Anfang des Jahres kam es zu einem Verstoß in einer vom Europäischen Parlament verwendeten externen Einstellungsbewerbung, einem Cybersicherheitsproblem, das monatelang nicht erkannt wurde.
Der Verstoß, der auf Anfang 2024 zurückgeht, wurde vor zwei Wochen aufgedeckt, als das Europäische Parlament seine Bemühungen zur Stärkung seiner Cybersicherheit in Vorbereitung auf die bevorstehenden Europawahlen im Juni verstärkte, sagte ein Pressesprecher des Europäischen Parlaments gegenüber Euronews.
Die kompromittierte Anwendung mit dem Namen „PEOPLE“, die inzwischen offline genommen wurde, sammelte sensible Informationen über rund 8.000 Kandidaten für befristete Stellen (darunter parlamentarische Assistenten und Vertragsbedienstete) und stellte ihnen Einzelheiten zum Einstellungsprozess zur Verfügung. „Alle potenziell von der Datenschutzverletzung betroffenen aktiven oder früheren Nutzer wurden ordnungsgemäß benachrichtigt“, so der Pressesprecher. Darüber hinaus wurden Meldungen an den Europäischen Datenschutzbeauftragten (EDSB) und die Behörden in Luxemburg, wo PEOPLE seinen Hauptsitz hat, gesendet.
Das Parlament versicherte Euronews, dass seine Infrastruktur nicht beeinträchtigt sei. Das Ausmaß und der Ursprung des Verstoßes sind jedoch weiterhin unbekannt, was die Befürchtung aufkommen lässt, dass er das Ergebnis eines ausländischen Cyberangriffs sein könnte.
Langsame Antwort
Dieser Vorfall ist nicht die erste Cybersicherheitsherausforderung, mit der die Institution konfrontiert ist. Im Jahr 2020 wurden personenbezogene Daten von 1.200 EU-Beamten, darunter Gesetzgeber und Mitarbeiter, online offengelegt. Im Jahr 2022 geriet die Website des EP ins Visier von mutmaßlich russischen Hackern, nachdem das EP den Krieg in der Ukraine verurteilt hatte. Dennoch zielen kommende Vorschriften darauf ab, den Reaktionsmechanismus zu verbessern.
Bis Oktober müssen die EU-Mitgliedstaaten die Netzwerk- und Informationssicherheitsrichtlinie 2 (NIS2) umsetzen, die EU-Cybersicherheitsvorschriften für kritische Einrichtungen. Die von der Europäischen Kommission im Jahr 2020 vorgeschlagenen Regeln ersetzen die alte NIS-Richtlinie aus dem Jahr 2016.
Öffentliche Verwaltungen sowie andere Sektoren wie Energieunternehmen, Cloud-Computing-Anbieter und Wasserwirtschaftsunternehmen fallen in den Geltungsbereich der Vorschriften und werden somit zu sogenannten kritischen Sektoren.
Dies bedeutet, dass Unternehmen aus allen diesen Branchen, die von einem Cybersicherheitsvorfall betroffen sind, ab dem Zeitpunkt ihrer ersten Kenntnisnahme des Vorfalls 24 Stunden Zeit haben, eine Warnung an eine nationale Behörde zu übermitteln. Euronews berichtete im März, dass nur wenige Länder damit begonnen hätten, die Regeln in ihre nationalen Regelwerke umzusetzen