Der größte Datenskandal der Bildungsgeschichte: Hack bei Canvas zeigt Risiken zentralisierter EdTech-Systeme

Am Donnerstagnachmittag wurden Millionen von Studierenden und Schülern an tausenden Universitäten und Schulen in den USA vorübergehend von Canvas ausgesperrt. Die Lernplattform, die in vielen Bildungseinrichtungen als zentrales Werkzeug für Kommunikation, Aufgaben und Prüfungen dient, war Opfer eines Hackerangriffs der Ransomware-Gruppe ShinyHunters geworden. Diese behauptet, sensible Daten von über 275 Millionen Nutzern gestohlen zu haben – darunter Namen, E-Mail-Adressen, Schüler-IDs und interne Nachrichten.

Der Vorfall wirft ein Schlaglicht auf die Risiken zentralisierter EdTech-Systeme. Canvas dient als zentrale Schnittstelle für Lehrkräfte, die Aufgaben hochladen, Diskussionen moderieren und mit Studierenden kommunizieren. Gleichzeitig verbindet die Plattform verschiedene Bildungs-Tools miteinander. Instructure, das Unternehmen hinter Canvas, bestätigte den Hack und räumte ein, dass „bestimmte persönliche Daten“ von Nutzern betroffen seien. Dazu gehören Namen, E-Mail-Adressen, Schüler-IDs und interne Nachrichten.

Laut Instructure erfolgten zwei Angriffe: einer bereits am 29. April und ein weiterer am Donnerstag. Nach dem Vorfall wurde Canvas zwar größtenteils wiederhergestellt, doch ob ein Lösegeld gezahlt wurde, bleibt unklar.

Experten warnen vor „größtem Datenskandal der Bildungsgeschichte“

Der digitale Bibliothekar Ian Linkletter, der seit 20 Jahren im Bildungsbereich tätig ist und sich auf Datenschutzfragen spezialisiert hat, bezeichnete den Vorfall als „den größten Datenskandal der Bildungsgeschichte“. Linkletter ist bekannt für seine Kritik an Überwachungstechnologien in der Bildung, etwa an der Testsoftware Proctorio, die während der Pandemie an Bedeutung gewann. Gegen ihn wurde eine Klage eingereicht, die jedoch später fallen gelassen wurde.

In einem Gespräch mit 404 Media erklärte Linkletter, dass die Auswirkungen des Hacks weitreichend seien: „Ab 13:20 Uhr [Ortszeit] begannen Nutzer, Screenshots der Warnmeldung in sozialen Medien zu teilen. Einige Schulen rieten Nutzern, ihre Passwörter zu ändern, während andere überlegen, ob sie Prüfungen verschieben müssen. Die Abhängigkeit von solchen Systemen ist enorm – sie steuern Kommunikation, Benotung und sogar Abschlussprüfungen.“

Linkletter betonte, dass der Wechsel von dezentralen, selbstgehosteten Lernmanagementsystemen zu zentralisierten Plattformen wie Canvas das Risiko für großflächige Datenschutzverletzungen erhöht. „Früher nutzten Universitäten wie die University of British Columbia selbst gehostete Systeme. Mit Canvas wurde alles in einer einzigen, extern verwalteten Plattform gebündelt – ein Paradies für Hacker.“

Was bedeutet der Hack für Studierende und Schulen?

• Sofortmaßnahmen: Betroffene sollten ihre Passwörter ändern und auf Phishing-Versuche achten.
• Langfristige Risiken: Die gestohlenen Daten könnten für Identitätsdiebstahl oder gezielte Angriffe missbraucht werden.
• Abhängigkeit von EdTech: Der Vorfall zeigt, wie verletzlich Bildungseinrichtungen durch die Nutzung weniger zentraler Plattformen werden.

Experten fordern nun eine kritische Überprüfung der Abhängigkeit von solchen Systemen und plädieren für dezentrale Lösungen, um künftige Angriffe zu erschweren. Die Frage bleibt: Wie sicher sind die Daten von Millionen Studierenden in den Händen weniger großer EdTech-Anbieter?