Harvard: Hacker-Angriff auf Alumni-Datenbank

Harvard University ist das jüngste Opfer einer gezielten Cyber-Spionage-Kampagne. Die Elite-Universität bestätigte am Freitag einen Phone-Phishing-Angriff, der zu einem Einbruch in ihre Alumni- und Spenden-Datenbanken führte. Der Vorfall ist bereits der dritte schwere Sicherheitsvorfall an einer Ivy-League-Universität binnen eines Monats – nach ähnlichen Attacken auf Princeton und die University of Pennsylvania.

Die Angriffswelle wirft eine unbequeme Frage auf: Werden Amerikas prestigeträchtigste Bildungseinrichtungen systematisch ausgespäht? Und wenn ja, wer hat es auf die wertvollen Daten ihrer vermögenden Förderer abgesehen?

Harvard-Vertreter räumten die Sicherheitsverletzung in einer am Freitag veröffentlichten und am Samstag aktualisierten Stellungnahme ein. Demnach verschaffte sich eine unbefugte Partei Zugang zu Systemen der Harvard Alumni Affairs und der Entwicklungsabteilung. Die Täter nutzten dabei „Vishing” – eine Kombination aus Voice und Phishing.

Der Einbruch ereignete sich am Dienstag, den 18. November. Die Angreifer gaben sich per Telefon als vertrauenswürdige Person aus und überredeten einen Universitätsmitarbeiter, ihnen Zugang zu den geschützten Datenbanken zu gewähren. Eine Attacke, die auf psychologischer Manipulation statt technischer Raffinesse basiert.

Passend zum Thema Vishing: Telefonische Social‑Engineering-Angriffe wie im Harvard-Fall sind derzeit besonders gefährlich, weil sie automatisierte Filter aushebeln und direkt Menschen manipulieren. Das kostenlose Anti‑Phishing‑Paket erklärt in klaren Schritten, wie Sie CEO‑Fraud, Whaling und Voice‑Phishing erkennen, Helpdesk‑Prozesse härten und Mitarbeiterschulungen effektiv gestalten. Mit Checklisten, Fallbeispielen und Vorlagen für interne Warnmeldungen — ideal für IT‑Verantwortliche und Entscheider. Jetzt Anti‑Phishing‑Paket sichern

„Wir haben sofort gehandelt, um den Zugang der Angreifer zu unseren Systemen zu sperren”, erklärte Tim Bailey, Kommunikationsdirektor der Harvard-IT-Abteilung. Die Universität arbeite nun mit externen Cybersicherheitsexperten und Strafverfolgungsbehörden zusammen.

Was wurde gestohlen?

Die vorläufige Analyse zeigt: Die kompromittierten Daten umfassen persönliche Kontaktinformationen, Spendenhistorien und Engagement-Profile von Alumni, Förderern und einigen Fakultätsmitgliedern. Ob Sozialversicherungsnummern oder Bankdaten betroffen sind, bleibt unklar. Bei vergleichbaren Angriffen auf andere Universitäten konzentrierten sich die Täter allerdings primär auf biografische Informationen statt Finanzdaten.

Das klingt zunächst harmlos. Doch diese Datenbanken sind weit mehr als administrative Verzeichnisse – sie sind Schatzkarten zur Elite Amerikas. Spenderlisten enthalten detaillierte Profile von Milliardären, Konzernlenkern und Regierungsvertretern. Für künftige Phishing-Kampagnen, Identitätsdiebstahl oder Wirtschaftsspionage sind solche Informationen Gold wert.

Muster einer konzertierten Kampagne

Der Harvard-Vorfall fügt sich in ein beunruhigendes Schema. Bereits am 10. November meldete Princeton University einen nahezu identischen Einbruch. Auch dort nutzen Angreifer Phone-Phishing, um an die Zugangsdaten eines Mitarbeiters zu gelangen. Sie verschafften sich Zugang zu einer „Advancement”-Datenbank mit Millionen von Alumni- und Spender-Einträgen. Princeton gelang es zwar, die Eindringlinge binnen 24 Stunden zu vertreiben – doch Namen, Adressen und Spendenverläufe waren bereits abgegriffen.

Am 31. Oktober entdeckte die University of Pennsylvania eine Sicherheitsverletzung ihrer Entwicklungs- und Alumni-Systeme. Die Täter hatten sich über kompromittierte Zugangsdaten Zugang zur Salesforce-Umgebung der Universität verschafft. Dreist versandten die Hacker anschließend eine Massen-E-Mail, in der sie die Universitätsgemeinschaft über ihre schwache Sicherheitsarchitektur verspotteten. Ihr Beutezug: angeblich über 1,2 Millionen Datensätze.

Sicherheitsanalysten vermuten, dass hinter diesen Vorfällen ein einzelner hochspezialisierter Akteur oder eine koordinierte Gruppe steckt. Ihre Spezialität: „Whaling” – das gezielte Jagen vermögender Zielpersonen.

Warum „Vishing” so gefährlich ist

Die gewählte Angriffsmethode – Voice-Phishing – markiert einen taktischen Wandel, der herkömmliche Cybersicherheitsmaßnahmen aushebelt. Anders als E-Mail-Phishing lässt sich Vishing kaum durch automatisierte Filter abfangen. Es setzt auf die Manipulation von Menschen.

Die Täter betreiben zunächst akribische Aufklärung: Sie identifizieren Helpdesk-Protokolle, Mitarbeiterhierarchien und interne Abläufe. Dann rufen sie IT-Support oder Verwaltungsmitarbeiter an und geben sich als gestresster Professor oder hochrangiger Manager aus, der angeblich keinen Zugang mehr zu seinem Konto hat. Mit dringlichem Ton – manchmal sogar KI-modulierten Stimmen zur Imitation konkreter Zielpersonen – überreden sie Mitarbeiter, Passwörter zurückzusetzen oder Zwei-Faktor-Authentifizierungen zu genehmigen.

„Universitäten sind per Design offene Umgebungen, was sie für Social Engineering besonders anfällig macht”, erklärt ein Cybersicherheitsanalyst, der den Bildungssektor beobachtet. Die Kombination aus einer Kultur der Hilfsbereitschaft mit dem immensen Wert der Spenderdatenbanken schaffe einen „perfekten Sturm” für derartige Einbrüche.

Konsequenzen und Gegenmaßnahmen

Die betroffenen Universitäten stehen vor der mühsamen Aufgabe, Millionen potenziell betroffener Alumni und Spender zu benachrichtigen. Regulatorische Prüfungen dürften sich verschärfen, da solche Vorfälle Meldepflichten nach verschiedenen US-Datenschutzgesetzen auslösen können.

Als Reaktion auf den UPenn-Vorfall kündigte die Universität diese Woche verpflichtende IT-Sicherheitsschulungen für alle Fakultäts- und Verwaltungsmitarbeiter an. Harvard und andere Institutionen werden vermutlich nachziehen.

Die Angriffswelle offenbart eine kritische Lücke in aktuellen Identitäts- und Zugriffsmanagement-Strategien. Zwar haben die meisten Universitäten Mehr-Faktor-Authentifizierung implementiert – doch die Angreifer umgehen diese Kontrollen, indem sie menschliche Schwachstellen ausnutzen oder „MFA-Fatigue”-Attacken fahren: Sie bombardieren Nutzer mit Freigabeanfragen, bis eine aus Versehen akzeptiert wird.

Was kommt als Nächstes?

Sicherheitsexperten prognostizieren eine schnelle Überarbeitung der Verifizierungsprotokolle an Universitäts-Helpdesks. „Die Ära des telefonischen Passwort-Resets auf Basis simpler Sicherheitsfragen geht zu Ende”, sagt ein Branchenbeobachter. Er erwartet, dass Universitäten auf FIDO2-kompatible Hardware-Schlüssel und strenge Video-Verifizierungsprotokolle für jegliche Kontowiederherstellungen umsteigen werden.

Für die Harvard-Community – und das breitere Netzwerk der Ivy-League-Alumni – gilt derweil erhöhte Wachsamkeit. Besonders vor unaufgeforderten Anrufen oder E-Mails, die zu dringenden Aktionen oder zur Preisgabe finanzieller Informationen auffordern, wird gewarnt.

Die Ermittlungen laufen. Doch eine Erkenntnis steht bereits jetzt fest: Selbst die renommiertesten Institutionen der Welt sind vor raffinierten Angreifern nicht sicher – erst recht nicht, wenn das schwächste Glied der Sicherheitskette der Mensch selbst ist.

PS: Sie möchten verhindern, dass ein einziger Telefonanruf Ihre Spenderdaten gefährdet? Das kostenlose Anti‑Phishing‑Paket liefert praxisnahe Maßnahmen für IT‑Teams und Helpdesks: Vorlagen für interne Warnungen, Checklisten zur Anruferverifikation, Schulungsbausteine und konkrete Abläufe zur Eindämmung von CEO‑Fraud. Anhand realer Fallbeispiele erfahren Sie, wie Sie Whaling-Angriffe erkennen und Politiker- oder Fördererprofile schützen. Gratis‑Anti‑Phishing‑Guide herunterladen