symbiot – shutterstock.com
Trotz neuer Initiativen der Europäischen Kommission zur Stärkung der Cybersicherheit bleibt die Sicherheitslage in vielen EU-Institutionen besorgniserregend. Schon 2022 warnte der Europäische Rechnungshof in einem Sonderbericht, dass das Schutzniveau nicht der tatsächlichen Bedrohungslage entspreche. Die EU-Kommission wurde aufgefordert, Maßnahmen zur Verbesserung der Cybersicherheit in den Institutionen zu ergreifen und die Finanzierung aufzustocken.
Technische Mängel auf breiter Front
Trotz dieser Bemühungen zeigen aktuelle Daten des Business Digital Index (BDI), dass die Europäische Union weiterhin Schwierigkeiten hat, ihre Systeme wirksam gegen Cyberangriffe zu schützen. Bei einer Untersuchung der Websites von 75 Regierungsinstitutionen der EU hinsichtlich ihres Cybersicherheitsniveaus erhielten 67 Prozent der bewerteten Organisationen die Note D (32 Prozent, hochriskant) oder F (35 Prozent – kritisches Risiko) – die niedrigsten Sicherheitsbewertungen im Index. Keine einzige Institution erreichte die Bewertung A oder B – stattdessen mussten sich die restlichen 33 Prozent der staatlichen Stellen (33 Prozent) mit der Note C begnügen, die ein unterdurchschnittliches Sicherheitsniveau ausweist.
Die Analyse ergab auch einen klaren Zusammenhang zwischen schlechter Sicherheitskultur und realen Sicherheitsvorfällen:
96 Prozent der F-bewerteten und 92 Prozent der D-bewerteten Einrichtungen waren von mindestens einer Datenpanne betroffen – im Gegensatz zu lediglich 36 Prozent der C-bewerteten Institutionen.
Fast die Hälfte (46 Prozent) aller mit F bewerteten Organisationen in der Datengrundlage hatten kürzlich eine Datenpanne zu verzeichnen. Einrichtungen mit der Bewertung D lagen mit 17 Prozent nicht weit dahinter, während bei solchen mit der Bewertung C kein einziger Vorfall gemeldet wurde.
In 96 Prozent der mit F bewerteten und in 83 Prozent der mit D bewerteten Institutionen wurden kompromittierte Zugangsdaten entdeckt. Im Gegensatz dazu wurden in „nur“ zwölf Prozent der mit C bewerteten Organisationen Credentials geleakt.
In mit C bewerteten Organisationen wurden nur acht Prozent der bereits offengelegten Passwörter wiederverwendet, bei mit F-bewerteten waren es 85 Prozent.
Die Analyse deckte aber noch weitere grundlegende Schwachstellen auf. So wiesen sämtliche mit F bewertete Institutionen fehlerhafte SSL/TLS-Konfigurationen auf, 92 Prozent der D- und F-bewerteten Einrichtungen nutzten laut BDI unsichere Hosting-Umgebungen und E-Mail-Spoofing war in nahezu allen Domains möglich.
Welche Folgen diese Sicherheitslücken haben kann, dokumentiert ein Beispiel aus der Praxis: 2024 wurde ein Datenleck bei der Personalplattform des Europäischen Parlaments (PEOPLE) bekannt, bei dem sensible Daten von über 8.000 aktuellen und ehemaligen Mitarbeitenden entwendet wurden. Der Verstoß blieb monatelang unbemerkt und ermöglichte es potenziell, Ausweise, Aufenthaltsgenehmigungen oder Heiratsurkunden zu Identitätsdiebstahls- oder Erpressungszwecken zu missbrauchen.
No Responses