Princeton: Datenleck durch Telefon-Phishing offenbart

Ein raffinierter Angriff per Telefon hat an der Princeton University zu einem erheblichen Datenleck geführt. Die persönlichen Informationen von Alumni, Spendern, Studierenden und weiteren Hochschulmitgliedern sind kompromittiert. Was zunächst wie ein routinemäßiger Anruf wirkte, entwickelte sich zu einer Sicherheitskrise, die zeigt: Selbst Elite-Universitäten sind gegen geschickte Social-Engineering-Attacken nicht gefeit.

Die Eindringlinge verschafften sich am 10. November 2025 unbefugten Zugang zu einer Datenbank der Universität. Innerhalb von 24 Stunden konnten die Angreifer zwar wieder ausgesperrt werden, doch der Schaden war bereits angerichtet. Der Vorfall reiht sich ein in eine beunruhigende Serie von Cyberangriffen auf amerikanische Hochschulen – und wirft Fragen zur digitalen Sicherheit im Bildungssektor auf.

Wie die Attacke ablief

Die Angreifer setzten auf eine bewährte, aber gefährliche Methode: Phone Phishing. Dabei geben sich Kriminelle am Telefon als vertrauenswürdige Personen aus und bringen ihre Opfer dazu, sensible Zugangsdaten preiszugeben. Im Fall Princeton fiel ein Mitarbeiter auf diese Masche herein und gewährte den Angreifern ungewollt Zugang zu einer Datenbank des Fundraising-Bereichs.

Passend zum Thema: Universitäten sind besonders anfällig für Phishing – effektive Mitarbeiterschulungen sind deshalb entscheidend. Ein kostenloses DSGVO-Trainingspaket bietet eine sofort einsetzbare PowerPoint-Vorlage, einen Schulungsnachweis und praktische Tipps für Art.-39-konforme Trainings, damit Ihre IT- und Personalverantwortlichen zukünftige Vorfälle besser verhindern können. Mit wenigen Schritten haben Sie eine fertige Präsentation und die nötige Dokumentation. Jetzt kostenloses Schulungspaket herunterladen

In dieser Datenbank lagerten Namen, Kontaktinformationen sowie Details zu Spenden und Fundraising-Aktivitäten. Nach eigenen Angaben entdeckten Princetons IT-Sicherheitsteams die Eindringlinge innerhalb eines Tages und sperrten sie aus. Die Universität betont, dass keine anderen technischen Systeme betroffen seien. Externe Cybersecurity-Experten und Strafverfolgungsbehörden sind mittlerweile eingeschaltet, um das volle Ausmaß des Lecks zu ermitteln.

Gibt es einen Zusammenhang mit anderen jüngsten Angriffen auf Universitäten? Princeton verneint dies – zumindest gebe es keine “konkreten Hinweise” darauf.

Hochschulen im Visier

Der Vorfall an Princeton ist kein Einzelfall. Amerikanische Universitäten entwickeln sich zunehmend zu bevorzugten Zielen für Cyberkriminelle. Der Grund: Sie verwalten riesige Mengen wertvoller persönlicher, finanzieller und wissenschaftlicher Daten – und die Sicherheitsarchitektur kann mit der schieren Komplexität dieser Institutionen oft nicht Schritt halten.

Ende Oktober 2025 musste die University of Pennsylvania einen massiven Sicherheitsvorfall einräumen. Auch dort stand am Anfang ein Social-Engineering-Betrug. Potenziell betroffen: die persönlichen Daten von über 1,2 Millionen Menschen mit Verbindung zur Universität. Die kompromittierten Systeme gehörten ebenfalls zum Alumni- und Fundraising-Bereich.

Bereits im Mai 2025 hatte die Columbia University einen Angriff gemeldet, bei dem unbefugte Akteure auf Dateien mit persönlichen und akademischen Informationen von mehr als 868.000 Personen zugreifen konnten. Ein klares Muster zeichnet sich ab: Phishing und Social Engineering durchbrechen technische Verteidigungslinien, indem sie den Menschen als Schwachstelle ausnutzen.

Der Faktor Mensch bleibt das Problem

Phishing zählt zu den effektivsten Einstiegsmethoden für Datendiebstahl. Statt aufwendige technische Hürden zu überwinden, setzen Angreifer auf psychologische Manipulation. Sie nutzen das Vertrauen aus, das in offenen, kollaborativen Umgebungen wie Universitäten notwendig ist.

Täglich erreichen Beschäftigte und Fakultätsmitglieder unzählige E-Mails und Anrufe. Jede einzelne Nachricht auf Echtheit zu prüfen, ist schlicht unmöglich. Genau das machen sich Kriminelle zunutze: Sie imitieren Kollegen, Vorgesetzte oder bekannte Dienstleister so überzeugend, dass selbst geschulte Mitarbeiter hereinfallen.

Experten sind sich einig: Technologie allein reicht nicht. Die wirksamste Verteidigung kombiniert technische Schutzmechanismen mit kontinuierlicher Schulung aller Hochschulmitglieder. Dazu gehört, Warnsignale zu erkennen – egal ob per E-Mail, SMS oder Telefon – und verdächtige Anfragen über separate, vertrauenswürdige Kanäle zu verifizieren, bevor man handelt.

Ein weiterer Schwachpunkt: fehlende Multi-Faktor-Authentifizierung (MFA). Beim Vorfall an der University of Pennsylvania wurde dies als mögliches Einfallstor identifiziert. MFA gilt heute als unverzichtbare Sicherheitsebene – doch längst nicht alle Systeme sind damit ausgestattet.

Was jetzt geschehen muss

Princeton konzentriert sich darauf, den Vorfall aufzuarbeiten und Betroffene zu unterstützen. Für den gesamten Hochschulsektor ist das Datenleck ein weiterer Weckruf. Universitäten müssen ihre Cybersecurity-Strategien grundlegend überdenken und von reaktiven auf proaktive Ansätze umstellen.

Konkret bedeutet das: MFA flächendeckend durchsetzen, strikte Zugriffskontrollen für sensible Datenbanken implementieren und Schulungsprogramme ausbauen, die auf die sich ständig weiterentwickelnden Taktiken der Angreifer reagieren. Die bloße Erfüllung von Compliance-Vorgaben reicht nicht mehr aus.

Die Herausforderung ist immens: Universitäten müssen die offene, kollaborative Kultur der Wissenschaft mit den rigiden Sicherheitsmaßnahmen vereinbaren, die zum Schutz persönlicher Daten erforderlich sind. Je stärker Hochschulen ihre Abläufe digitalisieren, desto lukrativer werden sie als Ziel.

Princetons Untersuchung mag weitere Erkenntnisse liefern. Der übergeordnete Trend jedoch ist eindeutig: Phishing-basierte Angriffe werden dem Bildungssektor auf absehbare Zeit erhalten bleiben. Kein Wunder also, dass Sicherheitsexperten eindringlich vor der nächsten Welle warnen.

PS: Viele Einrichtungen unterschätzen den Nachweis über durchgeführte Datenschutzschulungen – das kann teuer werden. Dieses Gratis-Paket enthält eine geprüfte PowerPoint-Vorlage, einen Muster-Schulungsnachweis und praxisnahe Tipps, damit Sie Trainings schnell dokumentieren und rechtssicher durchführen. Ideal für Datenschutzbeauftragte, HR und IT-Verantwortliche an Hochschulen, die Vorfälle verhindern und Nachweise lückenlos erbringen müssen. Gratis-Schulungsvorlage & Checklisten anfordern