Jena. Nach dem Cyberangriff auf die Cloud-Infrastruktur der Europäischen Kommission verdichten sich die Hinweise auf eine Tätergruppe, die Sicherheitsbehörden schon länger als besonders gefährlich einstufen. Im Zentrum der Ermittlungen steht das Hacker-Netzwerk ShinyHunters, das für groß angelegte Datendiebstähle bekannt ist und nun offenbar erneut zugeschlagen hat.
Der Angriff auf die Plattform Europa.eu wurde Ende März publik und könnte erhebliche Datenmengen kompromittiert haben. Doch für Experten des IT-Sicherheitsunternehmens ESET ist der aktuelle Vorfall vor allem Teil eines größeren Musters. Die Gruppe ShinyHunters taucht seit Jahren immer wieder im Zusammenhang mit spektakulären Datenleaks auf – bereits 2020 bot sie gestohlene Datensätze von mehr als 160 Millionen Nutzerkonten im Darknet zum Verkauf an.
Lose Allianzen erschweren Ermittlungen
Besonders besorgniserregend ist nach Einschätzung der Experten die zunehmende Vernetzung der Cyberkriminellen. ShinyHunters agieren nicht mehr isoliert, sondern arbeiten in flexiblen Strukturen mit anderen bekannten Gruppen wie Scattered Spider und Lapsus$ zusammen. Seit 2025 firmieren diese Akteure teilweise unter dem losen Bündnis „Scattered Lapsus$ Hunters“.
Diese hybride Organisationsform stellt Ermittler vor erhebliche Herausforderungen: Klare Strukturen fehlen, Verantwortlichkeiten verschwimmen, und Angriffe lassen sich nur schwer eindeutig zuordnen. Gleichzeitig erhöht diese Flexibilität die Schlagkraft der Gruppen erheblich.
Erpressung als Geschäftsmodell
Typisch für ShinyHunters ist eine besonders aggressive Strategie: das sogenannte „Pay-or-Leak“-Prinzip. Unternehmen werden nach einem erfolgreichen Angriff vor die Wahl gestellt, ein Lösegeld zu zahlen – oder die Veröffentlichung sensibler Daten im Darknet zu riskieren. Dieses Vorgehen erhöht den Druck auf betroffene Organisationen massiv und macht Cyberangriffe zunehmend zu einem lukrativen Geschäftsmodell.
Der Mensch als Schwachstelle
Auffällig ist zudem ein strategischer Wandel bei den Angriffsmethoden. Statt primär technische Sicherheitslücken auszunutzen, setzen die Täter verstärkt auf Social Engineering – also die gezielte Manipulation von Menschen. Besonders häufig kommen sogenannte Vishing-Angriffe zum Einsatz: Dabei geben sich Angreifer telefonisch als IT-Mitarbeiter oder Dienstleister aus, um Zugangsdaten zu erlangen oder Sicherheitsmechanismen auszuhebeln.
In einigen Fällen greifen die Täter sogar auf täuschend echte KI-gestützte Sprachsimulationen zurück, um ihre Identität glaubwürdig erscheinen zu lassen. Diese Kombination aus technischer Raffinesse und psychologischer Manipulation macht die Angriffe besonders schwer abzuwehren.
Unternehmen müssen umdenken
Angesichts dieser Entwicklung warnen Sicherheitsexperten vor einer gefährlichen Fehleinschätzung: Klassische IT-Sicherheitsmaßnahmen allein reichen längst nicht mehr aus. Unternehmen müssten den „Faktor Mensch“ stärker in ihre Sicherheitsstrategien integrieren.
Dazu gehören klare Prozesse zur Identitätsprüfung, regelmäßige Schulungen für Mitarbeiter sowie streng kontrollierte Zugriffsrechte. Denn die Realität moderner Cyberangriffe zeigt: Die größte Schwachstelle ist oft nicht die Technik – sondern der Mensch.
Der Angriff auf die EU-Kommission dürfte damit nicht nur ein Einzelfall sein, sondern ein weiteres Warnsignal für eine neue Generation von Cyberbedrohungen, die immer professioneller, vernetzter und schwerer kontrollierbar werden.
