ShinyHunters, die Hackergruppe hinter einigen der groessten Datenpannen der letzten Jahre, hat mehr als 40 Gigabyte gestohlener Daten der Universitaet Nottingham veroeffentlicht und damit die persoenlichen Daten von rund 455.000 aktuellen und ehemaligen Studierenden aus drei internationalen Campussen offengelegt. Die gestohlenen Daten kursieren bereits oeffentlich - die Betroffenen haben kaum Moeglichkeiten, die Verbreitung zu begrenzen.
Was gestohlen wurde und wer betroffen ist
Der Datenleck betrifft Studierende und Alumni der Universitaet Nottingham aus den Campussen in Grossbritannien, Malaysia und China. Laut der Analyse der veroeffenlichten Dateien umfasst die Datenpanne:
- Ausweisdokumente: Passnummern und -kopien, nationale Ausweisdaten
- Finanzdaten: Internationale Bankkontonummern (IBANs), Zahlungshistorie
- Sensible personenbezogene Daten: Ethnische Zugehoerigkeit, Behinderungsstatus, Krankenakten
- Akademische Unterlagen: Immatrikulationsdaten, Noten, Disziplinarakten
- Kontaktdaten: Privatadressen, Telefonnummern, E-Mail-Adressen
Die Kombination aus Passdaten, Finanzdaten und sensiblen Kategorien wie ethnischer Zugehoerigkeit und Behinderungsstatus birgt besonders ernste Risiken. Identitaetsbetrug, gezieltes Phishing und Diskriminierung auf Basis der geleakten sensiblen Daten sind realistische Folgerisiken fuer die 455.000 Betroffenen.
Wie es zum Datenleck kam: Oracle-PeopleSoft-Zero-Day
Der Angriff nutzte CVE-2026-35273 aus - eine kritische Schwachstelle in Oracle PeopleSoft mit einem CVSS-Score von 9.8. Die Luecke ermoeglichte unauthentifizierte Remote-Code-Ausfuehrung ueber eine einfache HTTP-Anfrage: ohne Zugangsdaten, ohne Insiderwissen, ohne Social Engineering. Ein Angreifer konnte das System direkt aus dem Internet erreichen und beliebige Befehle mit Server-Rechten ausfuehren.
Oracle PeopleSoft wird an Hochschulen als Enterprise-Resource-Planning-System eingesetzt - genau fuer die Art von Daten, die hier betroffen sind: Studierendenakten, HR-Dateien, Finanzkonten und Verwaltungsdaten. Die Universitaet Nottingham nutzte das System an allen drei Campussen, was den multinationalen Umfang des Lecks erklaert. ShinyHunters soll die Schwachstelle vor Veroeffentlichung eines Patches ausgenutzt haben - damit handelt es sich um einen Zero-Day-Angriff.
Die eskalierende Angriffsserie von ShinyHunters
Der Nottingham-Angriff ist der juengste Eintrag in der sogenannten "Eternal-Dump"-Strategie von ShinyHunters: Das Angriffsmuster zielt systematisch auf Organisationen mit grossen, zentralisierten Datenbanken ab und veroeffentlicht die gestohlenen Daten unabhaengig davon, ob ein Loesegeld gezahlt wird. Zu den bestaetigen frueheren Opfern gehoeren Carnival Corporation (fast 6 Millionen Passagierdatensaetze), Ticketmaster (560 Millionen Datensaetze), Santander Bank und Dutzende Unternehmen, deren Daten 2025 ueber kompromittierte Snowflake-Konten gestohlen wurden.
Anders als Ransomware-Gruppen, die Daten verschluesseln und fuer die Entschluessungsschuessel bezahlt werden wollen, veroeffentlicht ShinyHunters Daten oeffentlich - manchmal auf kriminellen Foren, manchmal frei zugaenglich. Das macht den Schaden irreversibel: Sobald Passkopien und IBANs im Darknet indexiert sind, koennen die Opfer die Daten nicht mehr zurueckholen.
Reaktion der Universitaet und Behoedenbenachrichtigung
Die Universitaet Nottingham bestaetigt den Vorfall und erklaert, sie habe das britische Information Commissioner's Office (ICO) und Action Fraud benachrichtigt. Unter der DSGVO und dem britischen Aequivalent sind Organisationen verpflichtet, Datenpannen innerhalb von 72 Stunden zu melden, wenn ein Risiko fuer die Rechte der Betroffenen besteht.
Die Universitaet erkllaert, sie kontaktiere Betroffene direkt. Bei 455.000 Personen in drei Laendern wird das jedoch Zeit kosten - waehrend der Betroffene nichts von ihrem konkreten Risiko wissen. Studierende und Alumni aus Nottingham sollten ihre Passdaten als potenziell kompromittiert betrachten und ihre Banken bezueglich Konten kontaktieren, die mit exponierten IBANs verknuepft sind.
Warum Universitaetsnetzwerke bevorzugte Ziele sind
Universitaeten sind aus strukturellen Gruenden zu Hauptzielen fortgeschrittener Hackergruppen geworden. Sie fuehren jahrzehntelange Aufzeichnungen ueber grosse Studierendenpopulationen - einschliesslich sensibler Datenkategorien, die Finanzinstitute typischerweise sorgfaeltiger schuetzen. Internationale Campusse schaffen zusaetzliche Komplexitaet: Datenschutz im Einklang mit britischem, malaysischem und chinesischem Recht bedeutet, dass Sicherheitsstandards moeglicherweise nicht einheitlich angewendet werden. ERP-Systeme wie PeopleSoft werden oft auf aelteren Konfigurationen betrieben, und Patch-Zyklen an Hochschulen hinken dem Unternehmenssektor nach.
Fuer Studierende und Mitarbeiter, die VPN fuer den Fernzugriff auf Universitaetsressourcen nutzen, ist der Nottingham-Vorfall eine Erinnerung: Verschluesselte Tunnel schuetzen Daten beim Transport, koennen aber Schwachstellen in Anwendungen und Datenbanken am anderen Ende nicht kompensieren. Wenn das ERP-System selbst ohne Authentifizierung kompromittiert werden kann, bieten netzwerkbasierte Sicherheitskontrollen keinen Schutz.
Was als naechstes passiert
Das ICO kann Bussgelder von bis zu 4% des weltweiten Jahresumsatzes fuer schwere DSGVO-Verstosse verhaengen. Der Nottingham-Datenleck - mit sensiblen Sonderkategorien von Daten von Hunderttausenden Personen - wird regulatorische Aufmerksamkeit erregen. Die zentrale Frage wird sein: Hat die Universitaet angemessene technische Massnahmen ergriffen?
