University of Phoenix: Datenleck betrifft 3,5 Millionen Personen

Ein Angriff auf eine Oracle-Softwareschwachstelle hat die Daten von Millionen Studierenden, Mitarbeitern und Lieferanten der US-Universität erbeutet. Die Täter blieben monatelang unentdeckt.

In einem massiven Cybersicherheitsvorfall bestätigt die University of Phoenix einen Datendiebstahl, der fast 3,5 Millionen Menschen betrifft. Der Angriff, der auf eine bis dahin unbekannte Schwachstelle in der Oracle-Unternehmenssoftware E-Business Suite (EBS) zurückgeht, offenbart gravierende Lücken im Schutz sensibler Daten im Bildungssektor. Betroffen sind aktuelle und ehemalige Studierende, Fakultätsmitglieder, Mitarbeiter und Zulieferer.

Die Universität gab den Vorfall am Montag, den 22. Dezember, in Meldungen an Aufsichtsbehörden bekannt. Demnach wurden während eines zehntägigen Zeitraums im August 2025 persönliche und finanzielle Daten exfiltriert. Die Eindringlinge wurden jedoch erst entdeckt, nachdem die Erpresserbande Clop die Universität am 20. November auf ihrer Dark-Web-Leak-Seite aufgeführt hatte.

Massive Datenpannen wie der Diebstahl bei der University of Phoenix zeigen: Angreifer bleiben oft monatelang unentdeckt. Dieses kostenlose E‑Book erklärt, welche Sicherheitslücken Hacker ausnutzen, wie Sie Dwell Time drastisch verkürzen und welche Sofortmaßnahmen IT‑Teams jetzt umsetzen sollten. Enthalten sind konkrete Checklisten für Incident Response, Präventionsmaßnahmen und Priorisierungsempfehlungen für Hochschulen und Unternehmen. Ideal für IT‑Leiter, Datenschutzbeauftragte und Sicherheitsverantwortliche, die schnell handeln müssen. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Was genau gestohlen wurde

Die Dimension des Datendiebstahls ist enorm: Insgesamt 3.489.274 Personen sind betroffen. Die gestohlenen Daten bergen ein hohes Risiko für Identitätsdiebstahl und finanziellen Betrug.

Zu den kompromittierten Informationen gehören laut Benachrichtigungsschreiben:
* Vollständige Namen und Kontaktdaten
* US-amerikanische Sozialversicherungsnummern (SSNs)
* Geburtsdaten
* Bankkontonummern und Routing-Informationen

Die Universität betonte, dass zwar Bankdaten erbeutet wurden, die Zugangsdaten oder Passwörter für diese Konten aber nicht kompromittiert seien. Dennoch schafft die Kombination aus Sozialversicherungsnummern und Bankverbindungen ein gefährliches Werkzeug für Kriminelle.

So lief der Angriff ab

Der Hack war kein simpler Phishing-Angriff, sondern nutzte eine Zero-Day-Schwachstelle in der Oracle E-Business Suite aus. Diese Unternehmenssoftware wird von der Universität für Finanzen, Personalwesen und Lieferkettenmanagement genutzt. Die spezifische Schwachstelle trägt die Kennung CVE-2025-61882.

Die Chronologie des Vorfalls:
* 13.–22. August 2025: Angreifer nutzen die Schwachstelle aus und entziehen Daten.
* Oktober 2025: Oracle veröffentlicht Sicherheitsupdates, die die Universität einspielt – der Diebstahl ist zu diesem Zeitpunkt jedoch bereits geschehen.
* 20. November 2025: Die Clop-Bande stellt die University of Phoenix an den Pranger.
* 21. November 2025: Die Universität entdeckt den Verstoß – einen Tag nach der öffentlichen Bekanntgabe der Hacker.
* 22. Dezember 2025: Offizielle Benachrichtigungen werden an Betroffene und Behörden verschickt.

Die dreimonatige „Dwell Time“ – die Zeitspanne zwischen Einbruch und Entdeckung – bereitet Sicherheitsexperten besondere Sorgen. „Die Angreifer hatten zehn Tage lang ungehinderten Zugang zum Kern der Finanzoperationen der Universität, und der Diebstahl blieb unsichtbar, bis die Kriminellen ihn selbst ankündigten“, kommentiert ein Cybersicherheitsanalyst.

Die Täter: Die Rückkehr der Clop-Bande

Der Angriff wird der berüchtigten, russischsprachigen Erpresserbande Clop zugeschrieben. Diese Gruppe ist für ihre gezielten Angriffe auf Dateitransfer- und Unternehmenssoftware bekannt. Der Vorfall scheint Teil einer breiter angelegten Erpressungskampagne der Gruppe im Spätjahr 2025 zu sein, die speziell die Oracle-EBS-Plattform ins Visier nimmt.

Im Gegensatz zu traditionellen Ransomware-Angriffen, bei denen Dateien verschlüsselt und Lösegeld für einen Entschlüsselungsschlüssel gefordert wird, konzentrierte sich diese Kampagne auf reinen Datendiebstahl und Erpressung. Durch das Stehlen sensibler Aufzeichnungen und die Androhung ihrer Veröffentlichung zwingt Clop Opfer zur Zahlung, um eine Datenleckage zu verhindern.

Die University of Phoenix ist nicht das einzige Opfer. Sicherheitsforscher haben dieselbe Oracle-EBS-Schwachstelle mit jüngsten Verstößen an anderen prestigeträchtigen Institutionen wie der Harvard University und der University of Pennsylvania in Verbindung gebracht. Der Vorfall in Phoenix ist jedoch der bislang größte gemessen an der Zahl der Betroffenen.

Folgen und Kritik

Die Enthüllung sendet Schockwellen durch den Bildungssektor und unterstreicht die systemischen Risiken zentralisierter Unternehmenssoftware.

„Universitäten sind Datenschatzkammern. Sie verwalten alles von Finanzhilfeanträgen bis zu medizinischen Informationen“, sagt Sarah Jenkins, Senior Threat Intelligence Researcher. „Die Tatsache, dass eine einzelne Schwachstelle in einem Oracle-Produkt 3,5 Millionen Menschen gefährden kann, zeigt die Fragilität unserer digitalen Lieferkette.“

Kritiker sehen in der verspäteten Entdeckung ein kritisches Versagen. „Einen Verstoß erst dann zu entdecken, wenn die Kriminellen damit im Dark Web prahlen, ist das Worst-Case-Szenario für jeden CISO“, so Jenkins weiter.

Das können Betroffene tun

Als Reaktion auf den Verstoß bietet die University of Phoenix den betroffenen Personen 12 Monate lang kostenlose Identitätsschutzdienste über IDX an. Diese umfassen Kreditüberwachung, Dark-Web-Überwachung und Unterstützung bei der Wiederherstellung nach Identitätsdiebstahl. Die Frist zur Anmeldung für diese Dienste ist der 22. März 2026.

Sofortmaßnahmen für Betroffene:
1. Kreditauskünfte sperren: Experten raten dringend dazu, eine Sicherheitssperre bei den drei großen US-Auskunfteien (Equifax, Experian und TransUnion) einzurichten.
2. Kontoauszüge prüfen: Da Bankverbindungen offengelegt wurden, sollten Betroffene ihre Kontoauszüge genau auf unbefugte Transaktionen überwachen.
3. Phishing-Versuche erwarten: Mit den offengelegten Namen, E-Mails und Telefonnummern ist mit einer Welle gezielter Phishing-E-Mails und SMS-Nachrichten zu rechnen.

Die Universität sieht sich nun möglichen Sammelklagen und intensiver Prüfung durch das US-Bildungsministerium gegenüber. Für die 3,5 Millionen vulnerablen Personen bedeutet der Vorfall, ihre digitale Identität schützen zu müssen – aufgrund eines Angriffs, der bereits Monate zurückliegt, aber erst jetzt ans Licht kommt.

PS: Wenn Ihre Institution oder Sie persönlich von dem Vorfall betroffen sind, hilft Wissen gegen das nächste Leck. Der Gratis‑Leitfaden “Cyber Security Awareness Trends” fasst aktuelle Angriffsmethoden, praxisnahe Schutzmaßnahmen und einfache Awareness‑Übungen für Mitarbeitende zusammen. So reduzieren Sie kurzfristig das Risiko von Phishing, Datenexfiltration und Erpressung. Kostenloser Download mit sofort umsetzbaren Tipps. Gratis E‑Book: Cyber Security Awareness Trends herunterladen