ShinyHunters behauptet 275 Millionen Datensätze beim Instructure-Datenleck

ShinyHunters behauptet, 275 Millionen Datensätze vom Edtech-Riesen Instructure gestohlen zu haben

Das Bildungstechnologieunternehmen Instructure hat einen Datenschutzverstoß bestätigt, nachdem die berüchtigte Hackergruppe ShinyHunters damit gedroht hat, Daten zu veröffentlichen, die sie nach eigenen Angaben von fast 9.000 Bildungseinrichtungen gestohlen hat. Die Gruppe behauptet, Datensätze von 275 Millionen Schülern, Lehrern und weiteren Personen erlangt zu haben – sollten sich diese Angaben bestätigen, wäre dies einer der größten je gemeldeten Datenverstöße im Bildungssektor.

Instructure, vor allem bekannt durch sein weit verbreitetes Lernmanagementsystem Canvas, hat den vollen Umfang der abgerufenen Daten bislang nicht öffentlich bestätigt. Das Unternehmen legte den Vorfall unter dem Erpressungsdruck von ShinyHunters offen – einer Gruppe mit einer langen Erfolgsbilanz groß angelegter Datendiebstähle und öffentlicher Leak-Drohungen, die darauf ausgelegt sind, Organisationen zur Lösegeldzahlung zu zwingen.

Wer ist ShinyHunters und warum sollte Sie das interessieren?

ShinyHunters ist in Cybersicherheitskreisen kein unbekannter Name. Die Gruppe wird mit Dutzenden hochkarätiger Datenverstöße der letzten Jahre in Verbindung gebracht und hat Unternehmen aus den Bereichen Einzelhandel, Finanzen, Gesundheitswesen und Technologie ins Visier genommen. Ihr typisches Vorgehen besteht darin, große Mengen an Nutzerdaten zu exfiltrieren und anschließend damit zu drohen, diese in Darknet-Foren zu veröffentlichen, sofern die betroffene Organisation nicht zahlt.

Was diesen konkreten Vorfall besonders bemerkenswert macht, ist das schiere Ausmaß des behaupteten Diebstahls und die Sensibilität der betroffenen Personengruppe. Schüler und Studierende, von denen viele minderjährig sind, stellen eine besonders schutzbedürftige Gruppe dar. Bildungsdaten können Namen, E-Mail-Adressen, institutionelle IDs und in manchen Fällen sensiblere Informationen aus akademischen oder administrativen Systemen umfassen. Daten dieser Art können für Phishing-Kampagnen, Identitätsbetrug und Social-Engineering-Angriffe genutzt werden, die unter Umständen erst Monate oder Jahre nach dem ursprünglichen Datenleck auftreten.

Die Beteiligung von fast 9.000 Einrichtungen bedeutet zudem, dass die Gefährdung geografisch und organisatorisch weit gestreut ist – sie umfasst Schulen aller Stufen, Hochschulen, Universitäten und möglicherweise auch Unternehmensschulungsprogramme, die Canvas nutzen.

Was das für Sie bedeutet

Wenn Sie oder Ihre Kinder eine Schule, Hochschule oder Universität besuchen, die Instructures Canvas-Plattform verwendet, könnten Ihre Daten betroffen sein. In dieser Phase empfiehlt es sich, unabhängig davon, ob Sie eine offizielle Benachrichtigung erhalten, einige Vorsichtsmaßnahmen zu treffen.

Seien Sie erstens wachsam gegenüber Phishing-Versuchen. Angreifer, die E-Mail-Adressen aus kompromittierten Datenbanken erhalten, versenden häufig gezielte E-Mails, die wie offizielle Mitteilungen von Schulen, Studienfinanzierungsstellen oder Technologieanbietern aussehen. Jede unerwartete E-Mail, die Sie auffordert, auf einen Link zu klicken, Anmeldedaten zu bestätigen oder Zahlungsinformationen zu aktualisieren, sollte mit Skepsis behandelt werden.

Erwägen Sie zweitens, für alle mit Ihrer Bildungseinrichtung verbundenen Konten einzigartige, starke Passwörter zu verwenden. Ein Passwort-Manager erleichtert die Verwaltung über mehrere Anmeldungen hinweg. Wenn Ihr Schulkonto ein Passwort mit anderen Diensten teilt, ändern Sie diese Passwörter jetzt.

Drittens sollten Eltern minderjähriger Schüler besonders aufmerksam sein. Kinderdaten sind für Betrüger besonders wertvoll, da sie oft jahrelang unbeobachtet bleiben und Kriminellen ein langes Zeitfenster bieten, sie zu missbrauchen, bevor es jemandem auffällt.

Für IT-Administratoren und Sicherheitsteams in Bildungseinrichtungen ist dieser Vorfall eine Mahnung, den Zugriff von Drittanbieter-Anbietern zu überprüfen. Organisationen, die auf Plattformen wie Canvas angewiesen sind, gewähren diesen Plattformen häufig erheblichen Zugriff auf Schülerinformationssysteme. Zu überprüfen, welche Daten geteilt werden, wie sie gespeichert sind und welchen vertraglichen Sicherheitsverpflichtungen Anbieter unterliegen, ist keine optionale Aufgabe – es ist wesentliches Risikomanagement.

Das umfassendere Problem mit der Sicherheit im Bildungssektor

Der Bildungsbereich zählt in Berichten über Datenverstöße durchgehend zu den am stärksten angegriffenen Sektoren, gehört aber gleichzeitig in Bezug auf Cybersicherheitsbudgets und Personal oft zu den am wenigsten gut ausgestatteten. Schulen und Universitäten verwalten große Mengen personenbezogener Daten, während sie häufig mit veralteter Infrastruktur, begrenztem IT-Personal und engen finanziellen Spielräumen arbeiten.

Der Instructure-Datenschutzverstoß verdeutlicht das kumulative Risiko, das entsteht, wenn Daten von Tausenden von Einrichtungen über eine einzige Plattform zentralisiert werden. Wenn diese Plattform zum Angriffsziel wird, ist die Schadenswirkung enorm. Ein Datenleck, das eine einzelne Einrichtung isoliert betreffen würde, trifft stattdessen fast 9.000 gleichzeitig.

Dies ist kein Argument gegen cloudbasierte Edtech-Plattformen, die echten Mehrwert bieten. Es ist ein Argument dafür, diese Plattformen an den höchsten Sicherheitsstandards zu messen und dafür, dass Einrichtungen mehrschichtige Sicherheit praktizieren – einschließlich der Durchsetzung von Multi-Faktor-Authentifizierung, der Minimierung unnötiger Datenweitergabe und der Pflege klarer Notfallpläne.

Handlungsempfehlungen

• Überwachen Sie Ihre Konten. Achten Sie auf ungewöhnliche Anmeldeaktivitäten bei Konten, die mit Ihrer Schule oder Universität verbunden sind.
• Aktualisieren Sie Passwörter. Ändern Sie die Zugangsdaten für Ihr Canvas-Konto und alle anderen Dienste, die dasselbe Passwort verwenden.
• Aktivieren Sie die Multi-Faktor-Authentifizierung für Ihre Bildungskonten, sofern diese verfügbar ist.
• Achten Sie auf Phishing. Seien Sie vorsichtig bei unaufgeforderten E-Mails, die vorgeben, von Ihrer Einrichtung oder direkt von Instructure zu stammen.
• Eltern: Überprüfen Sie den digitalen Fußabdruck Ihres Kindes. Erwägen Sie, einen Kredit-Freeze für die Sozialversicherungsnummer eines minderjährigen Kindes zu beantragen, wenn Sie in den USA leben, da gestohlene Schülerdaten jahrelang missbraucht werden können.
• Einrichtungen: Überprüfen Sie den Anbieterzugang. Prüfen Sie, auf welche Daten Drittanbieter-Edtech-Plattformen zugreifen können, und stellen Sie sicher, dass Verträge klare Sicherheits- und Benachrichtigungspflichten bei Datenverstößen enthalten.

Der vollständige Umfang des Instructure-Datenschutzverstoßes ist noch nicht vollständig bekannt. Sobald weitere Details verfügbar sind, sollten betroffene Personen und Einrichtungen den offiziellen Hinweisen von Instructure folgen und wachsam bleiben. Datenverstöße dieses Ausmaßes brauchen Zeit, um vollständig verstanden zu werden, aber die oben genannten Schritte können Ihr Risiko bereits heute verringern.