CampusNet Hack 2026: Datenleck betrifft 1,1 Mio. Studierende

Im ersten Quartal des Jahres 2026 sah sich der europäische Hochschulsektor mit einer der gravierendsten informationstechnischen Krisen der jüngeren Geschichte konfrontiert. Am 20. März 2026 deckte der Chaos Computer Club (CCC) eine fundamentale Sicherheitslücke im weit verbreiteten Campus-Management-System „CampusNet“ auf, welches von der Datenlotsen Informationssysteme GmbH entwickelt wird.

Auf einen Blick: Das CampusNet-Datenleck

Betroffen: ca. 1,1 Millionen Studierende.
Ausmaß: 22 Universitäten und Hochschulen.
Ursache: API-Lücke, fehlerhafte Wildcard-Suche.
Historie: Vorheriger Ransomware-Hack beim Hersteller.

Durch diese Schwachstelle wurden die hochsensiblen Adress- und Personendaten von rund 1,1 Millionen Studierenden an insgesamt 22 Universitäten und Hochschulen über das offene Internet exponiert. Die Brisanz dieses Vorfalls ergibt sich nicht isoliert aus der technischen Fehlkonfiguration einer einzelnen Suchmaske, sondern aus der Kombination mehrerer katastrophaler Faktoren, die ein systemisches Versagen der IT-Sicherheitsarchitektur im Bildungsbereich offenbaren.

Architektonische Schwachstellen: Die Anatomie des Lecks

Die technische Analyse der CampusNet-Schwachstelle führt tief in die Paradigmen der Softwarearchitektur. Das System, welches an vielen Hochschulen als zentrales Nervensystem für die Verwaltung von Studierendendaten dient (beispielsweise an der Universität Hamburg als STiNE bekannt), wies eine fatale Designentscheidung in seiner Personenverzeichnissuche auf.

Der Angriffsvektor konzentrierte sich auf eine öffentlich erreichbare Suchfunktion. Das zugrundeliegende Problem bestand in der vollkommen unzureichenden serverseitigen Validierung und Autorisierung der Eingabeparameter. Das System gestattete sogenannte Wildcard-Abfragen (z.B. mittels `*` oder `%`), was sich ohne strenge Eingabefilterung in ein mächtiges, unkontrolliertes Werkzeug zur Datenbank-Enumeration verwandelte.

Broken Object Level Authorization (BOLA): Das Web-Formular erlaubte die gezielte Suche nach nicht-öffentlichen Attributen wie Postleitzahl, Straße und Hausnummer. Die Entwickler haben das Datenbankschema nahezu ungefiltert über eine API an das Frontend durchgereicht – die Applikation vertraute dem Client blind.

Der Angriffsvektor: Schnittmengenbildung

Um den gesamten Bestand von 1,1 Millionen Profilen zu extrahieren, nutzten Sicherheitsforscher die Intersection Attack (Schnittmengenangriff). Durch automatisierte Skripte, die tausende hochspezifischer Such-Kombinationen pro Minute generierten (z. B. PLZ=10115 AND Name=A*), ließ sich die Datenbank iterativ abfragen, bis jeder Datensatz isoliert extrahiert war. Möglich war dies durch das absolute Fehlen von Ratenlimitierung (Rate Limiting) oder Mechanismen zur Erkennung anomaler Abfragemuster.

Chronologie der Entdeckung und Coordinated-Disclosure

Die Aufarbeitung folgte den strikten Protokollen des Chaos Computer Clubs. Unabhängige Sicherheitsforscher traten an den CCC heran, der ein Coordinated-Disclosure-Verfahren initiierte, um den betroffenen Institutionen eine angemessene Frist zur Behebung zu geben.

Gemäß Aufzeichnungen schlossen mindestens zehn Einrichtungen die Lücke noch am selben Tag, weitere kurz darauf. Einige Hochschulen, wie die Hochschule Ruhr West (HRW), zeichneten sich durch vorbildliche und transparente Krisenkommunikation aus, während die Universität Hamburg im Februar 2026 eine „vorsorgliche Notfallwartung“ an ihrem STiNE-System durchführte.

Strukturelle Durchdringung: Monokultur als Risiko

Wenn dutzende Universitäten auf dieselbe proprietäre Softwarearchitektur vertrauen, mutiert eine isolierte Schwachstelle zum systemischen Risiko (Supply Chain Risk). Hier ein Auszug der betroffenen Institutionen:

Kategorie	Beispiele betroffener Einrichtungen
Universitäten & TU	TU Darmstadt, TU Dresden, Uni Bremen, Uni Hamburg, Uni Leipzig, Uni Mainz, Uni Paderborn
Fachhochschulen	Hochschule Osnabrück, HRW, HS Neubrandenburg, HNE Eberswalde
Private / Spezifische	Constructor University, EBS, Kalaidos, Merz Akademie, NDU, THH Friedensau, UE
Behörden / Sonderformate	Akademie der Polizei Hamburg, HCU Hamburg, HFK Bremen, zfh

Lass nicht zu, dass deine gestohlenen Universitätsdaten langfristig im Umlauf bleiben. Jetzt automatische Datenbroker-Löschung starten!

Historische Kompromittierung: Der INC_RANSOM-Vorfall

Die tatsächliche Bedrohungslage offenbart sich erst, wenn man die jüngere Historie des Herstellers betrachtet. Am 19. November 2025 wurde die Datenlotsen Informationssysteme GmbH von der Ransomware-Gruppe INC_RANSOM kompromittiert. Diese Gruppen operieren mit "Double Extortion" (doppelter Erpressung), wobei sie Wochen in Netzwerken verbleiben (Dwell Time), um Daten abzuziehen, bevor sie Systeme verschlüsseln.

Security Alert / Real Talk

Wenn professionelle Ransomware-Akteure den Hersteller kompromittiert haben, ist die offene API vom März 2026 vielleicht nur die Spitze des Eisbergs. Angreifer nutzen erbeutete Quellcodes und administrative Zugangsdaten häufig, um sich Zugriff auf die Datenbanken der Endkunden – in diesem Fall die 22 Universitäten – zu verschaffen.

Expositionsanalyse: E-Mail-Adressen und Identitätsdaten

Zwar wurden beim aktuellen Vorfall durch den CCC lediglich Daten im Sinne eines ethischen "Proof of Concept" rekonstruiert, doch existiert die Lücke potenziell seit Jahren. In universitären Systemen ist die akademische E-Mail-Adresse der primäre Identifikator (Primary Key). Ein kompletter Personenverzeichniseintrag beinhaltet Vorname, Nachname, Matrikelnummer und eben diese E-Mail-Adresse.

Ist Ihre Uni-E-Mail im Darknet?

Mit dem automatischen Darknet-Radar werden Sie sofort alarmiert, wenn Ihre Zugangsdaten in Leak-Datenbanken oder Untergrundforen auftauchen.

Jetzt Darknet-Radar aktivieren

Operative Nutzung gestohlener Bildungsdaten

Universitäre .edu- oder Hochschul-E-Mail-Adressen genießen einen inhärenten Vertrauensvorschuss und sind auf Darknet-Märkten im Jahr 2026 stark gefragt. Cyberkriminelle nutzen diese für verschiedene Zwecke:

Spear-Phishing: E-Mails, die scheinbar von der vertrauten Uni-Domäne kommen, senken das Misstrauen. So werden Trojaner und Malware effektiv in Netzwerke eingeschleust.
Spionage (APTs): Staatlich gesponserte Hackergruppen nutzen die Adressdaten von Forschern und akademischem Personal, um diese gezielt zu profilieren und Zugriff auf klassifizierte Forschung zu erlangen.
Credential Stuffing & Betrug: Gestohlene E-Mails werden automatisiert gegen andere Plattformen getestet, um Identitäten zu übernehmen oder unrechtmäßig Studentenrabatte zu erschleichen.

Wurden meine Daten definitiv gestohlen?

Der CCC hat die Daten nur zu Forschungszwecken abgerufen und nicht veröffentlicht. Es gibt jedoch keine Garantie, dass böswillige Akteure diese Schwachstelle nicht schon zuvor heimlich ausgenutzt haben, insbesondere im Kontext des früheren Ransomware-Angriffs auf den Hersteller.

Was sollte ich als betroffener Studierender tun?

Ändern Sie sicherheitshalber das Passwort Ihres Hochschul-Accounts und seien Sie in Zukunft besonders wachsam bei E-Mails, die vorgeben, von Ihrer Universität zu stammen. Aktivieren Sie, wo möglich, die Zwei-Faktor-Authentifizierung.

Machen Sie sich unsichtbar.

Verhindern Sie, dass Ihre durch Datenlecks exponierten Informationen ein Leben lang von Datenbrokern gehandelt werden. Starten Sie jetzt Ihre Bereinigung.

Direkt starten Bereits geschützt? Login

SSL-verschlüsselt & DSGVO-konform