Datenleck an der University of Nottingham legt 450.000 Studierendendaten offen

Datenleck an der University of Nottingham legt 450.000 Studierendendaten offen

Die University of Nottingham bestätigte diese Woche, dass eine Hackergruppe erfolgreich in ihr Studentendatensystem eingedrungen ist und die persönlichen Daten von mehr als 450.000 aktuellen Studierenden und Alumni kompromittiert hat. Der Vorfall ist einer der schwersten, die eine einzelne britische Universität getroffen haben, und fügt sich in ein wachsendes Muster von Angriffen auf Hochschuleinrichtungen auf beiden Seiten des Atlantiks ein. Für jeden, der jemals in Nottingham studiert hat, ist die Botschaft klar: Ihre Daten sind nicht mehr unter Ihrer Kontrolle.

Der Schutz von Studierendendaten vor Datenschutzverletzungen ist kein abstraktes Anliegen mehr, das nur die IT-Abteilungen betrifft. Es ist eine praktische Angelegenheit, die jeder Studierende, Absolvent und akademische Mitarbeiter ernst nehmen muss.

Was bei dem Datenleck an der University of Nottingham offengelegt wurde

Laut Bestätigung der Universität verschaffte der Angriff den Angreifern Zugang zum Studentendatensystem der Einrichtung. Diese Art von System speichert in der Regel eine breite Palette personenbezogener Informationen, darunter Namen, Adressen, Geburtsdaten, Kontaktdaten, Einschreibeverlauf und in einigen Fällen finanzielle oder akademische Aufzeichnungen. Dass auch Alumni betroffen sind, bedeutet, dass das Offenlegungsfenster Jahre, möglicherweise Jahrzehnte zurückreicht und Menschen betrifft, die unter Umständen schon lange keinen Kontakt mehr zur Universität hatten.

Die konkrete Hackergruppe, die hinter dem Einbruch steckt, wurde von der Universität nicht öffentlich genannt, und der volle Umfang der abgerufenen Daten wird noch geprüft. Bestätigt ist hingegen die Größenordnung: 450.000 Datensätze sind ein erheblicher Datensatz, und Daten dieser Art werden häufig auf Darknet-Marktplätzen gehandelt oder direkt für Phishing-Kampagnen und Identitätsbetrug genutzt.

Warum Universitäten immer wieder ins Visier von Hackern geraten

Hochschuleinrichtungen werden aus mehreren strukturellen Gründen überproportional häufig angegriffen. Erstens speichern sie enorme Mengen wertvoller persönlicher Daten großer, sich ständig verändernder Bevölkerungsgruppen von Studierenden und Mitarbeitenden. Zweitens arbeiten Universitäten oft mit dezentralen IT-Umgebungen, in denen Dutzende von Fachbereichen, Forschungseinheiten und externen Softwareplattformen jeweils Teile dieser Daten mit unterschiedlichem Sicherheitsniveau verwalten.

Dieses Problem beschränkt sich keineswegs auf das Vereinigte Königreich. Der von der Hackergruppe ShinyHunters behauptete Einbruch bei Instructure, dem Unternehmen hinter dem weit verbreiteten Lernmanagement-System Canvas, soll Datensätze von fast 9.000 Bildungseinrichtungen offengelegt haben. Erst kürzlich erzwang ShinyHunters die Abschaltung des Canvas-Portals der University of Pennsylvania, nachdem die Gruppe behauptet hatte, Daten von mehr als 300.000 Penn-Angehörigen gestohlen zu haben. Auch die University of Oxford erlebte wiederholt Vorfälle, darunter ein Datenleck aus dem Jahr 2025 bei einer externen Karriereplattform, die von der Einrichtung genutzt wird.

Das wiederkehrende Thema ist, dass Universitäten Probleme haben, eine breite, heterogene Angriffsfläche zu verteidigen. Hacker wissen das und nutzen es weiterhin aus.

Sofortmaßnahmen, die Studierende und Alumni nach einem Datenleck ergreifen sollten

Wenn Sie aktueller oder ehemaliger Studierender in Nottingham sind, betrachten Sie dies als akute Bedrohung und nicht als eine Geschichte im Hintergrund. Das sollten Sie jetzt tun.

Überprüfen Sie Ihre E-Mails genau. Rechnen Sie mit Phishing-Versuchen, die vorgeben, von der Universität oder verbundenen Diensten zu stammen. Angreifer, die Ihren echten Namen, Ihre Matrikelnummer und Ihre Kontaktdaten kennen, können überzeugende Köder gestalten. Klicken Sie keine Links in unerwünschten E-Mails an, die Sie auffordern, Kontodaten zu bestätigen oder Passwörter zurückzusetzen.

Ändern Sie die Passwörter für Ihr Universitätskonto und alle Konten, die dasselbe Passwort verwenden. Die Wiederverwendung von Passwörtern ist eine der am häufigsten ausgenutzten Schwachstellen nach einem Datenleck. Wenn Ihre Nottingham-Zugangsdaten oder die mit diesem Konto verknüpfte E-Mail-Adresse anderswo genutzt werden, aktualisieren Sie diese Passwörter jetzt.

Aktivieren Sie Multi-Faktor-Authentifizierung (MFA) überall dort, wo es möglich ist. Selbst wenn ein Angreifer Ihre Zugangsdaten besitzt, stellt MFA eine Barriere dar, die die meisten automatisierten Angriffe stoppt.

Überwachen Sie Ihre Girokonten und Ihre Kreditwürdigkeit. Geburtsdatum, Adresse und vollständiger Name reichen aus, um einen Identitätsbetrug zu versuchen. Erwägen Sie, bei den Kreditauskunfteien eine Betrugswarnung einzurichten, wenn Sie im Vereinigten Königreich leben, oder das entsprechende nationale Pendant in Ihrem Land.

Achten Sie auf Folgemaßnahmen der Universität. Bildungseinrichtungen sind gemäß der DSGVO im Vereinigten Königreich gesetzlich verpflichtet, betroffene Personen zu benachrichtigen. Wenn Sie eine offizielle Mitteilung erhalten, lesen Sie sie aufmerksam, um spezifische Hinweise darauf zu erfahren, welche Daten betroffen waren.

Wie VPNs und Cyberhygiene Ihr Risiko senken, wenn Institutionen versagen

Vorfälle wie dieser unterstreichen einen zentralen Grundsatz des Schutzes persönlicher Daten: Sie können Ihre Privatsphäre nicht vollständig an die Einrichtungen auslagern, die Ihre Daten speichern. Universitäten haben rechtliche Verpflichtungen, doch der Nottingham-Fall zeigt, dass diese Pflichten Datenlecks nicht verhindern.

Eine eigene Schutzschicht beginnt mit Gewohnheiten, nicht mit Werkzeugen. Ein Passwort-Manager, der für jeden Dienst einzigartige Zugangsdaten generiert und speichert, verhindert die kettenreaktionsartigen Kontoübernahmen, die auf die meisten Datenlecks folgen. Wenn Sie Ihre primäre E-Mail-Adresse von den Konten trennen, die Sie für Bildungsplattformen nutzen, verringert das die Auswirkungen, wenn ein Dienst kompromittiert wird.

Ein VPN ist vor allem als Bestandteil einer umfassenden Hygiene nützlich, insbesondere wenn Sie gemeinsam genutzte oder öffentliche Netzwerke verwenden, wie sie in Universitätsumgebungen üblich sind. Es verschlüsselt Ihren Datenverkehr zwischen Ihrem Gerät und dem VPN-Server, wodurch es für Angreifer im selben Netzwerk schwieriger wird, Zugangsdaten oder Sitzungstokens abzufangen. Es schützt nicht vor serverseitigen Datenlecks wie dem in Nottingham, aber es reduziert Ihre Gefährdung in Umgebungen, in denen sich Studierende häufig aufhalten.

Überlegen Sie über VPNs hinaus, welche persönlichen Daten Sie einer Einrichtung oder Plattform überhaupt mitteilen. Eine eigene E-Mail-Adresse für die Universität zu verwenden, ein Postfach oder eine Campus-Adresse anstelle Ihrer Privatadresse anzugeben – wo dies möglich ist – und zu prüfen, welche Drittanbieter-Apps Sie über Ihren Uni-Login autorisiert haben, sind alles Schritte, die begrenzen, wie viele Ihrer Daten bei einem einzelnen Datenleck gefährdet sind.

Die laufende Untersuchung zu Instructure Canvas durch das House Homeland Security Committee signalisiert, dass Regulierungsbehörden genauer darauf achten, wie Bildungsplattformen mit Studierendendaten umgehen. Doch regulatorische Kontrolle bewegt sich langsam, und die Datenlecks häufen sich weiter.

Was das für Sie bedeutet

Das Datenleck in Nottingham ist kein Einzelfall. Es spiegelt eine systemische Schwachstelle darin wider, wie Hochschulen Studierendendaten über lange Zeiträume sammeln, speichern und schützen. Alumni, die vor Jahren ihren Abschluss gemacht haben, sind immer noch betroffen, weil Universitäten Aufzeichnungen unbefristet aufbewahren.

Die praktische Konsequenz ist: Überprüfen Sie noch heute Ihre persönliche Privatsphären-Einrichtung, nicht erst nach dem nächsten Leck. Prüfen Sie Ihre Passwörter, aktivieren Sie MFA bei jedem Konto, das dies anbietet, und denken Sie künftig sorgfältig darüber nach, welche Informationen Sie mit Institutionen teilen. Ihre Universität mag Ihre Daten speichern, doch Sie sind es, der die Konsequenzen trägt, wenn sie gestohlen werden.

Wer verstehen möchte, wie weit dieses Muster im gesamten Bildungssektor bereits verbreitet ist: Die hier behandelte Serie von Canvas-bezogenen Datenlecks bietet einen wichtigen Kontext dafür, wie häufig Studierendendaten in großem Umfang ins Visier genommen werden.