Ein neuer Vorfall bei Instructure
Die Lernplattform‑Firma Instructure, Betreiber der weit verbreiteten Anwendung Canvas, meldete am Dienstag einen erneuten Sicherheitsvorfall. Nachdem bereits im vergangenen Monat sensible Schülerdaten – Namen, private E‑Mail-Adressen und Nachrichten zwischen Lehrkräften und Lernenden – entwendet worden waren, haben Angreifer nun die Login‑Seiten mehrerer Schulen manipuliert.
Wie die Angreifer vorgegangen sind
Das Cybercrime‑Kollektiv ShinyHunters veröffentlichte auf den Canvas‑Anmeldeportalen von drei Bildungseinrichtungen einen eigens präparierten HTML‑Code. Dieser ersetzt das reguläre Eingabefeld durch ein Schild, das die Bedrohung enthält: Ohne eine „Verhandlung“ werde das bislang gestohlene Datenmaterial am 12. Mai öffentlich gemacht.
Reaktion von Instructure
In einer Stellungnahme erklärte Sprecher Brian Watkins, dass das Unternehmen sofort die Canvas‑Dienste offline genommen habe, um weitere Zugriffe zu verhindern und den Vorfall gründlich zu untersuchen. Dabei stellte man fest, dass die Schwachstelle in den kostenfreien „Free‑For‑Teacher“-Konten ausgenutzt worden war. Die betroffenen Konten wurden vorübergehend deaktiviert und nach Abschluss der Untersuchungen wieder freigeschaltet.
Auswirkungen auf Schulen und Schüler
Durch das Abschalten der Anmeldeportale kam es bei zahlreichen Klassen zu Verzögerungen bei der Abgabe von Aufgaben, dem Abrufen von Lernmaterialien und der Kommunikation mit Lehrkräften. Viele Bildungseinrichtungen berichteten von einer „zu vielen Anfragen“-Meldung, während die offizielle Canvas‑Website einen Wartungsmodus anzeigte.
Hintergrund des Angriffs
ShinyHunters hatte bereits nach dem ersten Einbruch im April die Verantwortung übernommen. Auf ihrer Leak‑Site publizierten sie angeblich Daten von rund 9 000 Schulen weltweit, die insgesamt 231 Millionen Personen betreffen sollen. Das aktuelle Vorgehen folgt dem bekannten Muster: Eindringen, Daten exfiltrieren, öffentliche Drohungen aussprechen und schließlich ein Lösegeld fordern.
Was Schulen jetzt tun können
Experten raten zu einer sofortigen Überprüfung aller Zugriffspunkte, dem Zurücksetzen von Passwörtern und der Aktivierung von Multi‑Factor‑Authentication, wo möglich. Zudem sollten betroffene Institutionen ihre Datenschutz‑Beauftragten informieren und gegebenenfalls betroffene Lernende über das mögliche Risiko informieren.
Der Vorfall verdeutlicht erneut, wie stark Bildungseinrichtungen im digitalen Zeitalter von Cyberkriminellen ins Visier genommen werden und wie wichtig robuste Sicherheitsarchitekturen sind.