Canvas im Kreuzfeuer: Datenpannen erschüttern Instructure

US-Abgeordnete nehmen Instructure ins Visier, das Unternehmen hinter der weit verbreiteten Bildungssoftware Canvas. Sie wollen Antworten. Vor allem zu wiederholten Datenpannen, die persönliche Daten von Millionen Schülern weltweit gefährdet haben.

Das bringt den US House Homeland Security Committee auf den Plan. Der Ausschussvorsitzende, Rep. Andrew Garbarino, fordert Instructure-CEO Steve Daly auf, zur Handhabung dieser Cyberangriffe Stellung zu nehmen. Dabei unterstützt sogar die Cybersecurity and Infrastructure Security Agency (CISA) die Untersuchungen.

Die Sicherheitslücken wurden durch genau dieselbe Schwachstelle ausgenutzt. Hacker haben nicht nur sensible Daten gestohlen. Sie haben auch Schul-Login-Seiten verunstaltet. Zweimal. Wie konnte der gleiche Angreifer zweimal in Instructures Systeme eindringen? Genau das wollen die Abgeordneten wissen.

Instructure gibt an, mit den Hackern, bekannt als ShinyHunters, eine Abmachung getroffen zu haben. ShinyHunters sollen angeblich versprochen haben, die gestohlenen Daten zu löschen. Aber zu welchem Preis? Instructure schweigt dazu. Sicherheitsexperten sind sich einig: Hacker zu bezahlen, lädt oft nur zu weiteren Problemen ein. Und wer vertraut schon darauf, dass ein Hacker tatsächlich etwas löscht?

Was die Abgeordneten wissen wollen

• Wie konnten Hacker wiederholt auf Instructures Systeme zugreifen?
• Welche Daten wurden genau kompromittiert?
• Kommuniziert Instructure überhaupt mit CISA? Und werden die Schulen informiert?

Garbarinos Brief kritisiert Instructures verpatzte Reaktion. Systemische Mängel, sagt er. Große. Schulen verlassen sich auf Canvas. Deshalb ist das so wichtig.

Auch Europa schaut hin

Obwohl das momentan vor allem ein US-Problem ist, sollten europäische Schulen, die Canvas nutzen, aufmerksam sein. Die Datenschutz-Grundverordnung (DSGVO) der EU hat strenge Datenschutzregeln. Diese Datenpannen? Könnten große Probleme für die Einhaltung der Vorschriften bedeuten. Und für das Vertrauen. Besonders für amerikanische Softwareunternehmen, die dort verkaufen.

Für Canvas-Nutzer

Wenn Du als Lehrer oder Administrator Canvas nutzt, ist es wichtig, informiert zu bleiben. Hat Deine Schule einen soliden Cyber-Sicherheitsplan? Erhältst Du von Instructure Updates zu ihren Sicherheitsmaßnahmen? Ehrlich gesagt, wenn Du immer noch besorgt bist, schau Dich vielleicht nach Alternativen um.

Noch keine Antworten

• Wird Instructures CEO tatsächlich erscheinen, um auszusagen?
• Wie viel haben sie ShinyHunters gezahlt? Falls überhaupt.
• Welche neuen Sicherheitsmaßnahmen setzt Instructure ein, um zukünftige Datenpannen zu verhindern?

Fazit

Instructures Datenpannen legen gravierende Mängel in der Sicherheit von Bildungstechnologien offen. Online-Lernen ist allgegenwärtig. Gute Sicherheit ist kein Luxus, sondern eine Notwendigkeit. Transparenz. Verantwortung. Besonders, wenn es um Schülerdaten geht. Das brauchen wir.