ShinyHunters stiehlt 297 GB aus den HR-Systemen des Europarats

ShinyHunters stiehlt 297 GB aus den HR-Systemen des Europarats

Der Europarat, die führende Institution des Kontinents für Menschenrechte, Demokratie und Rechtsstaatlichkeit, ist das jüngste prominente Opfer der Ransomware-Gruppe ShinyHunters. Der Vorfall legte 297 GB sensible HR- und Gehaltsdaten offen, darunter über 409.000 Gehaltsabrechnungen und mehr als 14.000 Lebensläufe von Mitarbeitern, und betraf das Personal des Sekretariats und der Direktion für Humanressourcen. Der Datenvorfall des Europarats durch ShinyHunters ist nicht nur ein Cybersicherheitsvorfall; er ist eine deutliche Mahnung, dass selbst die Organe, die mit dem Schutz der Rechte der Bürger beauftragt sind, die personenbezogenen Daten ihrer eigenen Mitarbeiter nicht angemessen schützen können.

Was gestohlen wurde: Ein Blick in den 297 GB großen HR- und Gehaltsdatenvorfall

Nach den Angaben von ShinyHunters ist die Beute aus diesem Vorfall erheblich. Über 429.000 Dateien wurden kompromittiert, darunter Gehaltsabrechnungen, Lebensläufe, Arbeitsverträge und interne HR-Unterlagen. Allein Gehaltsabrechnungen machen mehr als 409.000 Dokumente aus, was bedeutet, dass dieser Vorfall wahrscheinlich einen erheblichen Teil der aktuellen und ehemaligen Belegschaft des Europarats betrifft.

Die Sensitivität dieser Daten kann nicht genug betont werden. Gehaltsabrechnungen enthalten in der Regel vollständige Namen, Wohnanschriften, nationale Identifikationsnummern, Bankverbindungen, Gehaltsinformationen und Steuerunterlagen. Lebensläufe fügen eine weitere Ebene der Preisgabe hinzu, einschließlich Bildungsweg, persönliche Referenzen und frühere Beschäftigungsdetails. Zusammen liefern diese Informationen Cyberkriminellen alles, was sie für gezielte Phishing-Kampagnen, Identitätsbetrug oder den Verkauf individueller Profile auf Darknet-Marktplätzen benötigen.

Diese Art von Angriffen auf HR-Systeme wird immer häufiger. Der Datenvorfall im HR-System von Statistics South Africa folgte einem auffallend ähnlichen Muster: Angreifer zielten auf die interne Personalinfrastruktur ab, um Mitarbeiterdaten zu extrahieren, anstatt sich auf kundenorientierte Systeme zu konzentrieren.

Warum der Europarat ein wertvolles Ziel für Ransomware-Gruppen ist

Auf den ersten Blick mag eine zwischenstaatliche Organisation, die sich auf Menschenrechte konzentriert, wie ein ungewöhnliches Ransomware-Ziel erscheinen. In der Praxis ist sie jedoch ein äußerst attraktives. Der Europarat beschäftigt Tausende von Mitarbeitern in seinem Hauptsitz in Straßburg und in mehreren Außenstellen, was bedeutet, dass die HR-Datenbanken dicht mit personenbezogenen Aufzeichnungen gefüllt sind. Das institutionelle Prestige erhöht zudem den Druck, den Ransomware-Gruppen ausüben können: Der Reputationsschaden eines Datenlecks ist für eine Organisation, zu deren Aufgaben der Schutz der Bürgerrechte und des Datenschutzes gehört, besonders hoch.

ShinyHunters ist für das Muster bekannt, große, sichtbare Organisationen ins Visier zu nehmen, um den Druck zur Zahlung von Lösegeld zu maximieren. Bereits in diesem Jahr richtete die Gruppe ein öffentliches Ultimatum an den niederländischen Telekommunikationsanbieter Odido. Wie in der Berichterstattung über den Datenvorfall bei Odido, der 8 Millionen Kunden betraf, dargelegt, drohte ShinyHunters damit, gestohlene Kundendaten zu veröffentlichen, falls kein Lösegeld gezahlt würde – ein Zeichen für die Bereitschaft, die öffentliche Verbreitung als Druckmittel einzusetzen. Dasselbe Vorgehensmuster scheint hier Anwendung zu finden.

Der Vorfall beim Europarat reiht sich ein in den von ShinyHunters zuvor beanspruchten Angriff auf die Cloud-Infrastruktur der Europäischen Kommission, bei dem Berichten zufolge über 350 GB Daten von der Plattform Europa.eu betroffen waren. In der Gesamtschau deuten diese Vorfälle darauf hin, dass die Gruppe europäische Institutionen in den Jahren 2025 und 2026 zu einem bewussten Schwerpunkt ihrer Aktivitäten gemacht hat.

Die Ironie: Datenschutz-Wächter, die personenbezogene Daten nicht schützen können

Der Europarat ist das Organ, das für die Europäische Menschenrechtskonvention verantwortlich ist und Rahmenwerke überwacht, die die Mitgliedstaaten zur Regelung von Datenschutz und digitaler Privatsphäre nutzen. Mit anderen Worten: Es handelt sich um eine Institution, die den Standard dafür setzt, wie personenbezogene Daten behandelt und geschützt werden sollten. Die Ironie, dass ausgerechnet diese Institution einen Datenvorfall dieses Ausmaßes erleidet, ist kaum zu übersehen.

Dies ist kein isoliertes Spannungsfeld. Große Institutionen verfügen häufig über eine komplexe, gewachsene IT-Infrastruktur, weit verzweigte Lieferantenbeziehungen und über Dutzende miteinander verbundener Systeme verteilte Personaldaten. Diese strukturellen Gegebenheiten schaffen Angriffsflächen, die wirklich schwer zu verwalten sind – unabhängig davon, wie stark das erklärte Bekenntnis der Organisation zum Datenschutz ist. Der Vorfall zeigt, dass gute politische Absichten nicht automatisch in eine gute operative Sicherheit übergehen.

Für die betroffenen Mitarbeiter sind die Konsequenzen unmittelbar und persönlich. Jeder, dessen Gehaltsabrechnung oder Lebenslauf zu den mehr als 429.000 Dateien gehörte, muss nun damit rechnen, dass seine Finanz- und Identitätsdaten offengelegt werden. Verkäufe institutioneller HR-Daten im Darknet, wie sie im Listing von Iliad-Italia-Kundendaten zu beobachten waren, folgen häufig schnell auf Datenschutzverletzungen und bieten Kriminellen einen bereiten Markt für die gestohlenen Aufzeichnungen.

Wie Einzelpersonen sich schützen können, wenn Institutionen versagen

Wenn ein Arbeitgeber oder eine Institution Opfer eines Datenlecks wird, haben die Betroffenen nur begrenzte Kontrolle darüber, was gestohlen wurde. Es gibt jedoch konkrete Schritte, die Sie unternehmen können, um die weitere Gefährdung zu begrenzen.

Überwachen Sie Ihre Finanzkonten genau. In Gehaltsabrechnungen preisgegebene Bankdaten können für direkten Betrug genutzt werden. Richten Sie Benachrichtigungen für ungewöhnliche Transaktionen ein und prüfen Sie, ob eine vorübergehende Sperre für Kreditanfragen in Ihrem Land sinnvoll ist.

Seien Sie wachsam gegenüber Spear-Phishing-Versuchen. Angreifer, die über Ihren Lebenslauf und Ihre Gehaltsabrechnung verfügen, kennen Ihren Arbeitgeber, Ihre Gehaltsstufe und Ihre Berufsbezeichnung. Sie können mit diesem Kontext äußerst überzeugende Imitations-E-Mails erstellen. Behandeln Sie unerwartete Nachrichten, die Handlungen oder Zugangsdaten anfordern, mit besonderer Skepsis, selbst wenn sie von Kollegen oder der Personalabteilung zu stammen scheinen.

Nutzen Sie ein VPN in öffentlichen und gemeinsam genutzten Netzwerken. Ein VPN kann einen serverseitigen Datenverstoß zwar nicht verhindern, aber es schützt Ihren Datenverkehr vor dem Abfangen, wenn Sie Arbeitgeberportale oder sensible Konten aus der Ferne aufrufen, und verringert so einen Vektor für den Diebstahl von Anmeldedaten.

Prüfen Sie, ob Ihre Daten in Leak-Datenbanken auftauchen. Dienste, die bekannte Datensätze aus Datenpannen überwachen, können Sie benachrichtigen, wenn Ihre E-Mail-Adresse oder andere Identifikatoren in neu veröffentlichten Datensätzen auftauchen.

Fordern Sie Klarheit von Ihrem Arbeitgeber. Wenn Sie Mitarbeiter oder Auftragnehmer des Europarats sind, drängen Sie auf eine konkrete Mitteilung darüber, welche Aufzeichnungen betroffen sind und welche Abhilfemaßnahmen angeboten werden.

Institutionelle Datenschutzverletzungen wie diese erinnern uns daran, dass persönliche Datenhygiene gerade dann am wichtigsten ist, wenn die Organisationen, die Ihre Daten speichern, sie nicht schützen können. Die eigene Gefährdung zu prüfen, Konten zu sichern und vor Social Engineering wachsam zu sein, sind keine optionalen Extras; sie sind die grundlegende Reaktion, wenn Daten, die man Kriminellen nicht übergeben hat, dennoch in deren Hände geraten.

Die sich ausweitenden Angriffe von ShinyHunters auf europäische Institutionen deuten darauf hin, dass diese Gruppe nicht langsamer wird. Informiert zu bleiben und proaktive Maßnahmen für die eigene digitale Sicherheit zu ergreifen, ist die wirksamste Reaktion, die Einzelpersonen, die zwischen die Fronten geraten, zur Verfügung steht.