ESA bestätigt massiven Hackerangriff mit 200 GB Datenklau
02.01.2026 - 08:43:12Die Europäische Weltraumorganisation bestätigt einen Cybersicherheitsvorfall nach einem Datenleck. Ein Angreifer bot erbeutete Informationen wie Quellcode und Zugangstoken zum Verkauf an.
Die Europäische Weltraumorganisation ESA kämpft mit den Folgen eines schweren Cyberangriffs. Ein Hacker erbeutete offenbar über 200 Gigabyte interne Daten von externen Servern – ein Alarmsignal für die gesamte Raumfahrtbranche.
Hacker „888“ bietet ESA-Daten zum Verkauf an
Die Attacke kam ans Licht, als sich ein Bedrohungsakteur mit dem Alias „888“ Ende Dezember in einem Cyberkriminalitäts-Forum zu Wort meldete. Der Hacker behauptete, in die Systeme der ESA eingedrungen zu sein und bot einen riesigen Datensatz zum Verkauf an. Als Beweis veröffentlichte er Screenshots von Verzeichnisstrukturen und Konfigurationsdateien.
Der gestohlene Datenberg soll laut den Angaben Quellcode aus privaten Bitbucket-Repositories, API- und Zugangstokens, CI/CD-Pipeline-Konfigurationen sowie interne Dokumente enthalten. Der Angriff begann demnach bereits am 18. Dezember 2025. Der Eindringling hatte etwa eine Woche lang unbefugten Zugriff, bevor die ESA die Attacke entdeckte.
Sicherheitsexperten zeigen sich besonders besorgt über die möglicherweise erbeuteten hardcodierten Zugangsdaten und Infrastruktur-als-Code-Dateien. Diese könnten Hackern als Blaupause dienen, um sich weiter im ESA-Netzwerk zu bewegen.
Die Cyberattacke auf die ESA zeigt, wie schnell Angreifer durch ungesicherte Kollaborationsserver an empfindliche Daten gelangen. Studien zeigen: 73% der Unternehmen sind für moderne Angriffe nicht ausreichend vorbereitet. Unser kostenloses E‑Book erläutert aktuelle Cyber‑Security‑Trends, das Zero‑Trust‑Prinzip und praxisnahe Schutzmaßnahmen für Forschungseinrichtungen sowie Lieferketten. Mit sofort umsetzbaren Checklisten und Maßnahmenplänen können IT‑Teams Risiken deutlich reduzieren. Jetzt kostenlosen Cyber‑Security‑Report herunterladen
Behörde spricht von „begrenztem“ Vorfall
In einer offiziellen Stellungnahme vom 30. Dezember bestätigte die ESA einen „Cybersicherheitsvorfall“. Die Behörde betonte jedoch, der Schaden halte sich in Grenzen.
Laut der ersten Einschätzung der Behörde war nur eine kleine Anzahl externer Server betroffen. Diese seien nicht mit dem zentralen Unternehmensnetzwerk der ESA verbunden. Auf den Servern laufen „nicht klassifizierte, gemeinsame Ingenieursaktivitäten“ der wissenschaftlichen Gemeinschaft.
„Zum gegenwärtigen Zeitpunkt scheinen keine klassifizierten oder hochsensiblen, missionskritischen Daten kompromittiert worden zu sein“, so die ESA. Die Behörde hat die betroffenen Systeme isoliert und eine forensische Sicherheitsanalyse eingeleitet. Alle beteiligten Projektpartner wurden über den möglichen Datenverlust informiert.
Ein beunruhigendes Muster für die ESA
Für die Europäische Weltraumorganisation ist dies nicht der erste Sicherheitsvorfall. Bereits Ende 2024 war der offizielle ESA-Merchandise-Online-Shop Ziel eines „Magecart“-Angriffs. Dabei wurden Kreditkartendaten von Kunden abgegriffen.
Der aktuelle Fall zeigt ein grundsätzliches Problem großer Organisationen: Externe Kollaborationsserver, die den Datenaustausch mit internationalen Wissenschaftlern erleichtern sollen, haben oft weniger strenge Sicherheitskontrollen als das interne Netzwerk. Für Angreifer sind sie damit ein attraktives Einfallstor, um an wertvolles geistiges Eigentum zu gelangen.
Raumfahrtbranche im Fadenkreuz von Hackern
Der Vorfall unterstreicht die wachsende Gefahr für den Raumfahrtsektor. Mit dem steigenden kommerziellen Wert von Weltraumtechnologie wird die Branche zum begehrten Ziel für Cyber-Spionage und Datendiebstahl.
Selbst „nicht klassifizierte“ technische Daten können gefährlich werden. „Grauzonen-Daten“ – wie technische Schemata oder Arbeitsabläufe – lassen sich für hochgradig überzeugende Phishing-Kampagnen oder Social-Engineering-Angriffe gegen Mitarbeiter und Zulieferer nutzen.
Die Wahl des Alias „888“ und die Verkaufsmethode auf einem Forum deuten auf einen finanziell motivierten Cyberkriminellen hin. Die Grenze zu staatlich geförderten Akteuren ist im heutigen Bedrohungsumfeld jedoch oft fließend.
Was bedeutet das für die Zukunft?
Die ESA hat angekündigt, ihre Sicherheitsmaßnahmen zu verstärken, insbesondere für nach außen gerichtete Kollaborationsplattformen. Für die gesamte Luft- und Raumfahrtbranche ist der Vorfall eine deutliche Warnung.
Experten fordern eine „Zero-Trust“-Architektur, bei der externe Server mit der gleichen Rigorosität überwacht werden wie interne Kernsysteme. In den kommenden Wochen wird die ESA voraussichtlich strengere Authentifizierungsprotokolle für ihre Kollaborationstools einführen und alle externen Zugangspunkte überprüfen.
Marktanalysten erwarten, dass dieser Vorfall die Investitionen in Cybersicherheitslösungen für die Luft- und Raumfahrtindustrie ankurbeln wird. Der Fokus liegt dabei auf der Absicherung von Lieferketten und gemeinsamen Forschungsumgebungen – den Grundpfeilern der modernen Raumfahrt.
PS: Sie möchten Phishing, gestohlene Zugangstokens und Supply‑Chain‑Risiken gezielt abwehren? Das kostenlose Cyber‑Security‑Leitfaden bietet ein Anti‑Phishing‑Kapitel mit einer 4‑Schritte‑Strategie, Erkennungschecks und Schulungs‑Vorlagen für Mitarbeiter. Zusätzlich enthält der Report Vorlagen zur Incident Response und Checklisten zur Absicherung von CI/CD‑Pipelines – ideal für Projektmanager und IT‑Beauftragte in Forschungseinrichtungen. Kostenlosen Cyber‑Security‑Leitfaden anfordern
