Eine Microsoft Power BI-Datenpanne an der Avans University of Applied Sciences machte sensible personenbezogene Daten fast ein Jahr lang für unbefugte Nutzer zugänglich, bevor Mitarbeiter das Problem entdeckten. Die Universität hat die Sicherheitslücke inzwischen geschlossen, die betroffenen Personen informiert und den Vorfall der niederländischen Datenschutzbehörde gemeldet.

Fehlkonfiguration legte personenbezogene Daten fast ein Jahr lang offen

Der Vorfall betraf AMIGO, ein internes Verwaltungssystem auf Basis von Microsoft Power BI. Das System speichert unter anderem Informationen zu Studierendenzahlen und Studienabbrüchen.

Nach Angaben der Avans University führte eine Änderung der Microsoft-Umgebung am 30. Juni 2025 unbeabsichtigt dazu, dass unbefugte Nutzer auf Daten zugreifen konnten, die einzelnen Personen zugeordnet werden konnten.

Der Fehler blieb bis zum 8. Juni 2026 unentdeckt, als ein Mitarbeiter der Universität das Problem erkannte. Anschließend sicherte Avans die Anwendung umgehend und meldete die Datenpanne der zuständigen niederländischen Datenschutzbehörde.

Universität nennt keine Details zu den offengelegten Daten

Die Universität bestätigte, dass die offengelegten Informationen sensibel waren. Sie verzichtet jedoch darauf, genau anzugeben, welche Daten betroffen waren.

Nach Angaben von Avans dient diese Entscheidung dem Schutz der Privatsphäre der Betroffenen. Stattdessen informierte die Universität am 30. Juni 2026 alle betroffenen Personen direkt darüber, welche personenbezogenen Daten offengelegt worden waren.

Untersuchung soll die späte Entdeckung erklären

Die Universität hat eine interne Untersuchung eingeleitet, um zu klären, warum die Daten fast ein Jahr lang offengelegt waren, ohne dass dies bemerkt wurde.

Die Ermittler prüfen, weshalb die bestehenden Überwachungsprozesse den unbefugten Zugriff nicht früher erkannt haben. Außerdem sollen Verbesserungen identifiziert werden, die die Kontrolle über die Datenverwaltungssysteme der Universität stärken.

Darüber hinaus bewertet die Untersuchung zusätzliche Sicherheitsmaßnahmen, die ähnliche Vorfälle künftig verhindern sollen.

Bislang keine Hinweise auf Datenmissbrauch

Nach Angaben der Avans University gibt es derzeit keine Belege dafür, dass die offengelegten personenbezogenen Daten missbraucht wurden.

Gleichzeitig räumt die Universität ein, dass sie einen Missbrauch nicht vollständig ausschließen kann.

Außerdem betonen die Verantwortlichen, dass der Vorfall nicht auf einen Cyberangriff zurückzuführen war und die Daten niemals öffentlich zugänglich wurden.

Avans übernimmt Verantwortung für die Datensicherheit

Obwohl Microsoft Power BI entwickelt und betreibt, liegt die Verantwortung für den Schutz der darin gespeicherten Daten nach Angaben der Universität bei Avans.

Die Hochschule erkennt ihre Verantwortung für den Schutz personenbezogener Daten ausdrücklich an und erklärt, den Vorfall sehr ernst zu nehmen, während die Untersuchungen weiterlaufen.

Fazit

Die Microsoft Power BI-Datenpanne an der Avans University zeigt, wie eine scheinbar kleine Konfigurationsänderung in einer Cloud-Plattform über einen langen Zeitraum unbemerkt sensible personenbezogene Daten offenlegen kann. Auch wenn bislang keine Hinweise auf einen Missbrauch vorliegen, verdeutlicht der Vorfall die Bedeutung einer kontinuierlichen Überwachung, regelmäßiger Sicherheitsprüfungen und konsequenter Kontrollen von Zugriffsrechten, um Fehlkonfigurationen frühzeitig zu erkennen und langfristige Datenschutzrisiken zu vermeiden.


0 Kommentare zu „Avans University meldet ein Jahr andauernde Datenschutzverletzung in Microsoft Power BI“