Wie ein Datenleck an Columbia University Unbeteiligte traf

Als ein seltsamer Text seines Vaters im Februar einging, begann für einen Betroffenen eine monatelange Spurensuche. Das Foto eines Briefes von der Columbia University informierte ihn, dass seine Sozialversicherungsnummer (SSN) in einem Datenleck im Juni des Vorjahres kompromittiert worden war. Doch der Empfänger hatte keine Verbindung zu der renommierten Hochschule – ein Schicksal, das er mit Tausenden anderen teilte.

Ein Datendiebstahl mit weitreichenden Folgen

Im Juni 2025 wurde bekannt, dass ein unbekannter Angreifer Zugang zu sensiblen Daten der Columbia University erhalten hatte. Dabei wurden nicht nur Bewerbungs- und Immatrikulationsinformationen von Studierenden und Bewerbern gestohlen, sondern auch persönliche Daten einiger Mitarbeiter. Betroffen waren insgesamt 1,8 Millionen Sozialversicherungsnummern – eine Zahl, die selbst Experten erschrecken ließ.

Die offizielle Mitteilung der Universität richtete sich ausschließlich an die eigene „Community“, also Studierende, Lehrkräfte und Alumni. Öffentliche Berichte konzentrierten sich ebenfalls auf diesen Personenkreis. Doch wie sich zeigte, war die Liste der Geschädigten deutlich länger. Eine Gruppe von Menschen, die nie einen Fuß auf den Campus gesetzt hatten, wurde plötzlich zu unfreiwilligen Opfern.

Warum traf es Unbeteiligte?

Die Frage, wie Unbeteiligte in diesen Datendiebstahl gerieten, wirft wichtige Fragen zur Sicherheit von Datenbanken auf. Die Columbia University hatte zwar betont, dass die gestohlenen Daten aus verschiedenen Verwaltungssystemen stammten, doch die genauen Umstände des Angriffs bleiben unklar. Fest steht: Der Hacker handelte nicht aus finanziellen Motiven, sondern aus ideologischen Gründen. Medienberichte deuteten darauf hin, dass der Angriff mit der Zulassungspolitik der Universität zusammenhing, insbesondere mit der umstrittenen Praxis der „affirmative action“ bei der Studienplatzvergabe.

Doch selbst wenn der Hacker ein klares Ziel verfolgte, traf es zufällig auch Unbeteiligte. Viele der Betroffenen hatten nie Bewerbungsunterlagen an die Columbia geschickt oder waren dort beschäftigt. Dennoch wurden ihre persönlichen Daten – darunter Sozialversicherungsnummern – in den gestohlenen Datensätzen gefunden. Dies wirft grundsätzliche Fragen auf: Wie sicher sind unsere Daten, wenn selbst vermeintlich sichere Systeme wie Universitätsdatenbanken anfällig sind?

Was bedeutet das für die Opfer?

Für die Betroffenen bedeutet ein solcher Vorfall nicht nur Ärger, sondern potenziell lebenslange Konsequenzen. Sozialversicherungsnummern sind ein wertvolles Gut für Identitätsdiebe, die damit Kredite aufnehmen, Steuern hinterziehen oder medizinische Behandlungen in Anspruch nehmen können. Experten raten daher zu sofortigen Schritten:

• Kreditüberwachung einrichten: Kostenlose Dienste wie die Schufa-Alarmierung helfen, verdächtige Aktivitäten früh zu erkennen.
• Sicherheitswarnungen aktivieren: Banken und Kreditkartenanbieter sollten über den Vorfall informiert werden.
• Dokumentation führen: Jede verdächtige Aktivität sollte notiert und Behörden gemeldet werden.

Die Columbia University bot zwar Unterstützung an, doch viele Betroffene fühlten sich im Stich gelassen. Die Kommunikation war oft unklar, und die Frage, wer genau für den Schaden verantwortlich ist, blieb unbeantwortet.

Ein Weckruf für den Datenschutz

Dieser Vorfall zeigt einmal mehr, dass Datensicherheit keine Frage der Zugehörigkeit ist. Selbst wer keine Verbindung zu einer betroffenen Institution hat, kann zum Opfer werden – sei es durch mangelnde Absicherung von Datenbanken oder durch gezielte Angriffe. Universitäten und Unternehmen müssen ihre Sicherheitsstandards überdenken, um solche Vorfälle in Zukunft zu verhindern.

Für die Betroffenen bleibt die Hoffnung, dass solche Angriffe seltener werden. Bis dahin gilt: Wachsamkeit ist der beste Schutz. Wer betroffen ist, sollte nicht zögern, rechtliche Schritte einzuleiten oder sich an Verbraucherschutzorganisationen zu wenden.