Oxfords zweiter Datenverstoß 2025: Karriereplattform betroffen

Oxfords zweiter Datenverstoß 2025: Karriereplattform betroffen

Die University of Oxford hat ihren zweiten Vorfall mit der Offenlegung von Zugangsdaten im Jahr 2025 bekannt gegeben, nachdem Angreifer eine von der Hochschule und anderen britischen Universitäten genutzte Karriereplattform eines Drittanbieters kompromittiert hatten. Durch den Vorfall wurden Anmeldedaten offengelegt, was ernste Bedenken aufwirft, wie externe Anbieter Sicherheitslücken schaffen, die selbst renommierte Einrichtungen nur schwer kontrollieren können.

Die Tatsache, dass dies bereits die zweite Meldung eines Datenverstoßes innerhalb weniger Monate ist, deutet auf ein größeres Muster hin: Hochschulen sind hochwertige Ziele, und die von Angreifern genutzten Wege führen zunehmend über die Dienstleister, denen die Einrichtungen vertrauen, um Studierenden und Mitarbeitenden wichtige Dienste bereitzustellen.

Was geschah: Erläuterung zum Vorfall auf der Karriereplattform der Oxford

Der Angriff zielte nicht direkt auf die zentrale IT-Infrastruktur der Oxford ab. Stattdessen kompromittierten die Bedrohungsakteure eine Karriereplattform eines Drittanbieters – einen Dienst, der Studierende mit Arbeitgebern, Praktikumsangeboten und Angeboten zur beruflichen Entwicklung vernetzt. Da die Plattform von mehreren britischen Universitäten gemeinsam genutzt wurde, war der betroffene Radius weit über Oxford hinaus ausgedehnt.

Was wurde offengelegt? Anmeldedaten, also die Benutzernamen und Passwörter, mit denen sich Studierende und Mitarbeitende auf der Plattform angemeldet haben. Sind diese Daten einmal gestohlen, können Angreifer versuchen, sie auch bei anderen Diensten einzusetzen – insbesondere dann, wenn Nutzer ihre Passwörter mehrfach verwendet haben. Diese als Credential Stuffing bekannte Methode gehört zu den häufigsten Folgebdrohungen nach einem Diebstahl von Anmeldedaten.

Es ist bereits das zweite Mal im Jahr 2025, dass Oxford die Nutzer über einen Datenverstoß informieren muss, und unterstreicht, dass keine Einrichtung – unabhängig von ihrem akademischen Ruf – vor den kaskadierenden Risiken durch die Abhängigkeit von Drittanbieter-Software gefeit ist.

Warum Drittanbieter das schwächste Glied in der Hochschul-IT-Sicherheit sind

Hochschulen sind auf ein weit verzweigtes Ökosystem externer Plattformen angewiesen: Lernmanagementsysteme, Karriereportale, Bibliotheksdatenbanken, Zahlungsdienstleister und Apps für das studentische Wohlbefinden. Jeder dieser Anbieter stellt einen potenziellen Einstiegspunkt für Angreifer dar, und Hochschulen haben nur selten vollständigen Einblick, wie ihre Partner die Daten schützen.

Dabei handelt es sich nicht nur um ein technisches, sondern um ein strukturelles Problem. Eine Hochschule kann massiv in den Schutz ihres eigenen Netzwerks investieren, während ein Dienstleister, der sensible Anmeldedaten verarbeitet, mit schwächeren Sicherheitsvorkehrungen arbeitet. Das Ergebnis ist eine Kette, die an ihrem schwächsten Glied reißt.

Dieses Muster zeigt sich branchenübergreifend. Ein Datenleck bei einem Abrechnungsdienstleister, das deutsche Universitätskliniken betrifft zeigte, wie Drittunternehmen, die Daten im Auftrag von Einrichtungen verarbeiten, Zehntausende von Datensätzen offenlegen können, ohne dass die eigentliche Einrichtung direkten Einfluss auf den Vorfall hat. Ebenso legte ein Datenleck bei einem französischen Healthcare-Softwareanbieter 15,8 Millionen medizinische Datensätze offen – über einen vom Gesundheitsministerium des Landes genutzten Dienstleister. Der Fall in Oxford folgt derselben strukturellen Logik: Die Einrichtung ist den betroffenen Nutzern gegenüber rechenschaftspflichtig, doch die Schwachstelle entstand außerhalb ihrer eigenen Mauern.

Für Hochschulen wird die Herausforderung durch die schiere Anzahl und Fluktuation der Nutzer noch verschärft. Jedes Jahr schreiben sich Tausende neue Studierende ein, legen Konten bei Dutzenden von Plattformen an und erhalten nur selten einheitliche Hinweise zu sicheren Passwortpraktiken.

Wie ungesichertes Campus-WLAN das Risiko von Zugangsdatendiebstahl erhöht

Ein oft übersehener Aspekt der Offenlegung von Zugangsdaten an Hochschulen ist die Netzwerkumgebung, in der Studierende auf diese Plattformen zugreifen. Campus-WLANs und öffentliche Hotspots in der Nähe von Universitätsgebäuden sind häufig offen oder nur minimal gesichert. Wenn Studierende sich über solche Verbindungen in Karriereportale, Lernmanagementsysteme oder ihre Hochschul-E-Mails einloggen, können ihre Anmeldedaten abgefangen werden, falls das Netzwerk von einem böswilligen Akteur überwacht wird.

Das ist kein hypothetisches Risiko. Hochschulumgebungen sind dicht besiedelt mit technisch versierten Personen, und offene Netzwerke bieten einfache Gelegenheiten für das Sammeln von Zugangsdaten durch Techniken wie Man-in-the-Middle-Angriffe.

Dieses Risiko ist nach einem Datenschutzvorfall besonders relevant. Wenn Anmeldedaten bereits offengelegt wurden, können Angreifer, die sie erlangt haben, verwandte institutionelle Konten auskundschaften. Nutzer, die sich in der Zeit nach dem Vorfall über ungesicherte Netzwerke anmelden, sind besonders gefährdet, dass dabei weitere Sitzungsdaten abgegriffen werden.

Dieses Zusammenspiel zeigte sich in einem viel beachteten akademischen Fall, als ShinyHunters die Canvas-Plattform der University of Pennsylvania ins Visier nahmen und damit über 300.000 Nutzer gefährdeten. Akademische Plattformen sind keine zufälligen Ziele; sie werden aktiv verfolgt, weil sie umfangreiche Daten zu großen Nutzergruppen enthalten, die häufig ihre Zugangsdaten wiederverwenden.

Was Studierende und Mitarbeitende jetzt tun sollten, um ihre Konten zu schützen

Wenn Sie Studierende oder Beschäftigte an der Oxford oder einer anderen britischen Hochschule sind, die die betroffene Karriereplattform genutzt hat, sollten Sie sofort folgende Schritte unternehmen.

Ändern Sie umgehend Ihr Passwort auf der betroffenen Plattform. Warten Sie nicht auf eine offizielle Aufforderung, wenn Sie bereits über den Vorfall informiert wurden. Ändern Sie es jetzt.

Prüfen Sie, ob Sie dasselbe Passwort mehrfach verwenden. Wenn Sie das gleiche Passwort auch für Ihre Hochschul-E-Mail, den institutionellen Login oder andere Dienste genutzt haben, ändern Sie diese Passwörter ebenfalls. Credential-Stuffing-Angriffe sind gerade deshalb erfolgreich, weil Menschen Passwörter auf mehreren Plattformen wiederverwenden.

Aktivieren Sie, wo immer möglich, die Multi-Faktor-Authentifizierung. Selbst wenn Ihre Anmeldedaten gestohlen wurden, schafft MFA eine zweite Hürde, die Angreifer daran hindert, sich einfach mit der gestohlenen Kombination aus Benutzername und Passwort anzumelden.

Nutzen Sie auf dem Campus und in öffentlichen Netzwerken ein VPN. Ein Virtual Private Network verschlüsselt Ihren Internetverkehr und verhindert, dass Anmelde- und Sitzungsdaten in offenen oder schlecht gesicherten WLANs abgefangen werden. Das ist besonders wichtig, wenn Sie von Cafés, Bibliotheken, studentischen Gemeinschaftsunterkünften oder nicht vollständig gesicherten Campusnetzen aus auf hochschulinterne Plattformen zugreifen.

Überwachen Sie Ihre Konten auf ungewöhnliche Aktivitäten. Achten Sie nach einem möglichen Zugangsdatendiebstahl auf unerwartete Anmeldebenachrichtigungen, von Ihnen nicht angeforderte E-Mails zum Zurücksetzen des Passworts oder Ihnen unbekannte Aktivitäten in Konten, die mit Ihrer Hochschul-E-Mail-Adresse verknüpft sind.

Oxfords zweiter Datenverstoß im Jahr 2025 ist eine Mahnung, dass die Offenlegung von Zugangsdaten an Hochschulen kein Einzelfall ist. Es handelt sich um ein wiederkehrendes Risiko, das durch strukturelle Abhängigkeiten von Drittanbietern bedingt und durch die offenen Netzwerkumgebungen, in denen sich Studierende täglich bewegen, noch verschärft wird. Die eigene Kontrolle über Zugangsdaten und Netzsicherheit zu übernehmen, ist die unmittelbarste Reaktion, die den betroffenen Nutzern jetzt zur Verfügung steht.