Cyberangriff auf Canvas: Erpresser drohen mit Datenleck – Druck auf Instructure steigt

Der Druck auf Instructure, den Betreiber der Lernplattform Canvas, wächst weiter: Cyberkriminelle drohen damit, sensible Daten zu veröffentlichen, die sie während eines monatelangen Cyberangriffs erbeutet haben wollen. Die Attacke führte zu massiven Ausfällen, durch die Schulen, Lehrkräfte und Studierende zeitweise keinen Zugriff auf wichtige Systeme hatten.

Canvas wieder online – doch die Krise ist nicht vorbei

Nach der vorübergehenden Abschaltung der Plattform gab Instructure am Freitag bekannt, dass Canvas wieder vollständig funktionsfähig sei. Der Angriff umfasste jedoch nicht nur technische Störungen: Die Angreifer hinterließen eine manipulierte Login-Seite und beanspruchten die Verantwortung für den Vorfall.

Die Hackergruppe ShinyHunters, bekannt für ihre Erpressungsversuche, behauptet, 3,65 Terabyte Daten mit 275 Millionen Einträgen aus 8.809 Schulsystemen gestohlen zu haben. Eine Lösegeldforderung bestätigte Instructure bisher nicht. Die Gruppe setzte zunächst eine Frist bis zum 6. Mai, die ohne Zahlung verstrich. Daraufhin verschärften die Angreifer ihre Taktik: Sie platzierten eine Erpressungsnachricht direkt auf den Login-Seiten von rund 330 Bildungseinrichtungen und verlängerten die Frist auf den 12. Mai.

Experten warnen vor einem der größten Datenlecks im Bildungssektor

Cynthia Kaiser, Senior Vice President des Halcyon Ransomware Research Center, bezeichnete den Vorfall als „eines der größten Datenlecks im Bildungssektor, die wir je verfolgt haben“. Die öffentliche Druckausübung zwang Instructure schließlich zur vorübergehenden Abschaltung von Canvas, was zu erheblichen Störungen im Schul- und Hochschulbetrieb führte.

Instructure-CEO entschuldigt sich für mangelnde Kommunikation

In einer Stellungnahme entschuldigte sich Steve Daly, CEO von Instructure, für die unzureichende Kommunikation während der Krise: „In den vergangenen Tagen mussten viele von Ihnen erhebliche Einschränkungen hinnehmen. Stress in Ihren Teams, verpasste Unterrichtsmomente, unbeantwortete Fragen. Sie hätten eine konsequentere Kommunikation von uns verdient – dafür entschuldige ich mich.“

Daly bestätigte, dass durch den Angriff Benutzernamen, E-Mail-Adressen, Kursnamen, Einschreibungsdaten und Nachrichten betroffen seien. Nicht kompromittiert seien jedoch Kursinhalte, Abgaben oder Anmeldedaten. Die Ermittlungen laufen unter Beteiligung des Sicherheitsunternehmens CrowdStrike weiter.

Politische Reaktionen: US-Kongress fordert Aufklärung

Der Vorfall hat auch politische Kreise alarmiert. Der House Homeland Security Committee forderte Instructure auf, bis zum 21. Mai Auskunft über die Vorfälle zu geben. In einem Schreiben an Daly heißt es: „Das erneute Eindringen nur wenige Tage nach der ersten Offenlegung wirft ernsthafte Fragen zur Incident-Response-Fähigkeit von Instructure und deren Verpflichtungen gegenüber den Einrichtungen und Nutzern auf, deren Daten sie speichert.“

Der Ausschussvorsitzende Andrew Garbarino (Republikaner, New York) kritisierte insbesondere die scheinbare Unfähigkeit, die zugrundeliegenden Schwachstellen innerhalb des kurzen Zeitraums zu beheben.

Fazit: Eine Krise mit weitreichenden Folgen

Der Cyberangriff auf Canvas zeigt einmal mehr die Verwundbarkeit kritischer Bildungsinfrastrukturen. Während Instructure die Plattform wiederhergestellt hat, bleiben Fragen zur Datensicherheit und Krisenkommunikation offen. Die Erpresser setzen weiterhin Druck auf – und die betroffenen Bildungseinrichtungen müssen mit den Folgen leben.