HackerangriffeDatenschutzCyberkriminalität

Infinite Campus bestätigt Datenpanne nach Erpressungsversuch durch ShinyHunters

Infinite Campus bestätigt Datenpanne nach Erpressungsversuch durch ShinyHunters
Zusammenfassung

Das Bildungstechnologie-Unternehmen Infinite Campus hat eine Datenpanne bestätigt, nachdem die Hackergruppe ShinyHunters einen Datendiebstahl geltend gemacht und mit der Veröffentlichung von Informationen gedroht hat. Die Cyberkriminellen drangen in das Salesforce-Konto eines Mitarbeiters ein und erbeuteten nach eigenen Angaben persönliche Daten und interne Unternehmenseigenschaften. Infinite Campus betreibt ein Schülerverwaltungssystem, das an mehr als 3.200 amerikanischen Schulbezirken eingesetzt wird und Daten von etwa elf Millionen Schülern in 46 Bundesstaaten verwaltet. Das Unternehmen teilte mit, dass kundenspezifische Datenbanken nicht beeinträchtigt wurden und die offengelegten Informationen hauptsächlich öffentlich verfügbare Kontaktdaten von Schulpersonal umfassen. Dennoch stellt der Vorfall ein erhebliches Sicherheitsrisiko dar, da es zeigt, wie anfällig selbst große Bildungseinrichtungen für gezielte Angriffe sind. Für deutsche Schulen und Bildungsträger, die ähnliche Cloud-basierte Systeme nutzen, verdeutlicht der Incident die Notwendigkeit verstärkter Sicherheitsmaßnahmen und Zugangskontrollen. Die Verweigerung von Verhandlungen durch Infinite Campus entspricht modernen Cyber-Sicherheitsrichtlinien, unterstreicht aber auch die wachsende Bedrohung durch professionalisierte Hacker-Gruppen.

Die Datenpanne bei Infinite Campus ist das jüngste Kapitel einer Serie von Angriffen auf Salesforce-Konten großer Unternehmen. Die Erpressungsgruppe ShinyHunters hat sich in den vergangenen zwölf Monaten als spezialisiert auf genau solche Attacken erwiesen und soll dabei über 1,5 Milliarden Datensätze erbeutet haben. Der aktuelle Fall zeigt ein bekanntes Muster: Ein Mitarbeiterkonto wird kompromittiert, personenbezogene Daten werden extrahiert und anschließend droht die Gruppe mit einer Veröffentlichung im Dark Web.

Infinite Campus betont in seiner Mitteilung, dass die zugänglichen Daten hauptsächlich Kontaktinformationen von Schulpersonal umfassten – Informationen, die ohnehin öffentlich auf Schulwebseiten einsehbar sind. Das Unternehmen hat nach eigenen Angaben keine Hinweise darauf gefunden, dass Kundendatenbanken direkt kompromittiert wurden. Trotzdem handelte das Unternehmen schnell: Bestimmte kundenorientierte Services wurden deaktiviert, und alle möglicherweise betroffenen Schulbezirke werden kontaktiert.

Die Ablehnung, mit ShinyHunters zu verhandeln, unterstreicht die gängige Position von Sicherheitsexperten, die vor der Zahlung von Lösegeld warnen – sie finanzieren nur weitere Angriffe. Trotzdem zeigt sich die Gruppe bislang unbeeindruckt und hat sogar eine Leak-Website gegründet, um ihre Opfer öffentlich zu machen.

Für deutsche Schulen und Bildungseinrichtungen ist dieser Vorfall eine Warnung. Viele nutzen ähnliche Cloud-basierte Verwaltungssysteme und sind damit potenziell anfällig für identische Angriffsmuster. Ein besonderes Risiko liegt in schwach gesicherten Admin-Konten und fehlender Multi-Faktor-Authentifizierung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Bildungseinrichtungen daher dringend, ihre Salesforce-Instanzen zu überprüfen und Zugangskontrollen zu verschärfen.

Der Vergleich zum PowerSchool-Hack aus dem Dezember 2024 ist bemerkenswert, bei dem 62 Millionen Schülerdatensätze exponiert wurden. Der damals 19-jährige Angreifer wurde zu vier Jahren Freiheitsstrafe verurteilt. Solche prominenten Fälle zeigen zunehmend, dass Strafverfolgung auch grenzüberschreitend möglich ist – ein wichtiger Abschreckungsfaktor für potenzielle Angreifer weltweit.

Ähnliche Artikel