Die Lernplattform Canvas ist am Freitag nach einem massiven Cyberangriff wieder online gegangen. Der Ausffall traf Zehntausende Studenten und Schüler in der entscheidendsten Phase ihres akademischen Jahres: kurz vor Abschlussprüfungen. Für viele war der Schock enorm. An der University of Maryland beispielsweise schrie ein Student aus einer Vorlesung: “Canvas wurde gehackt.” Kurz darauf erschien eine Nachricht der Hacker-Gruppe auf den Bildschirmen. “Die ganze Klasse ist völlig ausgeflippt”, erinnert sich Elizabeth Polo, eine Studentin des dritten Semesters.
Das Ausmaß des Angriffs ist beträchtlich: ShinyHunters, die verantwortliche Hacker-Gruppe, gab an, dass knapp 9.000 Schulen weltweit betroffen sind. Nach Angaben von Luke Connolly, Threat-Analyst bei der Cybersecurity-Firma Emsisoft, wurden Milliarden privater Nachrichten und andere Datensätze kompromittiert. Die Hacker hinterließen eine Nachricht, in der sie einzelne Schulen aufforderten, direkt mit ihnen zu verhandeln, und drohten, Daten zu veröffentlichen.
Instructure, das Unternehmen hinter Canvas, erklärte, dass ein “nicht autorisierter Akteur” Änderungen an Seiten vorgenommen hatte, die Studenten und Lehrenden beim Einloggen sahen. Das Unternehmen nahm das System daraufhin offline, um weitere Zugriffe zu verhindern. Ein kritischer Punkt: Die Hacker exploitierten eine Schwachstelle in den sogenannten “Free-For-Teacher”-Accounts, weshalb Instructure diese vorübergehend deaktivierte.
Die Folgen waren chaotisch. Universitäten wie die University of Texas at San Antonio mussten Prüfungen verschieben. Dozenten improvisierten – einige behalfen sich mit Papierausdrucken, andere gaben Studenten vollen Kredit, um keine Nachteile zu verursachen. Rhongho Jang, ein Professor an der Wayne State University in Detroit, hatte gerade die Noten für 94 Studenten finalisiert, als das System zusammenbrach. Die Semester-Aufgaben – immerhin die Hälfte der Endbewertung – waren nur online verfügbar.
Experten sehen ein systemisches Problem. Joseph Blankenship von Forrester warnt vor “Konzentrations-Risiken”: Wenn nur ein oder zwei Anbieter essentielle Technologien hosten, werden alle abhängig von deren Sicherheit. Allan Liska von Recorded Future vermutet, dass Instructure derzeit versucht, das vollständige Ausmaß der Infiltration zu ermitteln und sicherzustellen, dass die Hacker aus dem System sind.
ShinyHunters wird von Experten als lockerer Zusammenschluss von Teenagern und jungen Erwachsenen aus den USA und UK beschrieben. Die Gruppe war bereits in andere größere Angriffe verwickelt, etwa gegen Live Nations Ticketmaster-Tochter. Ein besonders beunruhigender Aspekt: Ein früherer, kleinerer Breach bei Instructure könnte bereits Schwachstellen offenbart haben, die nun in diesem Großangriff ausgenutzt wurden. Ein Sicherheitsforscher verglich dies mit einem Leck in einem Boot: “Du hast es repariert, aber das Wasser ist bereits drin.”