SchwachstellenHackerangriffeDatenschutz

Instructure-Breach: Canvas-Lernplattform durch XSS-Lücken kompromittiert

Von CyberDeutsch Redaktion
Instructure-Breach: Canvas-Lernplattform durch XSS-Lücken kompromittiert
Zusammenfassung

Der Bildungstechnologie-Konzern Instructure ist Opfer einer schwerwiegenden Cyberattacke geworden, die erhebliche Auswirkungen auf Schulen und Universitäten weltweit hat. Das Unternehmen betreibt Canvas, ein weltweit verbreitetes Lernmanagementsystem, das von tausenden Bildungseinrichtungen zur Verwaltung von Aufgaben und Kursen genutzt wird. Hacker exploitierten Cross-Site-Scripting-Lücken (XSS), um zunächst in das Netzwerk einzudringen und anschließend in einem zweiten Angriff die Canvas-Login-Portale zu manipulieren und eine Erpressungsbotschaft zu hinterlassen. Die Gruppe ShinyHunters beansprucht, über 3,6 Terabyte Daten gestohlen zu haben, die etwa 275 Millionen Datensätze von Schülern, Lehrern und Mitarbeitern umfassen sollen. Für deutsche Schulen, Universitäten und Behörden, die Canvas einsetzen, stellt dies ein erhebliches Risiko dar – persönliche Daten von Schülern und Lehrkräften könnten kompromittiert worden sein. Die Vorfälle zeigen kritische Sicherheitsmängel in einer zentralen Bildungsplattform und unterstreichen die wachsende Bedrohung durch organisierte Cyberkriminelle, die gezielt Bildungseinrichtungen attackieren.

Die kanadische Firma Instructure musste sich mit einer der gravierendsten Sicherheitsverletzungen im Bildungsbereich auseinandersetzen. Am 29. April erkannte das Unternehmen den ersten Eindringling in sein Netzwerk, widerrief sofort dessen Zugriff und engagierte externe Forensik-Experten. Schnell stellte sich heraus: Cyberkriminelle der Gruppe ShinyHunters hatten über 3,6 Terabyte an Daten abgezogen.

Doch damit nicht genug. Am 7. Mai schlugen die Angreifer erneut zu – diesmal mit dem expliziten Ziel der Erpressung. Mithilfe derselben XSS-Sicherheitslücke infiltrierten sie die Free-for-Teacher-Umgebung von Canvas, eine kostenlose Version für Einzellehrkräfte. Die Angreifer nutzten manipuliertes JavaScript in nutzergenerierten Inhalten, um Zugriff auf Admin-Sitzungen mit Authentifizierung zu erlangen. Sie hinterließen eine Erpressungsnachricht auf den Canvas-Login-Portalen mit einer Frist bis zum 12. Mai für Verhandlungen.

Instructure reagierte schnell: Die Plattform wurde offline genommen, um die Ausbreitung maligner Aktivitäten zu verhindern und zusätzliche Sicherheitsmaßnahmen zu implementieren. Seit dem 9. Mai ist Canvas wieder verfügbar, allerdings wurden alle Free-for-Teacher-Konten gesperrt, bis die Probleme vollständig behoben sind.

Die Auswirkungen sind beträchtlich. ShinyHunters behauptet, 8.809 Bildungsorganisationen betroffen zu haben und 275 Millionen Datensätze gestohlen zu haben. Die erste Breaches – nicht die Defacement-Aktion – führte zum Diebstahl von Benutzernamen, E-Mail-Adressen, Kursnamen, Einschreibungsinformationen und privaten Nachrichten.

Für Deutschland haben Bundesbehörden wie das BSI diese Vorfälle in ihrer Übersicht zu kritischen Infrastrukturen und Sicherheitsrisiken bereits registriert. Bildungseinrichtungen, die Canvas einsetzen, müssen DSGVO-konform vorgehen: Innerhalb von 72 Stunden nach Bekanntwerden muss die Datenschutzbehörde benachrichtigt werden. Betroffene Personen sind ebenfalls zu informieren. Institutionen, die fahrlässig mit Datenschutz umgehen, riskieren Bußgelder bis 4 Prozent des Jahresumsatzes.

Die XSS-Sicherheitslücken zeigen ein grundsätzliches Problem: Unzureichende Input-Validierung in nutzergenerierten Inhalten bleibt eine häufige Angriffsvektoren. Instructure wird diese Lücken schließen müssen, bevor Canvas weltweit wieder vollständig als sicher gilt.

Ähnliche Artikel