Dartmouth College: Clop-Hacker erbeuten 226 GB Daten

Die Ivy-League-Universität bestätigte den Vorfall in dieser Woche in Pflichtmitteilungen an US-Behörden. Besonders brisant: Die Hacker veröffentlichten bereits rund 226 Gigabyte gestohlener Daten im Darknet – eine Drohgebärde, die zeigt, wie perfide moderne Cyberkriminelle vorgehen.

Zwischen dem 9. und 12. August 2025 verschafften sich die Angreifer unbefugten Zugang zu den Systemen der Universität. Eine forensische Untersuchung, die erst Ende Oktober abgeschlossen wurde, brachte das Ausmaß ans Licht: Namen, Sozialversicherungsnummern und Kontodaten wurden erbeutet.

Allein im US-Bundesstaat Maine sind 1.494 Personen betroffen – doch Cybersicherheitsexperten gehen davon aus, dass die tatsächliche Opferzahl deutlich höher liegt. Die Universität verschickte diese Woche Benachrichtigungsschreiben an alle Betroffenen.

Zero-Day-Lücken wie die Oracle E-Business-Schwachstelle können Organisationen innerhalb weniger Tage kompromittieren. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt aktuelle Bedrohungen, konkrete Sofortmaßnahmen für IT‑Teams, Checklisten zur Absicherung der Software‑Lieferkette und praxisnahe Schritte, mit denen auch Hochschulen Risiken mindern – ohne großes Budget. Der Report nennt zudem, welche Prioritäten nach einem Datenleck gesetzt werden sollten. Jetzt kostenloses Cyber‑Security‑E‑Book herunterladen

“Durch die Untersuchung stellten wir fest, dass ein unbefugter Akteur bestimmte Dateien entwendete”, heißt es in den Schreiben. “Wir haben die Dateien überprüft und festgestellt, dass diese Ihren Namen und Ihre Sozialversicherungsnummer enthielten.”

Die Angreifer nutzten eine Zero-Day-Lücke in der Oracle E-Business Suite – einem umfassenden Softwarepaket, das Großorganisationen weltweit für ihre Geschäftsprozesse einsetzen. Eine Zero-Day-Schwachstelle ist besonders gefährlich, weil sie dem Softwarehersteller zum Zeitpunkt des Angriffs noch unbekannt war. Die Verteidiger hatten also keine Chance zu reagieren.

Clop, auch als Cl0p bekannt, hat diese Taktik perfektioniert. Die mit Russland in Verbindung gebrachte Cybercrime-Gruppe wurde bereits 2023 durch ihre MOVEit-Attacken bekannt, die Tausende Organisationen weltweit trafen. Ihr Vorgehen folgt stets demselben Muster: schnell zuschlagen, Daten abziehen, verschwinden.

Am Dienstag eskalierte die Gruppe die Situation weiter. Auf ihrer Darknet-Plattform listete sie Dartmouth College offiziell als Opfer – inklusive der veröffentlichten Datenmenge. Diese Doppel-Erpressungstaktik gehört zur Standardstrategie: Nicht nur Systeme verschlüsseln, sondern auch mit der Veröffentlichung gestohlener Daten drohen.

Dartmouth steht nicht allein da. Die Oracle-EBS-Kampagne erfasste Dutzende weitere Opfer, darunter Harvard University, Tulane University und Southern Illinois University. Warum gerade Universitäten? Die Antwort ist simpel: Sie verwalten riesige Mengen an personenbezogenen Daten und Finandinformationen – bei oft dezentraler IT-Infrastruktur.

“Die Angriffe auf Hochschulen durch Gruppen wie Clop zeigen eine kritische Schwachstelle in der Lieferkette des Sektors”, erklärt ein Cybersicherheitsanalyst, der die Kampagne beobachtet. “Wenn eine zentrale Plattform wie Oracle EBS über eine Zero-Day-Lücke kompromittiert wird, sind die Auswirkungen sofort spürbar und weitreichend.”

Für Vergleiche aus Deutschland: Stellen Sie sich vor, SAP-Software würde ähnlich angegriffen – die Folgen für deutsche Unternehmen und Institutionen wären verheerend.

Dartmouth reagierte nach eigenen Angaben “unverzüglich” und sicherte die Systeme ab, sobald der Vorfall entdeckt wurde. Die Bundespolizei FBI wurde informiert. Alle von Oracle bereitgestellten Sicherheits-Patches wurden inzwischen eingespielt.

“Wir haben alle öffentlich verfügbaren Patches für die Schwachstelle implementiert und werden die Sicherheitspraktiken unserer Anbieter weiterhin überprüfen”, teilte die Universität in ihrer behördlichen Meldung mit.

Den Betroffenen bietet die Hochschule ein Jahr kostenlose Kreditüberwachung und Identitätsschutz über den Dienstleister Experian IdentityWorks an. Das Paket umfasst Monitoring bei allen großen Auskunfteien, Darknet-Überwachung und Unterstützung bei Identitätsdiebstahl.

Das volle Ausmaß des Datenlecks ist auch jetzt, am 26. November 2025, noch nicht abschließend geklärt. Doch mit den bereits im Darknet veröffentlichten Daten steigt für Betroffene das Risiko von Identitätsdiebstahl und Finanzbetrug massiv.

Binnen 24 Stunden nach Bekanntwerden meldeten sich erste Anwaltskanzleien mit Sammelklagen. Der Vorwurf: Fahrlässigkeit beim Schutz sensibler Daten. Solche Verfahren zielen typischerweise auf Schadenersatz für das künftige Risiko ab, dem Betroffene nun ausgesetzt sind.

Für die Cybersicherheitsbranche unterstreicht dieser Vorfall die anhaltende Bedrohung durch Zero-Day-Exploits in der Software-Lieferkette. Selbst gepatchte Systeme könnten bereits während des Zeitfensters vor der Patch-Veröffentlichung kompromittiert worden sein.

Mitglieder der Dartmouth-Community und Alumni sind aufgerufen, wachsam zu bleiben, ihre Kontoauszüge engmaschig zu prüfen und vorsorglich ihre Kreditauskunft sperren zu lassen – eine in den USA gängige Schutzmaßnahme gegen Betrug.

PS: Wenn Sie besorgt sind, dass auch Ihre Institution durch Zero‑Day‑Exploits gefährdet ist, fordern Sie kostenlos das E‑Book “Cyber Security Awareness Trends” an. Der Report fasst aktuelle Angriffsformen, neue gesetzliche Vorgaben (inklusive KI‑Regulierung) und kosteneffiziente Schutzmaßnahmen zusammen und zeigt konkrete Schritte, die IT‑Teams sofort umsetzen können. Gratis‑Cybersecurity‑Report jetzt anfordern