US-Abgeordnete setzen Instructure wegen Canvas-Cyberangriffen auf Schulen unter Druck

US-Abgeordnete erhöhen den Druck auf Instructure, nachdem zwei Angriffe auf die Lernplattform Canvas Schülerdaten offengelegt und Schulen während der Abschlussprüfungen lahmgelegt haben. In einem Brief dieser Woche forderte der Heimatschutzausschuss des Repräsentantenhauses das Unternehmen auf, den Kongress bis zum 21. Mai über die Vorfälle, die Eindämmung der Einbrüche und die Zusammenarbeit mit Bundesbehörden zu informieren.

Das ist relevant, weil Canvas eine zentrale Infrastruktur für Hochschulen, Schulbezirke und Online-Programme darstellt. Ein Einbruch in ein Learning-Management-System schafft nicht nur Datenschutzrisiken. Er kann auch Prüfungen, Kursarbeiten, die Kommunikation zwischen Lehrkräften und Schülern sowie administrative Abläufe im schlimmsten Moment des akademischen Kalenders stören.

Laut BleepingComputer, der über wesentliche Teile des Vorfalls zuerst berichtete, gab Instructure an, den ersten Einbruch am 29. April entdeckt und später bestätigt zu haben, dass Angreifer Namen, E-Mail-Adressen, Schüler-ID-Nummern und zwischen Schülern und Lehrern ausgetauschte Nachrichten gestohlen hatten. Das Unternehmen erklärte, Passwörter, Finanzdaten und staatliche Kennungen seien nicht Teil des offengelegten Datensatzes gewesen. ShinyHunters behauptete, 280 Millionen Datensätze von 8.809 Schulen, Hochschulen und Bildungsplattformen gestohlen zu haben – allerdings stammt diese Zahl von den Angreifern und sollte mit Vorsicht behandelt werden, bis sie unabhängig überprüft ist.

Die zweite Phase der Kampagne scheint die Messlatte für die Regulierungsbehörden höher gelegt zu haben. Berichten zufolge haben die Angreifer Canvas-Login-Portale an Einrichtungen in mehreren Bundesstaaten verunstaltet, Erpressungsnachrichten hinterlassen und einige Schulen gezwungen, Prüfungen abzusagen. BleepingComputer berichtete außerdem, dass die Angreifer mehrere Cross-Site-Scripting-Sicherheitslücken ausnutzten, um authentifizierte Admin-Sitzungen zu kapern und Login-Seiten zu manipulieren. Der Heimatschutzausschuss erklärte, dass Schulen in Kalifornien, Florida, Georgia, Oklahoma, Oregon, Nevada, North Carolina, Tennessee, Utah, Virginia und Wisconsin über damit zusammenhängende Störungen berichteten.

Die Aufforderung des Kongresses zur Zeugenaussage verwandelt diesen Vorfall von einem großen Bildungssektor-Einbruch in eine breitere Verantwortungsgeschichte. Wenn Bundesermittler zu dem Schluss kommen, dass die Reaktion von Instructure oder die Sicherheit der Plattform unzureichend war, könnten die Folgen über Benachrichtigungen über Datenschutzverletzungen hinausgehen – bis hin zu Beschaffungsüberprüfungen, regulatorischem Druck und strengeren Sicherheitsanforderungen für Software, die von öffentlichen Einrichtungen genutzt wird. Wie zuerst von BleepingComputer berichtet, hat Instructure inzwischen eine Vereinbarung getroffen, die das öffentliche Leaken der gestohlenen Daten verhindern soll, wobei das Unternehmen nicht direkt sagte, ob ein Lösegeld gezahlt wurde.