67% der EU-Behörden mit schlechten Noten in Cybersicherheits-Studie

Aktualisiert am: 3. Juli 2025
European government building
Image by Cybernews.

85% der Beschäftigten in EU-Behörden mit Note „D“ oder „F“ nutzen kompromittierte Passwörter

Anfang 2025 kündigte die Europäische Kommission neue Initiativen an, um die Cyber-Resilienz zu fördern. Neue Maßnahmen der Gesetzgeber sollten die Cybersicherheit in der Europäischen Union (EU) verbessern. Trotz dieser Maßnahmen bestehen nach wie vor erhebliche Bedenken hinsichtlich der Sicherheitslage in EU-Einrichtungen.

Schon 2022 stellte der Europäische Rechnungshof (EuRH) in einem Sonderbericht fest, dass die Institutionen, Organe und Agenturen der Europäischen Union nicht ausreichend vor Cyber-Bedrohungen geschützt sind. Der Bericht forderte die Europäische Kommission dringend auf, Maßnahmen zur Verbesserung der Cybersicherheit zu ergreifen und zusätzliche Mittel bereitzustellen.

ADVERTISEMENT

Trotz dieser Bemühungen zeigen aktuelle Zahlen des von Cybernews erstellten Business Digital Index, dass die EU nach wie vor Schwierigkeiten hat, ihre Systeme gegen Cyberangriffe abzusichern. Eine aktuelle Analyse bewertet 67% der geprüften EU-Organisationen als mangelhaft. Alle untersuchten Einrichtungen wurden bereits Opfer von Datenlecks. 85% der Beschäftigten in Behörden mit den schlechtesten Bewertungen „D“ und „F“ nutzten ihre Passwörter mehrfach, obwohl diese bereits in Leaks aufgetaucht waren.

Einige der geprüften Institutionen verwalten hochsensible politische, wirtschaftliche und personenbezogene Daten. Trotzdem weisen nahezu alle ernsthafte Mängel in ihrer digitalen Sicherheitsstrategie auf.

Marcus Walsh profile Neilc chrissw Jesse William McGraw
Lies neueste Artikel bei Google News
Google News Jetzt folgen

EU-Institutionen scheitern an den Grundlagen der Cybersicherheit

Das Team des Business Digital Index analysierte die Webseiten von 75 EU-Behörden und deren Cybersicherheit.

Der aktuelle Bericht bewertet internationale Organisationen anhand ihrer Online-Sicherheit. Lediglich 33% der insgesamt 75 untersuchten Behörden erhielten die Note „C“ für unterdurchschnittliche Sicherheit. Ganze 32% fallen mit der Bewertung „D“ in eine Hochrisiko-Kategorie, 35% mit der Note „F“ werden sogar als kritische Gefährdungen eingestuft. Keine der untersuchten Institutionen erhielt die Bestnoten „A“ oder „B“.

Die durchschnittliche Bewertung der untersuchten EU-Institutionen, Organe und Agenturen lag bei 71 von 100 Punkten. Der Methodik des Index zufolge führen Werte zwischen 70 und 79 zur Einstufung in die Hochrisiko-Kategorie. Das bedeutet, trotz grundlegender Sicherheitsvorkehrungen bestehen erhebliche Lücken gegenüber Cyberangriffen.

Die derzeitige digitale Sicherheitslage der EU-Institutionen ist besorgniserregend und sollte nicht verharmlost werden. Die vorliegenden Ergebnisse sind ein Weckruf, unverzüglich Maßnahmen zu ergreifen und die Sicherheitssysteme der EU weiter zu verbessern. Solange Schwachstellen nicht geschlossen werden, besteht ein hohes Risiko für den Diebstahl, die Veröffentlichung oder den Missbrauch sensibler institutioneller und personenbezogener Daten.

ADVERTISEMENT
EU-Institutionen Sicherheitsbewertung

46% der mit „F“ bewerteten Institutionen von Datenschutzvorfällen betroffen

Institutionen mit den niedrigsten Bewertungen werden im Schnitt am schwersten getroffen. So hatten 96% aller mit „F“ bewerteten und 92% der mit „D“ bewerteten Einrichtungen bereits mindestens ein Datenleck zu beklagen. Die Quote bei Organisationen mit der Bewertung „C“ liegt bei nur 36%. In fast der Hälfte (46%) aller Institutionen mit der Note „F“, gab es erst kürzlich einen Sicherheitsvorfall, in Einrichtungen mit der Note „D“ lag der Anteil bei 17%. In der Gruppe der Institutionen mit der Note „C“ wurde kein einziger aktueller Vorfall gemeldet. Dies belegt, dass schwache Cybersicherheit reale Konsequenzen verursacht.

Ein deutliches Warnsignal ist die Wiederverwendung kompromittierter Passwörter. In Institutionen der Kategorie „F“ nutzen 85% der Mitarbeiter Passwörter, deren Zugangsdaten bereits bei früheren Datenlecks kompromittiert wurden. In Einrichtungen der Kategorie „D“ liegt dieser Anteil bei 71%, in Institutionen der Note „C“ nur bei 8%. Daraus folgt, dass sich wiederholte Vorfälle bei niedrig bewerteten Organisationen nicht nur ereignen können, sondern bei anhaltender Nachlässigkeit sogar vorhersehbar sind.

Diese Ergebnisse decken sich mit bekannten Vorfällen. Im Jahr 2024 etwa berichtete das Europäische Parlament über ein schweres Datenleck auf der internen Recruiting-Plattform PEOPLE. Dabei wurden personenbezogene Daten von über 8.000 aktuellen und ehemaligen Mitarbeitern veröffentlicht. Der Vorfall blieb monatelang unbemerkt. Betroffen waren auch hochsensible Dokumente wie Personalausweise, Aufenthaltsgenehmigungen und Heiratsurkunden, Informationen, die unter anderem häufig für Identitätsdiebstahl oder Erpressungen genutzt werden.

Werden Passwörter nach einem Leak weiterhin verwendet, steigt das Risiko für die Sicherheit massiv. Die aktuelle Auswertung beweist, dass es sich um ein anhaltendes, jedoch vermeidbares Phänomen handelt. Es besteht dringender Bedarf, Mitarbeiter intensiver über Passworthygiene aufzuklären und die Risiken wiederverwendeter Zugangsdaten wiederholt zu vermitteln.

Mehr technische Schwachstellen in Institutionen mit niedriger Bewertung

Die Daten zeigen eindeutige Verbindungen zwischen niedrigen Cybersecurity-Bewertungen und kritischen Schwachstellen auf Systemebene. Probleme bei der SSL/TLS-Konfiguration traten bei allen bewerteten Institutionen auf („F“-Note: 100 %, „D“: 92 %, „C“: 100 %). Solche Schwachstellen ermöglichen unter anderem Man-in-the-Middle-Angriffe und gefährden die Integrität sicherer Kommunikationsverfahren.

Sicherheitsmängel beim System-Hosting waren ebenfalls weit verbreitet: 92% der mit „D“ und „F“ bewerteten Einrichtungen waren nicht sicher konfiguriert. Bei Institutionen mit der Note „C“ lag der Wert sogar bei 100%. Diese und 96% aller Institutionen mit den Noten „D“ und „F“ liefen zudem auf Domains mit Anfälligkeiten für E-Mail-Spoofing. Das erleichtert potenziell gefährlichen Identitätsmissbrauch.

Kompromittierte Zugangsdaten traten ebenfalls gehäuft auf: 96% der Institutionen mit „F“-Bewertung und 83% mit „D“ -Bewertung verwendeten öffentlich zugängliche Unternehmensnetzwerke. Bei Einrichtungen der mittleren „C“-Kategorie lag der Anteil dagegen nur bei 12%, ein klares Zeichen für die bessere Umsetzung grundlegender Sicherheitsmaßnahmen. Obwohl insgesamt relativ wenige Fälle kritischer Lücken bekannt wurden, gibt es bei immerhin der Hälfte aller mit „F“ benoteten Institutionen Anzeichen hochriskanter Schwachstellen.

ADVERTISEMENT

Methodik der Studie

Die Analyse basiert auf Daten, die vom Recherche-Team des Business Digital Index (BDI) erhoben wurden. Das Team bewertet öffentlich zugängliche Informationen mithilfe individueller Sicherheits-Scans, IoT-Suchmaschinen sowie Datenbanken zu IP- und Domain-Reputationen. Die vorliegende Untersuchung erfasst und beurteilt die Cybersecurity-Maßnahmen von 75 Institutionen, Organen und Agenturen der Europäischen Union.

Der Bericht bewertet Cybersicherheitsrisiken anhand von sieben Schlüsselkriterien: Software-Aktualität, Webanwendungssicherheit, E-Mail-Schutz, Systemreputation, Hosting-Infrastruktur, SSL/TLS-Konfiguration und Datenleck-Historie. Einblick in die detaillierte Methodik der Studie gibt es hier.

Über den Business Digital Index

Der Business Digital Index ist ein Projekt von Cybernews, das die digitale Sicherheit von Organisationen auf Basis öffentlich verfügbarer Informationen bewertet. Dazu werden externe digitale Ressourcen überwacht, beispielsweise exponierte Systeme, veraltete Software und andere Risikofaktoren für Cyberkriminalität. Anhand kontinuierlicher Analysen werden Daten erhoben und ausgewertet. Das Modell berücksichtigt technische Schwachstellen und typische Angriffsmuster und liefert standardisierte Einschätzungen zur Cybersicherheitslage von Organisationen und Unternehmen.

Share
Post
Share
Share
Share
Deutsch English
ADVERTISEMENT