Princeton: Datendiebstahl nach Phishing-Angriff löst Klagewelle aus

Ein Vishing-Angriff auf Princeton führte zur Kompromittierung sensibler Spenderdaten und löste mehrere Sammelklagen wegen unzureichender Cybersicherheitsmaßnahmen aus.

Börse Express

28.11.2025, 05:13 Uhr

Beitragsbild zu Princeton: Datendiebstahl nach Phishing-Angriff löst Klagewelle aus

Die Elite-Universität Princeton steht nach einem massiven Datenleck unter Beschuss. Anfang November gelang es Cyberkriminellen, sensible Informationen von Studierenden, Alumni und Spendern zu erbeuten – durch einen simplen Anruf. Nun hagelt es Sammelklagen.

Was auf den ersten Blick nach technischem Versagen aussieht, entpuppt sich als klassischer Fall von Social Engineering. Die Angreifer nutzten nicht etwa Sicherheitslücken in der Software, sondern die Gutgläubigkeit eines Mitarbeiters. Die Folgen könnten die Ivy-League-Universität teuer zu stehen kommen.

Der Trick mit dem falschen IT-Support

Am 10. November 2025 klingelte bei einem Princeton-Mitarbeiter das Handy. Am anderen Ende: vermeintliche Kollegen aus der IT-Abteilung. Was folgte, war ein lehrbuchmäßiger "Vishing"-Angriff – eine Kombination aus Voice und Phishing.

Telefon-Phishing wie in diesem Fall zeigt, wie schnell Angreifer über einen einfachen Anruf Zugang zu sensiblen Systemen erlangen können. Das kostenlose Anti-Phishing-Paket liefert eine praxisnahe 4‑Schritte-Anleitung, erklärt die psychologischen Tricks hinter Vishing und bietet Checklisten für Schulungen sowie Maßnahmen zur CEO‑Fraud-Prävention. Ideal für IT-Verantwortliche und HR-Teams, die Mitarbeiter nachhaltig stärken wollen. Anti-Phishing-Paket jetzt herunterladen

Die Betrüger gaben sich als technischer Support aus und brachten den Angestellten dazu, seine Login-Daten preiszugeben. Noch fataler: Das Opfer bestätigte auch die Zwei-Faktor-Authentifizierung über die Duo-App. Damit stand den Eindringlingen die Tür zur Advancement-Datenbank weit offen – ein System, das biografische Daten und Spendenhistorien tausender Universitätsangehöriger enthält.

Immerhin: Nach eigenen Angaben entdeckte Princeton den unbefugten Zugriff binnen 24 Stunden und kappte die Verbindung. Ein Übergreifen auf andere kritische Systeme konnte verhindert werden.

Was die Hacker erbeutet haben

Die kompromittierte Datenbank enthielt Namen, E-Mail-Adressen, Telefonnummern sowie Privat- und Geschäftsadressen. Besonders brisant: detaillierte Aufzeichnungen über Spendentätigkeiten und Fundraising-Aktivitäten wohlhabender Förderer.

Princeton betont zwar, dass keine Passwörter, Sozialversicherungsnummern, Kreditkartendaten oder Bankinformationen betroffen seien. Doch gerade die Kombination aus persönlichen Details und Vermögensprofilen bereitet Datenschützern Sorgen.

"Wir wissen derzeit nicht genau, welche Informationen eingesehen oder extrahiert wurden", räumten IT-Chef Daren Hubbard und Vizepräsident Kevin Heaney ein. Eine forensische Untersuchung mit externen Experten und Strafverfolgungsbehörden läuft noch.

Drei Klagen in einer Woche

Die juristische Aufarbeitung ließ nicht lange auf sich warten. Bereits am 18. November reichten die Kläger Henggao Cai und David Ramirez getrennte Sammelklagen beim US-Bezirksgericht in New Jersey ein. Eine dritte Klage folgte am 24. November durch Gary Penna, einen Alumni aus Massachusetts.

Der Vorwurf wiegt schwer: Princeton habe es versäumt, angemessene Cybersicherheitsmaßnahmen zu implementieren. Die Mitarbeiter seien unzureichend im Erkennen von Social-Engineering-Taktiken geschult worden. Pennas Anwälte werfen der Universität zudem vor, Daten "unverschlüsselt und identifizierbar" gespeichert und nicht mehr benötigte Informationen nicht gelöscht zu haben.

Die Kläger fordern Schadenersatz für das erhöhte Risiko von Identitätsdiebstahl und den möglichen Missbrauch ihrer privaten Finanzprofile. Princeton hingegen zeigt sich kämpferisch: "Wir halten diese Klagen für unbegründet und werden sie energisch anfechten", erklärte Pressesprecherin Jennifer Morrill.

Universitäten im Visier

Princeton steht mit dem Problem nicht allein da. Bereits im Oktober traf es die University of Pennsylvania, wo Hacker interne Dateien und Spenderdaten erbeuteten. Columbia meldete im Sommer einen Vorfall mit gestohlenen Sozialversicherungsnummern.

Was macht Hochschulen so verletzlich? Cybersicherheitsexperten nennen mehrere Faktoren: riesige Datenmengen von geistigem Eigentum bis zu Finanzdaten vermögender Spendernetzwerke, gepaart mit dezentralen IT-Strukturen, die sich nur schwer absichern lassen.

"Universitäten sind praktisch kleine Städte mit offenen Netzwerken", analysierte ein Sicherheitsexperte nach dem UPenn-Vorfall. "Der Trend zu gezieltem Telefon-Phishing zeigt: Angreifer umgehen Firewalls, indem sie den Menschen hacken – die am schwersten zu patchende Schwachstelle."

Wachsam bleiben

Princeton warnt seine Community eindringlich vor Folgeangriffen, die auf den gestohlenen Daten aufbauen könnten. Die Täter sind noch nicht identifiziert, bislang hat sich keine Gruppe zu dem Angriff bekannt.

Die Gerichtsverfahren dürften sich über Monate hinziehen, möglicherweise werden sie zu einer einzigen Sammelklage konsolidiert. Eines steht fest: Selbst Institutionen mit enormen Ressourcen sind nur so sicher wie ihr schwächstes Glied – der Mensch am Telefon.

PS: Sie möchten verhindern, dass ein einziger Anruf Ihre Datenbank kompromittiert? Der Gratis-Report zeigt praxisnahe Maßnahmen zur Erkennung von Vishing-Angriffen, effektive Schulungsansätze für Mitarbeiter und technische Kontrollen, die echte Lücken schließen. Der Leitfaden ist kostenlos und wird per E‑Mail geliefert – ideal für Führungskräfte und IT-Teams, die Angriffe früh erkennen wollen. Kostenlosen Anti-Phishing-Report anfordern

Verwandte Artikel

DroneShield Aktie: Massiver Vertrauensbruch!

MyDigital ID: Malaysia startet heute landesweiten Kampf gegen Telefon-Betrug

Solana: Upbit-Hack überstanden?

DroneShield Aktie: Massenpanik!

Solana: Großer Hack – größerer Gegenschlag