Ein neues Datenleck wird dieses Mal vom Ministerium für Hochschulbildung und Forschung bekannt gegeben. Es handelt sich um die Parcoursup-Plattform und betrifft etwa 705.000 ehemalige Bewerber. Ein Sicherheitsvorfall, der nicht von heute stammt.

Welche Daten sind kompromittiert?

Die herausgefilterten Daten werden mit Kandidaten aus den Sitzungen 2023 und 2025 verknüpft aus Parcoursup, wohnhaft in Okzitanien oder dort Wünsche geäußert haben.

Dazu gehören Identitätselemente wie Name, Vorname, Geburtsdatum und Staatsangehörigkeit, aber auch Kontaktdaten wie Postanschrift, E-Mail-Adresse und Telefonnummer.

Über diese Informationen hinaus könnten Daten zu Bildung, Stipendienstatus und Ausbildungsweg kompromittiert worden sein. Bei Bewerbern, die zum Zeitpunkt des Vorfalls minderjährig waren, sind die Verwandtschaftsverhältnisse und die sozio-professionelle Kategorie der Erziehungsberechtigten zu ergänzen.

Fast sechs Monate zwischen Einbruch und Entdeckung

Laut Pressemitteilung des Ministeriums liegt der Ursprung des Fehlers in einem betrügerischen Diebstahl des Kontos eines Parcoursup-Datenverwaltungsmoduls.

Dieses Konto, das normalerweise den Mitarbeitern der akademischen Region Okzitanien vorbehalten ist, wurde kompromittiert. Den Angreifern war es somit möglich, legitime Identifikatoren für die Ausschleusung personenbezogener Daten zu nutzen.

Der besorgniserregendste Punkt bleibt die Erkennungszeit. Der Einbruch fand im Oktober 2025 statt, wurde den Teams des Ministeriums jedoch erst im März 2026 gemeldet. Genug, um vor der späten Alarmierung gestohlene Daten auszunutzen.

Das übliche Verfahren wurde eingeleitet

Das Ministerium für Hochschulbildung und Forschung hat die Nationale Kommission für Informationstechnologie und Freiheiten (Cnil) wie gesetzlich vorgeschrieben benachrichtigt. Auch bei der Pariser Staatsanwaltschaft wurde Anzeige erstattet.

Die technischen Teams wurden sofort mobilisiert, um verstärkte Sicherheitsmaßnahmen umzusetzen: Anonymisierung des betroffenen Verwaltungsmoduls für alle Sitzungen, einschließlich der Sitzung 2026, Überarbeitung der Kennungen und Passwörter sowie Verschärfung der Zugangsbedingungen.

Alle betroffenen Personen müssen informiert worden sein und es besteht weiterhin Wachsamkeit gegenüber Phishing-Versuchen.