Hackerangriff auf französisches Bildungsministerium: Daten von 243.000 Beschäftigten über HR-Software geleakt

In Frankreich sind die persönlichen Daten von rund 243.000 Beschäftigten des staatlichen Bildungswesens kompromittiert worden – überwiegend von Lehrkräften. Nach Angaben des Bildungsministeriums („Éducation nationale“) geht der Vorfall auf einen Angriff vom 15. März 2026 zurück und betrifft das Personalverwaltungsprogramm „Compas“.

Ein Datenausschnitt tauchte demnach auf Plattformen auf, auf denen gestohlene Informationen gehandelt werden. Betroffen sind unter anderem Namen, Anschriften, Telefonnummern sowie Abwesenheitszeiträume – ohne Angabe des Grundes. Das Ministerium hat den Zugang zu dem System vorerst gesperrt und prüft seine IT-Infrastruktur, um weitere Abflüsse zu verhindern.

Was „Compas“ ist – und warum ausgerechnet Lehrkräfte im Fokus stehen

„Compas“ ist eine HR-Anwendung, mit der das Ministerium Lehramtsanwärterinnen und -anwärter (in Frankreich „enseignants stagiaires“) in Grund- und weiterführenden Schulen verwaltet. Entsprechend umfasst die betroffene Datenbank viele Personen, die gerade erst in den Schuldienst einsteigen, häufig den Einsatzort wechseln und viele Verwaltungsprozesse durchlaufen.

Zum Datensatz gehören auch Informationen zu betreuenden Lehrkräften („tuteurs“), also Mentorinnen und Mentoren der Anwärter. Bei ihnen sollen zumindest Namen, Vornamen und dienstliche Festnetznummern erfasst und mit abgeflossen sein.

Welche Daten abgeflossen sind – und warum das mehr ist als ein „Kontaktproblem“

Das Ministerium nennt als kompromittierte Informationen: Namen, Vornamen, Postanschriften, Telefonnummern und Zeiträume von Abwesenheiten. Finanzdaten oder sensible Identifikationsnummern werden in der Mitteilung nicht erwähnt.

Für Betroffene ist das heikel. Eine Kombination aus Adresse und Telefonnummer reicht häufig aus, um Betrugsversuche deutlich glaubwürdiger zu machen – etwa durch Anrufe oder SMS, die sich als Verwaltung, Bank oder Dienstleister ausgeben. Abwesenheitszeiträume können zusätzlich als „Timing-Hilfe“ dienen: Wer weiß, dass jemand gerade nicht im Dienst ist, kann gezielter Druck aufbauen oder Vertretungs- und Zuständigkeitsketten ausnutzen.

Datenausschnitt im Netz – wie groß die Verbreitung ist, bleibt offen

Nach Ministeriumsangaben wurde ein „Sample“, also ein Auszug der Daten, auf einschlägigen Seiten veröffentlicht, die mit Datensätzen handeln. In öffentlich zirkulierenden Hinweisen wird ein Akteur unter dem Pseudonym „Hexdex“ genannt.

Wie viele Datensätze insgesamt abgegriffen wurden und wie stark sie bereits weiterverbreitet sind, lässt das Ministerium bislang offen. In der Cyberkriminalität dienen solche „Proben“ oft dazu, den Besitz eines größeren Datenbestands zu belegen – und Käufer anzulocken.

Ministerium sperrt System – Frankreichs Cyberbehörde und Datenschutzaufsicht eingeschaltet

Als Sofortmaßnahme wurde der Zugang zu „Compas“ ausgesetzt. Parallel laufen laut Ministerium Prüfungen der gesamten IT-Systeme, um eine Ausweitung oder weitere Datenabflüsse zu verhindern. Für Schulen und Verwaltungen kann das kurzfristig spürbare Folgen haben, weil Personalprozesse – etwa rund um Ausbildung, Einsatzplanung oder Abwesenheiten – ohne das zentrale Werkzeug schwerer zu steuern sind.

Eingeschaltet wurden zwei zentrale französische Stellen: die ANSSI (Agence nationale de la sécurité des systèmes d’information), Frankreichs nationale Cybersicherheitsbehörde, sowie die CNIL (Commission nationale de l’informatique et des libertés), die Datenschutzaufsicht – vergleichbar mit dem Zusammenspiel von BSI und Datenschutzbehörden in Deutschland. bereitet das Ministerium eine Strafanzeige in Paris vor.

Konkrete Risiken: Betrugswellen, Identitätsmissbrauch und „Social Engineering“

Die naheliegendste Folge sind gezielte Kontaktaufnahmen: Telefonanrufe, SMS, E-Mails oder auch Postsendungen. Gerade weil die Daten klar einer Berufsgruppe zugeordnet werden können, lassen sich passgenaue Legenden bauen – etwa zu Versetzungen, Gehaltsfragen oder „fehlenden Unterlagen“.

Hinzu kommt das Risiko von Identitätsmissbrauch. Auch ohne Kontodaten können Betrüger mit Name, Adresse und Telefonnummer bei schlecht abgesicherten Hotlines oder Online-Diensten Hürden überwinden, Folgeinformationen abgreifen und Schritt für Schritt ein Profil vervollständigen.

tückisch ist „Social Engineering“: Angreifer nutzen echte Details, um Vertrauen zu erzeugen. Ein korrekt genannter Abwesenheitszeitraum kann eine Nachricht plötzlich plausibel wirken lassen – und die Hemmschwelle senken, auf Links zu klicken oder Daten preiszugeben.

Ein weiterer Vorfall im Bildungsbereich – und wachsende Zweifel an der digitalen Verwaltung

Das Ministerium betont, der „Compas“-Vorfall sei getrennt von einem weiteren Angriff, der im selben Monat bekannt wurde: Dort traf es eine Verwaltungsanwendung des katholischen Schulwesens, bei der Daten von 1,5 Millionen Menschen betroffen gewesen sein sollen. Es handele sich um unterschiedliche Systeme und Datenbestände.

Für Beschäftigte, Eltern und Schulen zählt die Häufung. Wenn zentrale Verwaltungssoftware zum Einfallstor wird und anschließend abgeschaltet werden muss, leidet das Vertrauen in die Digitalisierung – und der Druck steigt, Zugriffsrechte, Protokollierung, Segmentierung und Krisenprozesse so aufzustellen, dass Personal- und Schuldaten nicht zur dauerhaft attraktiven Beute werden.