RansomwareHackerangriffeDatenschutz

Instructure zahlt Lösegeld nach Canvas-Anschlag – US-Kongress leitet Untersuchung ein

Von CyberDeutsch Redaktion
Instructure zahlt Lösegeld nach Canvas-Anschlag – US-Kongress leitet Untersuchung ein
Zusammenfassung

Der Softwareanbieter Instructure zahlt Lösegeld an die Cyberkriminellen-Gruppe ShinyHunters, nachdem diese die Canvas-Plattform zweimal innerhalb von zwei Wochen angegriffen hat. Canvas wird von Tausenden Schulen und Universitäten weltweit genutzt, um Unterrichtsmaterialien zu verteilen und mit Schülern zu kommunizieren. Die Angreifer erbeuteten persönliche Daten von etwa 9.000 Kunden, darunter Namen, E-Mail-Adressen, Schüler-IDs und private Nachrichten zwischen Studierenden und Lehrenden. Der zweite Angriff legte die Plattform kurz vor wichtigen Abschlussprüfungen lahm und machte Millionen von Studierenden den Zugriff auf ihre Kursmaterialien unmöglich. Das US-amerikanische Repräsentantenhaus kündigte eine Untersuchung an und kritisiert Instructure scharf für das unzureichende Incident-Management. Für deutsche Nutzer und Institutionen ist der Fall relevant, da auch hierzulande viele Schulen und Universitäten auf Canvas-ähnliche Plattformen vertrauen. Er verdeutlicht die wachsende Anfälligkeit kritischer Bildungsinfrastruktur für gezielte Ransomware-Attacken und zeigt, wie Sicherheitslücken auch nach erkannten Breaches unzureichend geschlossen werden können. Deutsche Behörden und Bildungseinrichtungen sollten ihre Cybersecurity-Maßnahmen überprüfen.

Die Ransomware-Attacke auf Instructure wirft ein Schlaglicht auf die Verwundbarkeiten im Bildungssektor. ShinyHunters forderte Lösegeldzahlungen von jeder betroffenen Schule und drohte mit der Veröffentlichung der Daten am 12. Mai. Die Entscheidung des Unternehmens zur Lösegeldzahlung kam wenige Stunden nach einer Ankündigung des US-Repräsentantenhauses, die Attacke zu untersuchen.

Das House Homeland Security Committee kündigte eine formale Untersuchung an. Der Vorsitzende Andrew Garbarino forderte eine Stellungnahme des Instructure-CEO und kritisierte die Reaktion des Unternehmens deutlich: “Die Wiederholung eines Eindringlings innerhalb von Tagen nach der ersten Sicherheitsmitteilung und Instructures offenbares Versäumnis, die zugrunde liegenden Schwachstellen während dieses Zeitfensters vollständig zu beheben, werfen ernsthafte Fragen zur Reaktionsfähigkeit des Unternehmens auf.” Garbarino verwies zudem darauf, dass Instructure am 2. Mai behauptete, den Vorfall unter Kontrolle zu haben – obwohl zwei Tage später ein zweiter, größerer Anschlag folgte.

Die Cyberkriminellen-Gruppe ShinyHunters ist keine unbekannte Größe: Sie sollen auch hinter Breaches bei Ticketmaster, AT&T und dem Bildungsverlags McGraw Hill stecken. Die Offline-Schaltung ihrer Leak-Site am Montag deutet auf mögliche FBI-Operationen gegen die Gruppe hin.

Instructure-CEO Steve Daly entschuldigte sich bei den betroffenen Schulen und Universitäten und beteuerte, dass Canvas nun sicher zu nutzen sei. Das Unternehmen hat Crowdstrike und eine weitere Cybersecurity-Firma beauftragt, eine forensische Analyse durchzuführen und die Infrastruktur zu härten.

Das FBI warnte Studierenden davor, auf direkte Kontaktaufnahmen von ShinyHunters reagieren und Lösegeldbeträge zu zahlen. Die Behörde empfahl, auf offizielle Informationen der eigenen Bildungseinrichtung zu warten. Für betroffene deutsche Schulen und Universitäten gelten zusätzlich DSGVO-Meldepflichten gegenüber der zuständigen Datenschutzbehörde – bei großflächigen Datenverstößen drohen erhebliche Bußgelder. Der Bundesbeauftragte für Datenschutz (BfDI) dürfte diesen Fall aufmerksam verfolgen.

Ähnliche Artikel