DatenschutzHackerangriffeCloud-Sicherheit

Instructure-Datenpanne: Wenn Schulen von Technologie-Anbietern abhängig sind

Von CyberDeutsch Redaktion
Instructure-Datenpanne: Wenn Schulen von Technologie-Anbietern abhängig sind
Zusammenfassung

Der Bruch bei Instructure, einem führenden Anbieter von Bildungstechnologie, offenbart die tiefe Abhängigkeit von Schulen und Universitäten von wenigen großen Softwareplattformen. Am 1. Mai 2024 gab Instructure bekannt, dass eine Cyberattacke Zugriff auf sensible Daten von Nutzern ermöglichte – darunter Namen, E-Mail-Adressen, Schüler-IDs und private Nachrichten zwischen Lehrenden und Lernenden. Die Hackergruppe ShinyHunters beanspruchte die Verantwortung und behauptete, 3,65 Terabyte Daten von etwa 275 Millionen Nutzern an 9.000 Institutionen weltweit erbeutet zu haben. Für deutsche Schulen und Universitäten hat dieser Vorfall erhebliche Auswirkungen: Canvas ist das führende Learning-Management-System in Nordamerika und auch hierzulande verbreitet. Die geleakten Nachrichten könnten für Erpressungen oder gezielte Phishing-Angriffe missbraucht werden. Besonders problematisch ist die begrenzte Handlungsfähigkeit der Institutionen – ein Wechsel zu einem anderen LMS ist technisch aufwändig und kostspielig. Nach dem Datenschutzgesetz bleiben Schulen rechtlich verantwortlich für Schülerdaten, auch wenn diese bei externen Anbietern gespeichert sind. Der Vorfall zeigt deutlich: Vertrauen in Cloud-Anbieter muss kontinuierlich durch umfassende Sicherheitsprüfungen und klare Datenminimierungsrichtlinien gerechtfertigt werden.

Die Datenpanne bei Instructure ist kein isolierter Vorfall, sondern symptomatisch für ein größeres Problem: Die starke Abhängigkeit von Schulen und Universitäten von wenigen großen EdTech-Anbietern. Canvas ist in Nordamerika die dominierende Lernplattform – und deutsche Schulen nutzen sie ebenfalls. Ein Wechsel zu einem anderen Learning-Management-System (LMS) ist technisch und organisatorisch aufwendig und teuer. Genau diese Abhängigkeit macht Schulen angreifbar.

Instructure bestätigte, dass ein Threat Actor “identifizierende Informationen” von Nutzern an betroffenen Institutionen entwendet hat: Namen, E-Mail-Adressen, Schüler-IDs sowie private Nachrichten zwischen Schülern, Lehrern und anderen Mitarbeitern. Zumindest Passwörter, Geburtsdaten, Behördenausweise oder Finanzinformationen wurden nach aktuellem Stand nicht kompromittiert. Die betroffenen Canvas-Dienste (Canvas Data 2, Canvas Beta, Canvas Test) wurden vorübergehend offline genommen. Canvas Data 2 kam am 3. Mai zurück online, Beta am 4. Mai; Canvas Test blieb mehrere Tage unter Wartung.

Die Hackergruppe ShinyHunters, bekannt für Daterpressungs-Kampagnen, gab an, 3,65 Terabyte Daten von 9.000 Institutionen zu haben und veröffentlichte auf ihrer Leak-Seite eine Zahlungsfrist mit der Drohung “PAY OR LEAK”.

Die Konsequenzen für deutsche Schulen sind erheblich. Die private Nachrichten-Daten könnten für gezielte Phishing-Angriffe auf Schüler und Lehrer verwendet werden. Schlimmer noch: Extortionisten könnten sensible Inhalte aus Lehrergesprächen oder Schülernachrichten als Erpressungsmittel gegen Schulen oder Familien nutzen.

Denis Calderone vom Sicherheitsunternehmen Suzu Labs weist auf einen kritischen rechtlichen Punkt hin: Nach dem US-amerikanischen FERPA-Gesetz tragen Schulen die Verantwortung für Schülerdaten – auch wenn diese bei fremden Dienstleistern lagern. Ähnlich verhält es sich in Deutschland: Das BDSG und die DSGVO machen Schulträger und Schulleitung verantwortlich, unabhängig davon, ob Instructure die Sicherheit gefährdet hat.

Experten empfehlen dringend: Schulen sollten ihre Datenaufbewahrungsrichtlinien überprüfen und sensitive Diskussionen aus Cloud-Messaging-Systemen heraushalten. Mehrstufige Authentifizierung (MFA) ist ein Muss. Vor allem aber: Schulen müssen ihre Anbieter kontinuierlich überprüfen – mit Audits, Sicherheitszertifikaten und dokumentierten Kontrollmaßnahmen. Vendor-Vertrauen ist kein einmaliges Einkaufskriterium, sondern muss ständig neu verdient werden.

Ähnliche Artikel