Der Datenschutz-Vorfall bei Kaplan offenbart ein klassisches Szenario moderner Cyberkriminalität: Hacker verschafften sich zwischen dem 30. Oktober und 18. November 2025 Zugang zu unternehmensinternen Servern und erbeuteten gezielt Dateien mit hochsensiblen Informationen. Die betroffenen Datensätze enthalten Namen, Sozialversicherungsnummern und Nummern von Führerscheinen — Informationen, die für Identitätsdiebstahl und Betrug besonders wertvoll sind.
Die Breite des Angriffs ist beachtlich: Texas war mit 173.676 betroffenen Personen am stärksten betroffen, gefolgt von South Carolina mit etwa 26.600 Fällen, Maine mit 19.075 und New Hampshire mit über 11.600 Personen. Die genaue Gesamtzahl bleibt ungeklärt, da Kaplan sich zu weiteren Anfragen nicht äußerte. Besonders brisant: Das Unternehmen hat sich mittlerweile zu einem globalen Player entwickelt mit Niederlassungen in 27 Ländern und arbeitet mit über 15.000 Unternehmenskunden zusammen.
Kaplan ist primär für seine Testvorbereitungskurse für nationale Prüfungen wie das SAT und ACT bekannt — ein Geschäftsbereich, der 1,2 Millionen Schüler erreicht. Das Unternehmen gehört Graham Holdings, das im letzten Geschäftsjahr 4,9 Milliarden Dollar Umsatz meldete. Die Mutter-Gesellschaft verfügt also über erhebliche finanzielle Ressourcen, was die Frage aufwirft, warum Sicherheitsvorkehrungen offenbar unzureichend waren.
Besonders bemerkenswert ist, dass bis dato keine Hackergruppe die Verantwortung für den Angriff übernommen hat. Dies deutet entweder auf einen gezielten, nicht-öffentlichen Angriff oder auf Kriminelle hin, die die Daten im Hintergrund verwerten. Die Meldung an Behörden erfolgte ordnungsgemäß, und mehrere Anwaltskanzleien haben bereits Sammelklagen eingeleitet. Für Nutzer bedeutet dies: Kostenlose Kreditüberwachung und erhöhte Vorsicht bei Angaben zur eigenen Identität sind erforderlich. Der Fall zeigt, dass auch große, etablierte Unternehmen im Bildungsbereich nicht vor modernen Cyberangriffen gefeit sind.