HackerangriffeDatenschutzCyberkriminalität

Canvas-Cyberangriff: Tausende Schulen weltweit offline – Prüfungen gefährdet

Von CyberDeutsch Redaktion
Canvas-Cyberangriff: Tausende Schulen weltweit offline – Prüfungen gefährdet
Zusammenfassung

Das Learning-Management-System Canvas, das von Tausenden Schulen und Universitäten weltweit genutzt wird, ist Opfer eines schwerwiegenden Cyberangriffs geworden. Die Hacker-Gruppe ShinyHunters übernahm die Verantwortung für den Angriff auf die Plattform von Instructure, über die Lehrkräfte Noten, Kursmaterialien, Aufgaben und Vorlesungen verwalten. Nach Angaben von Sicherheitsexperten waren nahezu 9.000 Schulen betroffen, und die Angreifer erlangten Zugriff auf Milliarden privater Nachrichten und weiterer Datensätze. Der Angriff traf die Bildungseinrichtungen zu einem besonders kritischen Zeitpunkt: Während Studierenden auf ihr Kursmaterial zugreifen mussten, um sich auf ihre Abschlussprüfungen vorzubereiten, war das System offline. Dies unterstreicht die massive Abhängigkeit des modernen Bildungssystems von digitalen Technologien. Auch in Deutschland nutzen Schulen und Universitäten ähnliche Learning-Management-Systeme, weshalb solche Vorfälle ein Risiko für den deutschen Bildungssektor darstellen. Der Vorfall zeigt zudem, wie Bildungseinrichtungen zunehmend zu bevorzugten Zielen von Cyberkriminellen werden, die auf sensible Daten abzielen, die früher in Papierdokumenten in verschlossenen Schränken lagerten.

Canvas ist eines der weltweit am meisten genutzten Lernmanagementsysteme. Die Plattform verwaltet Noten, Kursmaterialien, Aufgaben, Vorlesungsvideos und ermöglicht die digitale Kommunikation zwischen Lehrenden und Lernenden. Der Angriff traf die Bildungslandschaft im schlimmstmöglichen Moment: Während Studierende sich auf ihre Abschlussprüfungen vorbereiten wollten, konnten sie nicht auf ihre Kursmaterialien zugreifen.

Die Hackergruppe ShinyHunters, wie Sicherheitsanalyst Luke Connolly von Emisoft berichtete, beanspruchte die Verantwortung für den Angriff. Die Gruppe beschrieb sich selbst als lockerer Zusammenschluss von Teenagern und jungen Erwachsenen aus den USA und Großbritannien und ist bereits für andere prominente Cyberangriffe bekannt – etwa gegen Live Nations Ticketmaster-Plattform. Die Angreifer veröffentlichten Drohungen online und gaben Fristen für die Veröffentlichung der Daten an: zunächst Donnerstag, dann 12. Mai. Diese verlängerten Fristen deuten darauf hin, dass Verhandlungen über Erpressungszahlungen laufen könnten.

Wirtschaftlich und datenschutzrechtlich ist dieser Vorfall besorgniserregend. Betroffene Universitäten wie die University of Pennsylvania, Virginia Tech, University of New Mexico und University of Florida benachrichtigten sofort ihre Studierenden. Die University of Texas in San Antonio verschob sogar Abschlussprüfungen auf Freitag. Teachers improvisierten mit Workarounds, um Studierende zu unterstützen – manche mussten Unterlagen per E-Mail bereitstellen.

Der Canvas-Angriff ähnelt einer früheren Verletzung bei PowerSchool, einem anderen Lernmanagementsystem. In jenem Fall wurde ein Student aus Massachusetts angeklagt. Schulen sind für Cyberkriminelle besonders lukrative Ziele, da sie digitalisierte Datenbestände mit sensiblen Informationen über Millionen von Studierenden und Mitarbeitern besitzen. Die Vergangenheit zeigt: Minneapolis Public Schools und das Los Angeles Unified School District wurden bereits attackiert.

Deutsche Bildungseinrichtungen sollten wachsam sein. Während Instructure, das Unternehmen hinter Canvas, sich zunächst nicht öffentlich äußerte, sprechen Sicherheitsexperten von einem “nationalen Cybersecurity-Incident”. Unter DSGVO-Bestimmungen müssen Datenschutzverletzungen an die Behörden gemeldet werden – bei schweren Verstößen drohen Bußgelder bis zu 4 Prozent des Jahresumsatzes. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) könnte sich einschalten, sollten deutsche Institutionen betroffen sein.

Ähnliche Artikel