Datenlecks im Bildungs- und Gesundheitswesen: ShinyHunters greift Oracle PeopleSoft an
education healthcare security data-breach shinyhunters cloud
trending_up Trend: education

Datenlecks im Bildungs- und Gesundheitswesen: ShinyHunters greift Oracle PeopleSoft an

calendar_month 14. Juni 2026

Zusammenfassung

Die berüchtigte Cyberkriminellengruppe ShinyHunters hat eine großflächige Erpressungs- und Datendiebstahlskampagne gestartet, die gezielt Oracle PeopleSoft-Umgebungen angreift. Unter Ausnutzung einer kritischen Zero-Day-Schwachstelle (CVE-2026-35273) wurden weltweit bereits über 300 PeopleSoft-Instanzen von mehr als 100 Organisationen kompromittiert. Besonders betroffen sind Einrichtungen aus dem Bildungs- und Gesundheitswesen, bei denen sensible Gehalts-, HR-, Finanz- und Studierendendaten entwendet und teilweise bereits im Darknet veröffentlicht wurden.

Was ist passiert?

  • Zero-Day-Exploit: Die Angreifer nutzen eine kritische Schwachstelle in den PeopleTools von Oracle PeopleSoft (CVE-2026-35273). Diese erlaubt es nicht-authentifizierten Angreifern aus der Ferne, Schadcode auszuführen.
  • Massive Kompromittierung: ShinyHunters gibt an, Zugriff auf über 300 Instanzen bei mehr als 100 betroffenen Organisationen erlangt zu haben.
  • Fokus auf Bildung & Gesundheit: Rund zwei Drittel der betroffenen Organisationen stammen aus dem Bildungssektor (Hochschulen und Universitäten), gefolgt von Gesundheitseinrichtungen.
  • Datenexfiltration: Die Angreifer nutzen automatisierte Skripte, um verwundbare Server zu finden und sensible Daten abzusaugen. Dazu gehören Gehaltsabrechnungen, Personalakten, finanzielle Beihilfen und Studierendendaten.
  • Erste Opfer identifiziert: Unter den Opfern befindet sich unter anderem die University of Nottingham, von der Hunderte Gigabyte an Studierendendaten erbeutet und im Internet geleakt wurden.

Warum es wichtig ist

Der Vorfall verdeutlicht die anhaltend hohe Verwundbarkeit kritischer Infrastrukturen im Bildungs- und Gesundheitswesen. Oracle PeopleSoft ist in vielen großen Organisationen und Universitäten das Herzstück für Verwaltung, Personal und Finanzen. Da diese Systeme oft direkt oder indirekt mit dem Internet verbunden sein müssen, stellt eine Zero-Day-Schwachstelle zur Remotecodeausführung das absolute Worst-Case-Szenario dar. Der Diebstahl von HR- und Finanzdaten ermöglicht zudem Folgeangriffe wie Identitätsdiebstahl und Phishing.

Beweise

  • Sicherheitsanalysen: Detaillierte Bedrohungsberichte von IT-Sicherheitsdienstleistern wie Black Kite und Pathlock belegen die laufende Kampagne.
  • Katalogisierung der Schwachstelle: Die Registrierung von CVE-2026-35273 durch Oracle und Sicherheitsforscher.
  • Leak-Veröffentlichungen: Die Gruppe ShinyHunters hat bereits erste Datensätze betroffener Institutionen auf ihren Darknet-Plattformen hochgeladen.
  • Öffentliche Bestätigungen: Offizielle Stellungnahmen betroffener Einrichtungen wie der University of Nottingham.

Analyse

Die Kampagne von ShinyHunters folgt einem bekannten Muster: Gezieltes Scannen nach weit verbreiteter, aber oft unzureichend geschützter Unternehmenssoftware, gefolgt von der Ausnutzung einer Zero-Day-Schwachstelle zur schnellen Exfiltration großer Datenmengen. Dass der Bildungssektor besonders stark betroffen ist, liegt an der historisch gewachsenen Offenheit von Universitätsnetzwerken und dem oft unzureichenden Budget für spezialisierte Cybersicherheit im Vergleich zum klassischen Finanzsektor. Der Angriff zeigt zudem, wie verwundbar Legacy-Anwendungen wie PeopleTools sind, wenn sie nicht strikt vom öffentlichen Netz isoliert werden.

Praktische Erkenntnisse

Organisationen, die Oracle PeopleSoft einsetzen, sollten unverzüglich folgende Maßnahmen ergreifen:

  1. Sofortiges Patching: Installieren Sie die von Oracle bereitgestellten Out-of-Band-Sicherheitsupdates zur Behebung von CVE-2026-35273.
  2. Log-Auditierung: Überprüfen Sie System- und Netzwerkprotokolle auf Zugriffe von bekannten Angreifer-IPs, insbesondere:
    • 142.11.200.186 bis 142.11.200.190
    • 108.174.202.99
    • 176.120.22.24
  3. IOC-Suche: Suchen Sie auf den Servern nach der typischen Lösegeld-Textdatei README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT.
  4. Zugriffsbeschränkungen: Überprüfen und beschränken Sie den administrativen Zugriff auf Konten wie psoft, oracle und linuxadm. Platzieren Sie PeopleSoft-Server hinter Firewalls oder VPNs.

Offene Fragen

  • Wie viele der 300 kompromittierten Instanzen wurden bereits vollständig bereinigt und abgesichert?
  • Wird Oracle weitere Härtungsmaßnahmen für PeopleTools einführen, um ähnliche Zero-Days zukünftig zu verhindern?
  • Welche rechtlichen und regulatorischen Konsequenzen drohen den betroffenen Bildungseinrichtungen unter DSGVO und anderen Datenschutzgesetzen?

Quellen

  1. Black Kite: ShinyHunters Targets PeopleSoft
  2. Pathlock: Protecting Oracle PeopleSoft Environments
  3. The Hacker News: CVE-2026-35273 Zero-Day in PeopleSoft
  4. IT-Daily: ShinyHunters greift Bildungseinrichtungen an
  5. Cybersecurity Dive: Education Sector Hit by PeopleSoft Leaks