Angreifer zielen zunehmend auf EdTech-Anbieter statt einzelne Schulen

Zusammenfassung

Cyberangriffe auf den Bildungssektor verlagern sich zunehmend von einzelnen Schulen auf deren Softwarelieferanten. Im Fokus stehen dabei Lernplattformen und andere EdTech-Anwendungen, über die Angreifer mit einem einzigen Vorfall Hunderte oder sogar Tausende Einrichtungen treffen können. Als besonders prägnantes Beispiel gilt der Angriff der Gruppe Shiny Hunters auf das Lernmanagementsystem Canvas von Instructure in diesem Jahr. Laut Instructure wurde Canvas in einer Phase offline genommen, in der vielerorts Abschlussprüfungen stattfanden. Shiny Hunters reklamierte zudem in einem Monat gleich zwei Angriffe auf Instructure für sich. Nach Angaben aus der Gesprächsrunde bestätigte Instructure einen Cyberangriff auf Canvas; die Gruppe behauptete, 3,65 TB Daten von 275 Millionen Nutzern aus fast 9.000 Schulen gestohlen zu haben. Zum Stand vom 11. Mai erklärte Instructure, man habe eine Vereinbarung mit den Angreifern erreicht und die Software sei sicher nutzbar. Parallel verweisen die beteiligten Reporter auf weitere Vorfälle bei PowerSchool, Progress Softwares MOVEit und auf Angriffe unter Ausnutzung von Oracle PeopleSoft. Der gemeinsame Nenner: Zentral eingesetzte Bildungssoftware wird zum Hebel, um den Druck auf ganze Teile des Bildungswesens gleichzeitig zu erhöhen.

Nach Einschätzung von Arielle Waldman von Dark Reading, Sharon Shea von TechTarget SearchSecurity und Eric Geller von Cybersecurity Dive nimmt die Bedrohungslage im Bildungssektor seit Jahren zu. Neu ist vor allem der Schwerpunkt auf Anbieter von Bildungssoftware. Statt eine einzelne Schule oder einen Bezirk mit Ransomware oder anderen Methoden anzugreifen, nehmen Täter Lernmanagementsysteme und Campus-Anwendungen ins Visier, die an vielen Einrichtungen zugleich im Einsatz sind.

Der Fall Instructure zeigt diese Dynamik besonders deutlich. Instructure bestätigte nach Angaben der Runde einen Angriff auf sein Canvas Learning Management System. Shiny Hunters beanspruchte die Tat für sich und erklärte, 3,65 TB Daten mit Informationen von 275 Millionen Nutzern aus fast 9.000 Schulen erbeutet zu haben. Canvas war während einer für viele Studierende kritischen Prüfungsphase offline. Zudem reklamierte Shiny Hunters in einem Monat zwei Angriffe auf Instructure. Zum Stand vom 11. Mai teilte Instructure mit, man habe eine Vereinbarung mit den Angreifern erreicht und die Software sei wieder sicher verwendbar.

Hinzu kommen weitere Angriffe auf die Bildungs-Lieferkette. Waldman verwies auf den großen Vorfall rund um Progress Softwares MOVEit im Jahr 2023, der auch viele Schulen traf. Außerdem erinnerte sie an den Datenabfluss bei PowerSchool, einer cloudbasierten EdTech-Plattform für Schulen von der Vorschule bis zur 12. Klasse. Dabei entwendeten Angreifer Namen, Adressen, Geburtsdaten, Leistungsnachweise und medizinische Informationen. Im Quelltext heißt es zudem, PowerSchool habe nach dem Vorfall Lösegeld gezahlt, damit die Dateien gelöscht werden.

Auch Hochschulen bleiben nicht verschont. Laut der Gesprächsrunde reklamierte Shiny Hunters kürzlich weitere Angriffe auf den Hochschulbereich und soll dabei Oracle PeopleSoft ausgenutzt haben, also Software-Suiten für ERP, CRM und HCM sowie Campus-Anwendungen für Studierendenakten, Zulassung und Finanzhilfen. Google stellte dazu fest, dass einige Organisationen die Schwachstellen rechtzeitig blockieren oder beheben konnten, andere jedoch kompromittiert wurden und ihre Daten auf Leak-Seiten veröffentlicht sahen.

Warum Bildungseinrichtungen so attraktiv sind, umriss Eric Geller mit einer Kombination aus Datenwert und schwacher Abwehr. Schulen und Hochschulen speichern besonders sensible Informationen: Sozialversicherungsnummern, medizinische Daten, Finanzhilfedaten, Zahlungsdaten sowie Daten von Eltern, Lehrkräften und Verwaltung. Bei jüngeren Schülerinnen und Schülern ist gestohlene Identitätsinformation laut Geller besonders lange verwertbar. Im Hochschulbereich kommt hinzu, dass Forschungseinrichtungen mit patentierbarem geistigem Eigentum und vertraulichen Forschungsdaten arbeiten; teils gibt es auch Überschneidungen mit dem Verteidigungssektor oder staatlich finanzierter Forschung.

Erschwert wird die Lage durch knappe Budgets, Personalmangel und veraltete Infrastruktur. Shea sprach von Altsystemen, die schwer zu patchen und mit begrenzten Ressourcen schwer zu verwalten seien. Geller nannte zudem die Vielzahl externer Geräte im Schulnetz: ausgegebene Tablets und Laptops ebenso wie private Geräte von Schülerinnen und Schülern. Diese BYOD-Situation öffnet zusätzliche Zugangswege, wenn ein Endgerät kompromittiert wird und bereits Zugriff auf Teile der Schulnetz-Infrastruktur hat.

Ein weiterer Punkt ist die Marktmacht der Anbieter. Geller erwartet, dass öffentliche Stellen und Schulträger künftig stärker versuchen werden, konkrete Cybersicherheitsanforderungen in Beschaffungs- und Lieferverträge aufzunehmen. Gerade lokale Schulbezirke hätten gegenüber spezialisierten Anbietern oft wenig Verhandlungsmacht, weil sie nur aus wenigen Produkten wählen können und ein Wechsel schwerfällt. Wo sich strengere Vertragsklauseln nicht durchsetzen lassen, könnte nach seiner Einschätzung versucht werden, Anbieter nach einem Vorfall auf Grundlage bestehender Gesetze stärker in die Verantwortung zu nehmen.

Als zusätzliches Problem nannte Waldman sogenannte Geisterstudierende: gefälschte Bewerber, Bots oder Personen mit gestohlenen Identitäten, die Finanzhilfen und Zulassungsprozesse missbrauchen. In einem Fall habe ein falscher Studierender innerhalb eines Jahres mehr als 10 Millionen US-Dollar an Bundesgeldern von Community Colleges in Kalifornien erbeutet. Schulen und Hochschulen würden dadurch weiter belastet, während laut Waldman vielerorts zunächst überhaupt erst das Bewusstsein für diese Betrugsform geschaffen werden müsse.

Angreifer zielen zunehmend auf EdTech-Anbieter statt einzelne Schulen

Ähnliche Artikel

Neueste Artikel