Datenleck an der Universität des Saarlandes: 40.000 Accounts abgeflossen
Ende April 2026 gelang es einem deutschsprachigen Hacker mit dem Pseudonym StrikerDE, die Webseite der Universität des Saarlandes in Saarbrücken zu kompromittieren und Daten von über 40.000 Studierenden zu kopieren. Im Mai veröffentlichte er die gestohlenen Daten in einem Forum im Tor-Netzwerk, nachdem Verhandlungen mit der Universitätsleitung laut seinen Angaben gescheitert waren.
Was ist passiert?
Der Angreifer nutzte eine klassische Schwachstelle: eine sogenannte IDOR-Lücke (Insecure Direct Object Reference) im Backend der Universitätswebseite. Das Prinzip dahinter ist simpel, aber folgenreich. StrikerDE hatte als nicht authentifizierter Gast zu weitreichende Zugriffsrechte auf interne Objekte. Er konnte IDs systematisch durchprobieren und kam so an Datensätze, auf die er keinerlei Berechtigung hatte. Nach eigener Aussage überraschte ihn, wie unkompliziert der Angriff verlief.
Betroffen sind 40.362 aktive Accounts. Dazu kommen 1.893 gelöschte und 251 gesperrte Einträge aus der Datenbank. Die abgegriffenen Daten umfassen Namen, Vornamen, E-Mail-Adressen und weitere Profilangaben.
Was enthält der Datensatz konkret?
Die Universität selbst bestätigte den Vorfall in einer Stellungnahme und bezeichnete die abgeflossenen Informationen als „ausschließlich wenig sensible Daten“. Es handle sich um Angaben, die Studierende freiwillig auf einer internen Plattform veröffentlicht hatten. Keine Passwörter, keine finanziellen Daten. Die Aufsichtsbehörde wurde informiert, Anzeige erstattet, betroffene Personen wurden benachrichtigt.
Das stimmt im Grundsatz, die Daten können aber durchaus von Relevanz sein. Namen und E-Mail-Adressen sind das Rohmaterial für Phishing-Kampagnen. Dass viele Studierende glücklicherweise keine E-Mail-Adresse hinterlegt hatten, begrenzt den unmittelbaren Schaden.
Gescheiterter Hackback
Besonders bemerkenswert ist ein Detail am Rande: Ein Mitarbeiter der Uni-IT versuchte offenbar, den Hacker durch das Versenden einer präparierten Word-Datei (sogenannte RATted DOCX) in die Falle zu locken. Diese Methode soll einen Remote Access Trojan (RAT) auf dem System des Empfängers installieren. Der Versuch scheiterte. Danach habe StrikerDE nach eigener Aussage keine weiteren Reaktionen von der Universität erhalten.
StrikerDE ließ verlauten, bereits die „nächste Uni in Bearbeitung“ zu haben. Das ist eine direkte Ansage an andere Hochschulen und sollte dort als Warnsignal verstanden werden.
- Auf unerwartete E-Mails achten, besonders solche, die vorgeben, von der Universität, der IT-Abteilung oder Behörden zu stammen
- Keine Links in verdächtigen E-Mails anklicken und keine Anhänge öffnen, ohne die Quelle zu verifizieren
- Die eigene E-Mail-Adresse auf Plattformen wie Have I Been Pwned (haveibeenpwned.com) prüfen
- Für alle Dienste, bei denen dieselbe E-Mail-Adresse verwendet wird, starke und einzigartige Passwörter setzen
- Zwei-Faktor-Authentifizierung aktivieren, wo immer es möglich ist
