Resilience Act ergänzt diese Vorgaben für vernetzte Produkte. Beide Regulierungen wurden maßgeblich von der Europäischen Kommission vorangetrieben.

Dass dieselbe Institution jetzt zwei Sicherheitsvorfälle innerhalb eines Monats verzeichnet – und bei beiden die Transparenz verweigert, die sie anderen per Gesetz auferlegt – ist mehr als ein Kommunikationsproblem. Für IT-Leiter und Security-Verantwortliche in DACH-Unternehmen stellt sich die Frage: Wenn die EU-Kommission selbst an der Umsetzung scheitert, wie realistisch sind die Anforderungen die sie anderen stellt?

Für Cloud-Architekten im regulierten Umfeld – Behörden, KRITIS-Betreiber, Finanzdienstleister – ist der Vorfall ein konkretes Argument in laufenden Architekturentscheidungen. Wer Hybrid-Cloud-Strategien mit klarer Datentrennung zwischen öffentlichen und sensiblen Workloads vertritt, bekommt ein Referenz-Szenario geliefert. Wer alles auf einen Hyperscaler setzt, bekommt eine unbequeme Frage gestellt.

Das Souveränitäts-Paradox

Die EU hat in den letzten drei Jahren massiv in digitale Souveränität investiert: EUCS (European Cloud Services Scheme), Gaia-X, das European Cybersecurity Competence Centre in Bukarest. Gleichzeitig hosten europäische Institutionen ihre eigene Infrastruktur auf US-amerikanischen Hyperscalern. Die Kommissions-Websites laufen auf AWS. Das Europäische Parlament nutzt Microsoft 365.

„Die EU predigt Souveränität bei der Datenhaltung – und hostet die eigenen Portale auf AWS. Das ist kein Widerspruch den man übersehen kann. Es ist ein Glaubwürdigkeitsproblem, das mit jedem Breach größer wird.“
– cloudmagazin Redaktionsbewertung

Das Argument „AWS ist sicherer als On-Premise“ mag technisch stimmen – AWS investiert Milliarden in Security-Infrastruktur. Aber der Shared-Responsibility-Model legt die Verantwortung für Konfiguration, Zugriffsmanagement und Anwendungssicherheit beim Kunden. Und genau da scheint die Kommission versagt zu haben. Nicht AWS wurde gehackt – die Kommission hat ihre AWS-Umgebung nicht ausreichend abgesichert.

Einschätzung

Drei Dinge sind bemerkenswert. Erstens, die mangelnde Transparenz: Sechs Tage zwischen Entdeckung und Bestätigung, keine Angaben zu Angriffsvektor oder betroffenen Datenkategorien. Das widerspricht dem Geist der Meldepflichten die die Kommission selbst in NIS2 verankert hat. Zweitens, das Muster: Zwei Vorfälle in 30 Tagen deuten auf strukturelle Probleme hin – nicht auf einen einzelnen Konfigurationsfehler. Drittens, die politische Dimension: Der Vorfall wird die EUCS-Debatte über Souveränitätsanforderungen an Cloud-Dienste beschleunigen.

Für Cloud-Teams in DACH ändert der Vorfall operativ nichts – die eigene Sicherheitsarchitektur bleibt die eigene Verantwortung. Strategisch liefert er aber Argumente für drei Entscheidungen: Hybrid-Architekturen mit klarer Workload-Trennung. Regelmäßige Configuration Audits unabhängig vom Cloud-Provider. Incident-Response-Prozesse die tatsächlich getestet werden – nicht nur dokumentiert.

Häufige Fragen

Wurde AWS selbst gehackt?

Nach aktuellem Kenntnisstand nein. Der Angriff betraf die Webanwendungen und Konfigurationen der EU-Kommission auf AWS-Infrastruktur. Im Shared-Responsibility-Model ist der Kunde für die Sicherheit seiner Anwendungen und Konfigurationen verantwortlich. AWS hat sich bisher nicht öffentlich geäußert.

Welche Daten sind betroffen?

Die Kommission hat keine Datenkategorien genannt. Betroffen sind die öffentlich zugänglichen Europa-Webportale. Da diese primär Informationsseiten sind, dürften personenbezogene Daten in begrenztem Umfang betroffen sein (Kontaktformulare, Newsletter-Anmeldungen). Interne Verwaltungssysteme waren laut Kommission nicht betroffen.

Was bedeutet das für meine Cloud-Architektur?

Der Vorfall ändert nichts an der Sicherheit von AWS als Plattform. Er zeigt aber, dass auch große Organisationen grundlegende Konfigurationsfehler machen. Konkrete Maßnahmen: Configuration Audit der eigenen AWS/Azure/GCP-Umgebung, Überprüfung der Incident-Response-Prozesse und Sicherstellung dass Shared-Responsibility-Grenzen im Team verstanden sind.

Quelle Titelbild: KI-generiertes Stimmungsbild (FLUX.2) – keine Produktabbildung