Wann ereignete sich die zweite Canvas-Datenpanne?

Der zweite unbefugte Zugriffsvorfall auf die Canvas-Plattform von Instructure ereignete sich am 7. Mai. Er folgte kurz auf eine frühere Panne und weckte Bedenken, ob die ursprüngliche Schwachstelle vollständig behoben worden war.

Welche Universitäten waren von der Panne betroffen?

Die Penn State University gehörte zu den am stärksten betroffenen Institutionen, ebenso wie das University of California-System und das California State University-System, Institutionen in Virginia sowie Universitäten weltweit.

War dies das erste Mal, dass Canvas gehackt wurde?

Nein, dies war die zweite Panne; die berüchtigte Hackergruppe ShinyHunters hatte zuvor eine frühere Panne bestätigt, die Millionen von Studierenden und Lehrenden an Institutionen weltweit betraf.

2. Canvas-Datenpanne stört Prüfungen an der Penn State und darüber hinaus

Q: Welche Maßnahmen ergriff die Penn State als Reaktion auf die Panne?

Die Penn State sagte geplante Prüfungen ab und schränkte den Zugang von Lehrenden und Studierenden zu Canvas vorübergehend ein. Der Zeitpunkt war besonders störend, da er in die Abschlussphase fiel.

2. Canvas-Datenpanne stört Prüfungen an der Penn State und darüber hinaus

Ein zweiter unbefugter Zugriffsvorfall auf die Canvas-Plattform von Instructure am 7. Mai hat Schockwellen durch den Hochschulbereich gesendet und Universitäten – darunter die Penn State – dazu gezwungen, Prüfungen abzusagen, den Plattformzugang einzuschränken und eilig nach Notfallplänen zu suchen. Die Canvas-Datenpanne, von der Schulen und Hochschulen betroffen sind, stellt eine beunruhigende Eskalation der Angriffe auf zentralisierte Bildungstechnologie dar und rückt die sensiblen akademischen und persönlichen Daten von Millionen von Studierenden unmittelbar ins Visier.

Was beim zweiten Instructure-Vorfall geschah

Am 7. Mai bestätigte Instructure einen zweiten unbefugten Zugriffsvorfall, der sein Canvas-Lernmanagementsystem betraf. Obwohl vollständige technische Details noch begrenzt sind, folgte die Panne kurz auf einen früheren Vorfall, was darauf hindeutet, dass entweder die ursprüngliche Schwachstelle nicht vollständig behoben wurde oder die Angreifer einen neuen Weg in die Infrastruktur der Plattform gefunden haben.

Instructure erklärte, dass das Problem schließlich behoben wurde und Canvas zum Zeitpunkt der Bekanntgabe wieder vollständig in Betrieb war, ohne Hinweise auf fortlaufenden unbefugten Zugriff. Diese Versicherung konnte die Beunruhigung unter den Tausenden von Schulen, die auf Canvas für die Kursabwicklung, Prüfungen und die Speicherung sensibler Studierendendaten angewiesen sind, jedoch kaum lindern.

Dieser zweite Vorfall ist Teil eines umfassenderen Musters von Angriffen auf Instructure. Wie in ShinyHunters-Panne trifft Instructure Canvas: Studierende betroffen berichtet, hatte die berüchtigte Hackergruppe ShinyHunters zuvor eine Panne bestätigt, die Millionen von Studierenden und Lehrenden an Institutionen weltweit betraf. Der Vorfall vom 7. Mai verschlimmert diesen früheren Kompromiss und wirft die Frage auf, ob in der Zwischenzeit ausreichende Sicherheitsverbesserungen vorgenommen wurden.

Welche Schulen betroffen waren und wie

Die Penn State University gehörte zu den am stärksten betroffenen Institutionen: Sie sagte geplante Prüfungen ab und schränkte den Zugang von Lehrenden und Studierenden zu Canvas vorübergehend ein. Der Zeitpunkt erwies sich als besonders schädlich, da die Panne in eine Phase fiel, in der sich viele Hochschulen und Universitäten mitten in der Abschlussphase befanden – einem Zeitraum, in dem Studierende am stärksten auf die Plattform angewiesen sind, um Aufgaben einzureichen, auf Kursmaterialien zuzugreifen und Online-Prüfungen abzulegen.

Neben der Penn State waren auch das University of California-System und das California State University-System in Kalifornien betroffen, ebenso wie Institutionen in Virginia und anderen Bundesstaaten. Die internationale Reichweite der Panne, die Universitäten weltweit berührte, unterstreicht, wie tief Canvas in die akademische Infrastruktur weltweit eingebettet ist.

Für Studierende gingen die praktischen Folgen über eine verpasste Abgabefrist hinaus. Prüfungsabsagen verursachten planungstechnisches Chaos für Abschlusskandidaten und diejenigen mit zeitkritischen akademischen Anforderungen. Lehrende standen vor der Herausforderung, Studierende kurzfristig über alternative Kanäle zu informieren, und Verwaltungen mussten rasche Entscheidungen darüber treffen, ob sie der Plattform vertrauen konnten, während eine aktive Untersuchung lief.

Warum zentralisierte EdTech-Plattformen ein Datenschutzrisiko darstellen

Die wiederholte Anvisierung von Instructure verdeutlicht ein strukturelles Problem in der modernen Bildungstechnologie: die Konzentration sensibler Daten aus Tausenden von Institutionen auf die Infrastruktur eines einzigen Anbieters. Canvas bedient weltweit schätzungsweise 9.000 oder mehr Bildungseinrichtungen. Dieser Umfang schafft ein äußerst attraktives Ziel für Cyberkriminelle, da ein einziger erfolgreicher Angriff auf einen Schlag akademische Unterlagen, personenbezogene Daten und potenziell finanzielle Daten von Millionen von Personen liefern kann.

Dies ist die Definition eines Single Point of Failure. Wenn ein Schulsystem seine eigene lokale Infrastruktur betreibt, ist eine Panne zwar schädlich, aber begrenzt. Wenn Tausende von Schulen ihre Daten an eine einzige Plattform auslagern, wird der Schadensradius jedes Angriffs enorm. Die ShinyHunters-Gruppe erkannte dies, als sie Berichten zufolge behauptete, bei einem damit verbundenen Instructure-Vorfall auf fast 275 Millionen Datensätze zugegriffen zu haben, wie in ShinyHunters beansprucht 275 Mio. Datensätze bei Instructure-Panne ausführlich beschrieben.

Regulatorische Rahmenbedingungen wie FERPA in den Vereinigten Staaten verpflichten Bildungseinrichtungen zum Schutz von Studierendenunterlagen, doch die Verpflichtungen und Durchsetzungsmechanismen werden kompliziert, wenn Daten von einem Drittanbieter gehalten werden. Schulen können einer Haftung ausgesetzt sein, obwohl sie nicht die direkten Ziele des Angriffs waren.

Wie Studierende und Mitarbeitende sensible akademische Daten schützen können

Während institutionelle Sicherheitsentscheidungen bei Administratoren und IT-Abteilungen liegen, gibt es konkrete Schritte, die Studierende und Mitarbeitende unternehmen können, um ihre persönliche Exposition zu verringern.

Verwenden Sie starke, einzigartige Passwörter. Wenn Sie dasselbe Passwort auf mehreren Plattformen wiederverwenden und Canvas-Zugangsdaten kompromittiert werden, können Angreifer Credential-Stuffing-Angriffe auf Ihre E-Mail-, Bank- oder andere Konten versuchen. Verwenden Sie einen Passwort-Manager, um einzigartige Zugangsdaten für jeden Dienst zu generieren und zu speichern.

Aktivieren Sie die Multi-Faktor-Authentifizierung, wo immer möglich. Canvas und die meisten institutionellen SSO-Systeme unterstützen MFA. Wenn Sie diese aktivieren, reicht ein gestohlenes Passwort allein nicht aus, damit ein Angreifer auf Ihr Konto zugreifen kann.

Seien Sie bei Phishing-Versuchen wachsam. Nach einer schwerwiegenden Panne senden Angreifer häufig Folge-Phishing-E-Mails, die die betroffene Plattform oder die Institution selbst imitieren. Behandeln Sie jede unaufgeforderte E-Mail, in der Sie aufgefordert werden, Zugangsdaten zurückzusetzen oder Kontodetails zu bestätigen, mit Skepsis. Gehen Sie direkt zur offiziellen institutionellen URL, anstatt auf E-Mail-Links zu klicken.

Überwachen Sie Ihre akademischen und persönlichen Unterlagen. Wenn Ihre Institution bestätigt, dass Ihre Daten in die Panne einbezogen waren, erwägen Sie eine Kreditsperre und überwachen Sie Anzeichen für Identitätsmissbrauch. Akademische Unterlagen und Studierendenausweise können bei gezielten Social-Engineering-Angriffen verwendet werden.

Fragen Sie Ihre Institution nach Einzelheiten. Schulen sind nach FERPA verpflichtet, Studierende über Pannen zu informieren, die ihre Unterlagen betreffen. Warten Sie nicht passiv; wenden Sie sich an Ihr Immatrikulationsbüro oder die IT-Abteilung und fragen Sie direkt, welche Daten betroffen waren und welche Schutzmaßnahmen in Ihrem Namen ergriffen werden.

Was das für Sie bedeutet

Die zweite Canvas-Datenpanne, von der Schulen und Hochschulen betroffen sind, ist eine Erinnerung daran, dass Bequemlichkeit und Zentralisierung mit Kompromissen verbunden sind. Millionen von Studierenden vertrauten darauf, dass ihre akademischen Institutionen – und die Anbieter, auf die sich diese Institutionen stützen – ihre persönlichen Daten schützen. Dieses Vertrauen wurde in kurzer Zeit zweimal auf die Probe gestellt.

Für Studierende und Lehrende ist die praktische Priorität jetzt, persönliche Konten zu sichern und bei Folgeangriffe wachsam zu bleiben. Für Institutionen sollte die Panne eine ernsthafte Überprüfung der Anbieter-Sicherheitsanforderungen, der Datensparsamkeitspraktiken und der Notfallplanung für den Fall anstoßen, dass Drittanbieter-Plattformen ausfallen oder kompromittiert werden.

Um den vollen Umfang der mit Instructure verbundenen Angriffe und die beteiligten Bedrohungsakteure zu verstehen, lesen Sie die oben verlinkten detaillierten Berichte zur ShinyHunters-Panne. Die Herkunft und die Methoden hinter diesen Vorfällen zu kennen, ist der erste Schritt, um sich für stärkeren Schutz durch die Plattformen einzusetzen, auf die Sie und Ihre Institution täglich angewiesen sind.

2. Canvas-Datenpanne stört Prüfungen an der Penn State und darüber hinaus

Was beim zweiten Instructure-Vorfall geschah

Welche Schulen betroffen waren und wie

Warum zentralisierte EdTech-Plattformen ein Datenschutzrisiko darstellen

Wie Studierende und Mitarbeitende sensible akademische Daten schützen können

Was das für Sie bedeutet

// FAQ

// Verwandt