DatenschutzHackerangriffeCloud-Sicherheit

Instructure-Datenpanne: Millionen Schüler und Lehrer betroffen – ShinyHunters droht mit Datenleck

Von CyberDeutsch Redaktion
Instructure-Datenpanne: Millionen Schüler und Lehrer betroffen – ShinyHunters droht mit Datenleck
Zusammenfassung

Der US-amerikanische Edtech-Konzern Instructure, Betreiber der weltweit verbreiteten Lernplattform Canvas, ist Anfang Mai Opfer eines umfangreichen Cyberangriffs geworden. Während eines Wochenendes drangen Angreifer in die Systeme des Unternehmens ein, störten zahlreiche Services und stahlen sensible Daten wie Namen, E-Mail-Adressen, Studentenausweisnummern und Benutzernachrichten. Die Attacke betrifft potenziell Millionen von Schülern, Lehrern und Mitarbeitern von nahezu 9.000 Bildungseinrichtungen weltweit. Die berüchtigte Hacker-Gruppe ShinyHunters beansprucht den Diebstahl von 3,65 Terabyte Daten und droht mit einer Veröffentlichung. Für deutsche Nutzer und Bildungseinrichtungen könnte dies erhebliche Konsequenzen haben, da Canvas auch an deutschen Schulen und Universitäten verwendet wird. Der Vorfall unterstreicht die wachsenden Sicherheitsrisiken in der Edtech-Branche und zeigt, wie anfällig zentrale Bildungsinfrastrukturen für Cyberattacken sind. Betroffene deutsche Institutionen müssen mit möglichen Datenschutzverletzungen und eventuellen Benachrichtigungspflichten gemäß DSGVO rechnen.

Instructure, das Salt-Lake-City-basierte Unternehmen, musste am Wochenende des 30. April 2024 einen massiven Cyberangriff verarbeiten, der zahlreiche cloudbasierte Services lahmlegte. Canvas, die Flagship-Plattform des Unternehmens und eine der am weitesten verbreiteten Learning-Management-Systeme (LMS) weltweit, war erheblich beeinträchtigt. Besonders die Canvas Data 2-Plattform war betroffen, bis der Zugriff am Sonntag, dem 3. Mai, wiederhergestellt werden konnte.

Instructure bestätigte wenig später, dass Cyberkriminelle für den Angriff verantwortlich waren und externe Forensik-Experten mit der Untersuchung beauftragt hatte. Das Unternehmen ergriff sofort Maßnahmen: API-Schlüssel wurden neu ausgegeben, privilegierte Anmeldedaten und Zugriffs-Token widerrufen, zusätzliche Sicherheitspatches implementiert und erweiterte Monitoring-Systeme eingerichtet.

Doch während Instructure die Kontrolle wiedererlangte, eskalierte das Bedrohungsszenario deutlich. Am 3. Mai 2024 erschien Instructure auf der Tor-basierten Leak-Website der berüchtigten ShinyHunters-Gruppe – eine Gruppe, die für Erpressungsversuche bekannt ist. Die Hacker behaupten, etwa 3,65 Terabyte an Daten gestohlen zu haben und drohen mit Veröffentlichung.

Nach Angaben der Angreifer sollen Daten von 275 Millionen Schülern, Lehrern und anderen Personen an nahezu 9.000 Bildungseinrichtungen weltweit gefährdet sein. Besonders bemerkenswert: Die Angreifer behaupten auch, Zugang zu Instructures Salesforce-Instanz erhalten zu haben. Instructure betont allerdings, dass Passwörter, Geburtsdaten, Ausweisnummern und Finanzinformationen nicht kompromittiert wurden – ein schwacher Trost für Betroffene.

Für deutsche Bildungseinrichtungen, die Canvas einsetzen, ist schnelles Handeln erforderlich. Sie müssen unverzüglich ihre Nutzer informieren und entsprechende Nachrichtenkanäle nutzen. Unternehmen und Behörden sollten überprüfen, ob ihre Instructure-Accounts betroffen sind und ihre Sicherheitsrichtlinien überprüfen. Das BSI empfiehlt Schwachstellen-Scanning und regelmäßige Sicherheitsaudits für Cloud-basierte Systeme. Die Meldepflicht nach DSGVO (Artikel 33) greift automatisch – Verantwortliche haben maximal 72 Stunden Zeit, Datenschutzbehörden zu informieren.

Ähnliche Artikel