Krebszentrum-Hack: Daten von 1,2 Millionen Menschen gestohlen

Ein Ransomware-Angriff auf das Krebsforschungszentrum der Universität von Hawaii hat hochsensible Daten von rund 1,2 Millionen Personen erbeutet. Der Angriff offenbart die gravierenden Risiken alter Datensätze, die noch Sozialversicherungsnummern enthalten.

Die Universität bestätigte jetzt das enorme Ausmaß des bereits im August 2025 entdeckten Cyberangriffs. Betroffen sind vor allem Personen, deren Daten in den 1990er und frühen 2000er Jahren für Forschungszwecke gesammelt wurden. Die Angreifer erbeuteten Sozialversicherungsnummern, Führerscheindetails und private Gesundheitsinformationen. Universitätsvertreter betonen, dass die klinische Patientenversorgung und Studienabläufe nicht beeinträchtigt wurden.

Der massive Datenabfluss in Hawaii verdeutlicht, dass viele Institutionen auf moderne Cyberangriffe nicht ausreichend vorbereitet sind. Dieser Experten-Report enthüllt effektive Strategien, wie Unternehmen ihre IT-Sicherheit ohne Budget-Explosion nachhaltig stärken können. Effektive Strategien gegen Cyberkriminelle entdecken

Angriffsziel: Jahrzehntealte Forschungsdaten

Der Angriff zielte präzise auf Server der epidemiologischen Forschung ab. Das Datenleck betrifft zwei große Gruppen. Die erste umfasst 87.493 Teilnehmer der langjährigen Multiethnic Cohort Study, die 1993 startete.

Die zweite, weit größere Gruppe besteht aus schätzungsweise 1,15 Millionen Menschen. Ihre Daten stammen aus historischen Registersätzen, die zur Rekrutierung von Studienteilnehmern genutzt wurden. Darunter sind Aufzeichnungen des hawaiianischen Verkehrsministeriums um das Jahr 2000 und Wählerverzeichnisse der Stadt Honolulu von 1998. Damals waren Sozialversicherungsnummern noch übliche Hauptidentifikatoren – ein gefundenes Fressen für Cyberkriminelle.

Reaktion: Verhandlungen und Millionen-Benachrichtigungen

Die Universität sah sich gezwungen, mit den Erpressern zu verhandeln. Mithilfe von Cybersicherheitsexperten erhielt man ein Entschlüsselungstool und die Zusicherung, die gestohlenen Daten seien vernichtet. Ob Lösegeld floss, wird nicht offengelegt. Bisher gebe es keine Hinweise auf einen Missbrauch der Informationen.

Die Benachrichtigung der Betroffenen läuft. Die 87.493 Studienteilnehmer erhielten bereits Briefe. Für die übrigen 1,15 Millionen Menschen nutzt die Universität E-Mails und öffentliche Bekanntmachungen. Als Unterstützung bietet sie kostenlose Kreditüberwachung und Identitätsschutz für ein Jahr an und hat ein spezielles Callcenter eingerichtet.

Systemweite Sicherheitsreform als Konsequenz

Der Vorfall hat ein seismisches Umdenken ausgelöst. Universitätspräsidentin Wendy Hensel initiierte eine vollständige Überprüfung der IT-Sicherheit aller zehn Standorte. Zudem wurden ein neuer Sicherheitsrat für Forschungsdaten und eine Taskforce gegründet. Ihre Aufgabe: Richtlinien modernisieren, Verantwortlichkeiten klären und in eine robustere, systemweite Cybersicherheit investieren.

Neben technischen Schutzmaßnahmen spielen auch rechtliche Rahmenbedingungen wie die KI-Regulierung eine immer wichtigere Rolle für die Sicherheit sensibler Daten. Was Geschäftsführer über die Cyber Security 2024 wissen müssen, erklärt dieser kostenlose Leitfaden. Gratis Cyber-Security-Leitfaden für Geschäftsführer herunterladen

Das Problem mit dem digitalen Erbe

Der Fall ist ein Lehrstück für die Gefahren historischer Datensätze. Viele Institutionen hüten Archive, die unter völlig anderen Sicherheitsstandards entstanden. Die enthaltenen Sozialversicherungsnummern bedeuten für die Betroffenen ein lebenslanges Risiko für Identitätsdiebstahl und Betrug.

Warum dauerte die Aufklärung von der Entdeckung im August 2025 bis zur Benachrichtigung im Februar 2026 so lange? Die Universität verweist auf die Komplexität der verschlüsselten Daten und die schiere Masse an Datensätzen, die mühsam analysiert werden mussten.

Die Untersuchungen mit Strafverfolgungsbehörden dauern an. Für die 1,2 Millionen Betroffenen beginnt nun eine phase erhöhter Wachsamkeit. Für die Universität von Hawaii markiert der Mega-Hack eine Zeitenwende, die das Vertrauen in ihren Umgang mit sensiblen Daten neu begründen muss.