Zwei Drittel der EU-Institutionen erfüllen grundlegende Cybersicherheitsstandards nicht

67 % der EU-Regierungsinstitutionen erhalten für ihre Cybersicherheitsbemühungen die Note D oder F + Die vom Business Digital Index (BDI) veröffentlichten und von Cybernews zusammengestellten Ergebnisse zeigen, dass von 75 bewerteten EU-Institutionen, -Einrichtungen und -Agenturen (EUIBAs) mehr als zwei Drittel entweder die Note D oder F erhielten – Noten, die auf ein hohes bis kritisches Risiko hinweisen. Keine Institution erreichte die Note A oder B.

Erst 2025 hat die Europäische Kommission neue Initiativen zur Förderung der Cyberresilienz angekündigt und Rechtsvorschriften zur Stärkung der Cybersicherheit in der gesamten Europäischen Union (EU) eingeführt. Dennoch bestehen weiterhin Bedenken hinsichtlich der allgemeinen Bereitschaft der EU-Institutionen.

Im Jahr 2022 veröffentlichte der Europäische Rechnungshof (ERH) einen Sonderbericht, in dem er feststellte, dass die Cybersicherheitsvorkehrungen der Organe, Einrichtungen und Agenturen der Europäischen Union (EUIBAs) in keinem angemessenen Verhältnis zu den Bedrohungen stehen, denen sie ausgesetzt sind. Der Bericht forderte die Kommission nachdrücklich auf, Maßnahmen zur Verbesserung der Cybersicherheit in allen Einrichtungen zu ergreifen und die Mittel aufzustocken.

Trotz dieser Bemühungen zeigen die neuesten Daten des Business Digital Index, dass die Europäische Union nach wie vor Schwierigkeiten hat, ihre Systeme vor Cyberangriffen zu schützen. Der Analyse zufolge erhielten 67 % der bewerteten Organisationen die Note D oder F – die niedrigste Sicherheitsbewertung des Index. Alle Institutionen hatten Datenverstöße erlebt, und 85 % der Mitarbeiter von Institutionen mit den niedrigsten Sicherheitsbewertungen verwendeten bereits kompromittierte Passwörter wieder.

Obwohl sie einige der sensibelsten politischen, wirtschaftlichen und bürgerbezogenen Daten in Europa verwalten, sind fast alle Institutionen mit erheblichen Cybersicherheitsbedrohungen konfrontiert.

EU-Institutionen haben Schwierigkeiten mit grundlegenden Cybersicherheitsmaßnahmen

Das Forschungsteam des Business Digital Index hat die Websites von 75 EU-Behörden analysiert und deren Cybersicherheitslage bewertet.

In dem Bericht des Index, der weltweite Organisationen anhand ihrer Online-Sicherheitsmaßnahmen bewertet, erhielten 33 % der 75 Regierungsbehörden die Note C, was einem unterdurchschnittlichen Sicherheitsniveau entspricht. 32 % der Institutionen wurden mit der Note D als risikoreich eingestuft, und 35 % erhielten die Note F und fielen damit in die Kategorie „kritisches Risiko“. Keine der Institutionen erreichte die Note A oder B.

Die durchschnittliche Note der EUIBA lag bei 71 von 100 Punkten. Gemäß der Methodik des Indexes wird eine Organisation mit einer Note zwischen 70 und 79 in die Kategorie „hohes Risiko” eingestuft, was bedeutet, dass die Organisation trotz einiger grundlegender Sicherheitsmaßnahmen weiterhin erheblich anfällig für Cyberangriffe ist.

Die aktuelle Cybersicherheitslage der EU-Organisationen ist äußerst besorgniserregend und sollte nicht auf die leichte Schulter genommen werden. Die schlechten Ergebnisse sollten für die Institutionen ein Weckruf sein, unverzüglich Maßnahmen zu ergreifen und ihre Systeme zu verbessern. Je länger Schwachstellen bestehen bleiben, desto größer ist das Risiko, dass sensible institutionelle und personenbezogene Daten gestohlen, weitergegeben oder missbraucht werden.

46 % aller mit F bewerteten Unternehmen hatten kürzlich einen Datenverstoß erlitten

Unternehmen mit den niedrigsten Cybersicherheitsbewertungen sind am stärksten betroffen. 96 % der mit F bewerteten und 92 % der mit D bewerteten Unternehmen hatten mindestens einen Datenverstoß erlebt, verglichen mit nur 36 % der mit C bewerteten Unternehmen. Fast die Hälfte (46 %) aller mit F bewerteten Unternehmen in der Datensammlung hatten kürzlich einen Datenverstoß erlitten. D-bewertete Unternehmen lagen mit 17 % nicht weit dahinter. Unter den C-bewerteten Unternehmen wurde hingegen kein einziger Vorfall gemeldet – ein klarer Hinweis darauf, dass mangelnde Hygiene reale Konsequenzen hat.

Ein wichtiges Warnsignal ist die Wiederverwendung von Passwörtern. Bei den F-bewerteten Unternehmen verwendeten 85 % der Mitarbeiter Zugangsdaten, die bereits bei früheren Vorfällen offengelegt worden waren. Bei den D-bewerteten Unternehmen lag dieser Anteil bei 71 %. In Unternehmen mit der Bewertung C verwendeten nur 8 % der Mitarbeiter bereits gehackte Passwörter erneut. Dies deutet darauf hin, dass wiederholte Sicherheitsverletzungen in Unternehmen mit niedriger Bewertung nicht nur möglich sind, sondern vorhersehbare Folgen einer anhaltenden Nachlässigkeit sind.

Diese Ergebnisse stehen im Einklang mit hochkarätigen Vorfällen aus der Praxis. Im Jahr 2024 gab das Europäische Parlament eine Sicherheitsverletzung seiner Personalbeschaffungsplattform PEOPLE bekannt, durch die die persönlichen Daten von mehr als 8.000 aktuellen und ehemaligen Mitarbeitern offengelegt wurden. Der Verstoß blieb monatelang unbemerkt und gefährdete Dokumente wie Ausweise, Aufenthaltsdokumente und Heiratsurkunden – allesamt sensibel genug, um Identitätsdiebstahl oder Erpressung zu ermöglichen.

Die Wiederverwendung von Passwörtern nach einer Datenverletzung erhöht das Risiko für die persönliche und organisatorische Sicherheit. Wie diese Untersuchung gezeigt hat, ist das Problem hartnäckig, aber auch vermeidbar. Es zeigt, dass es dringend notwendig ist, Mitarbeiter über Passwort-Hygiene und die Folgen der Wiederverwendung derselben Anmeldedaten aufzuklären.

Institutionen mit niedrigen Bewertungen weisen weit verbreitete technische Schwachstellen auf

Die Daten zeigen einen direkten Zusammenhang zwischen Cybersicherheitsbewertungen und kritischen Schwachstellen auf Systemebene. SSL/TLS-Konfigurationsprobleme wurden bei 100 % der mit F bewerteten Institutionen, bei 92 % der mit D bewerteten und bei 100 % der mit C bewerteten Institutionen festgestellt. Diese Schwachstellen setzen Systeme Man-in-the-Middle-Angriffen aus und schwächen sichere Kommunikationsprotokolle.

Ähnlich verbreitet waren Schwachstellen beim Systemhosting. 92 % der mit D und F bewerteten Institutionen verfügten über unsichere Hosting-Umgebungen, während dieses Problem auch bei allen mit C bewerteten Institutionen weiterhin bestand. Domains, die für E-Mail-Spoofing anfällig sind, wurden in jeder mit C bewerteten Organisation und in 96 % der mit D und F bewerteten Organisationen gefunden, was potenziell gefährliche Identitätsdiebstahlversuche ermöglicht.

In 96 % der mit F bewerteten und in 83 % der mit D bewerteten Institutionen wurden offengelegte Unternehmenszugangsdaten entdeckt. Im Gegensatz dazu wiesen nur 12 % der mit C bewerteten Organisationen Zugangsdaten auf, was die Lücke in der grundlegenden Sicherheitshygiene zwischen Unternehmen mit niedriger und mittlerer Leistung unterstreicht. Während der Datensatz relativ wenige Fälle von kritischen Schwachstellen enthielt, wiesen die Hälfte der mit F bewerteten Institutionen Anzeichen für hochriskante Web-Schwachstellen auf.

Forschungsmethodik

Diese Analyse basiert auf Daten, die vom Forschungsteam des Business Digital Index (BDI) gesammelt wurden, das den BDI zur Bewertung öffentlich zugänglicher Informationen nutzt. Das Team verwendet maßgeschneiderte Scans, IoT-Suchmaschinen, IP- und Domain-Reputationsdatenbanken, um Unternehmen und Institutionen anhand von Online-Sicherheitsprotokollen zu bewerten. Der Index bewertete umfassend die Cybersicherheitshygiene von 75 Institutionen, Einrichtungen und Agenturen der Europäischen Union (EUIBA).

Der Bericht bewertet das Cybersicherheitsrisiko anhand von sieben Schlüsselkriterien: Software-Patches, Sicherheit von Webanwendungen, E-Mail-Schutz, Systemreputation, Hosting-Infrastruktur, SSL/TLS-Konfiguration und Datenverstöße in der Vergangenheit. Die Methodik des Berichts finden Sie hier. Sie enthält detaillierte Informationen darüber, wie die Forscher diese Analyse durchgeführt haben.

Quellen: BDI und Cybernews

---