HackerangriffeDatenschutzSchwachstellen

Canvas-Plattform gehackt: Millionen Schüler betroffen – US-Kongress fordert Antworten

Von CyberDeutsch Redaktion
Canvas-Plattform gehackt: Millionen Schüler betroffen – US-Kongress fordert Antworten
Zusammenfassung

Die Lernplattform Canvas des Unternehmens Instructure ist Opfer zweier massiver Cyberanschläge der Erpressergruppe ShinyHunters geworden, die innerhalb einer Woche stattfanden und Millionen von Schülern, Lehrern und Administratoren betreffen. Die Angreifer gelangten Anfang Mai in die Systeme ein und erbeuteten sensible Daten von etwa 280 Millionen Nutzerprofilen aus über 8.800 Bildungseinrichtungen weltweit, darunter Namen, E-Mail-Adressen und Schülerkennummern. Bei einem zweiten Angriff manipulierten die Cyberkriminellen Login-Seiten und zeigten Erpressungsmeldungen an, was während Abschlussexamen in elf US-Bundesstaaten zu massiven Störungen führte und einige Universitäten zwang, Prüfungen zu verschieben. Das US-amerikanische Homeland Security Committee fordert nun Instructure auf, vor dem Kongress auszusagen und die Sicherheitsmängel zu erklären. Für deutsche Nutzer ist der Fall relevant, da Canvas auch von deutschen Schulen und Hochschulen verwendet wird und zeigt, wie anfällig zentrale Bildungsplattformen für Cyberanschläge sind. Die Vorfälle werfen grundsätzliche Fragen zur Datensicherheit in kritischen Infrastrukturen auf und verdeutlichen die Risiken, wenn Bildungseinrichtungen ihre Systeme nicht ausreichend schützen.

Die erste Kompromittierung der Canvas-Infrastruktur wurde am 29. April entdeckt, öffentlich gemacht aber erst am 3. Mai 2024. Die Cyberkriminellen gelangten Zugriff auf sensible Daten von Schülern und Schulpersonal, darunter Namen, E-Mail-Adressen und Schüleridentifikationsnummern. Besonders problematisch: Auch die auf der Plattform ausgetauschten Nachrichten zwischen Schülern und Lehrern wurden kompromittiert. Allerdings bestätigte Instructure, dass Passwörter, Finanzinformationen und behördliche Ausweisdaten nicht abgerufen wurden.

Der zweite Angriff war destruktiver. ShinyHunters nutzte mehrere Cross-Site-Scripting (XSS)-Schwachstellen, um authentifizierte Admin-Sitzungen zu erlangen und die Login-Seiten der Plattform zu manipulieren. Die Angreifer hinterließen Erpressungsbotschaften und forderten Instructure zur Verhandlung auf. Dieser Angriff fiel zeitlich in die Phase der Abschlussprüfungen, weshalb mehrere Universitäten in Kalifornien, Florida, Georgia, Oklahoma, Oregon, Nevada, North Carolina, Tennessee, Utah, Virginia und Wisconsin gezwungen waren, Prüfungen zu verschieben oder abzusagen.

Das US-amerikanische Heimatschutzkomitee sieht in den wiederholten Angriffen “ernsthafte Fragen” zur Incident-Response-Fähigkeit des Unternehmens und dessen Verpflichtungen zum Schutz der gespeicherten Daten aufgeworfen. Das Komitee forderte Instructure-CEO Steve Daly zur Aussage auf – spätestens bis zum 21. Mai sollte ein hochrangiger Vertreter des Unternehmens vor dem Komitee berichten.

Offenbar ist es zu einer Art Einigung zwischen Instructure und ShinyHunters gekommen. Die Hackergruppe kündigte an, die gestohlenen Daten zu löschen und keine weiteren Anschreiben an betroffene Institutionen zu senden. Ob tatsächlich ein Lösegeld gezahlt wurde, bestätigte Instructure nicht – dies ist jedoch in solchen Fällen die Regel.

Für deutsche Schulen und Universitäten ist dieser Vorfall ein Warnzeichen. Ähnliche Cloud-Plattformen sind auch hier im Einsatz. Das BSI empfiehlt Bildungseinrichtungen, die Sicherheitsmaßnahmen ihrer Lernmanagementsysteme zu überprüfen und das Patch-Management zu verschärfen.

Ähnliche Artikel