Der jüngste Cyberangriff auf Canvas, das von Tausenden von Schulen und Universitäten weltweit genutzte Lernmanagementsystem, ist eine weitere deutliche Erinnerung daran, dass die Bildung Bildungssektor eines der attraktivsten Ziele für Cyberkriminelle ist. Der Angriff, der mit der Erpressergruppe ShinyHunters in Verbindung gebracht wird, betraf Berichten zufolge Einrichtungen in mehreren Ländern und enthüllte potenziell große Mengen an Daten von Schülern und Mitarbeitern.
Für viele Bildungseinrichtungen ging die Störung weit über Unannehmlichkeiten hinaus. Der Unterricht wurde unterbrochen, Portale wurden unzugänglich, Prüfungen verzögerten sich und die Einrichtungen waren gezwungen, während kritischer akademischer Perioden in den Krisenreaktionsmodus zu wechseln. Einigen Berichten zufolge behaupteten die Angreifer, sie hätten Zugriff auf Hunderte Millionen Datensätze von Studierenden, Lehrkräften und Mitarbeitern weltweit sowie auf Anmeldedaten und private Nachrichten, auf die sie angeblich über Exportfunktionen und APIs von Canvas zugreifen konnten.
Dieser Vorfall verdeutlicht eine Tatsache, die vielen im Cybersicherheitssektor schon lange bekannt ist. Schulen, Hochschulen und Universitäten bewegen sich in einem zunehmend feindseligen digitalen Umfeld, verfügen aber häufig nicht über die Ressourcen, die Transparenz und die Sicherheitsreife, die für eine wirksame Verteidigung erforderlich sind.
Bildungseinrichtungen stehen vor einer besonders schwierigen Herausforderung im Bereich der Cybersicherheit.
Anders als viele kommerzielle Organisationen sind Universitäten und Schulen auf Offenheit und Zugänglichkeit ausgelegt. Tausende von Studenten, Dozenten, Auftragnehmern und externen Partnern benötigen täglich Zugang zu Systemen und Daten. Die Benutzer verbinden sich über persönliche Geräte, entfernte Standorte und nicht verwaltete Netzwerke. An der Forschungszusammenarbeit sind häufig Dritte und Cloud-Plattformen beteiligt.
Aus diesem Grund wird Zero-Trust-Sicherheit im gesamten Bildungssektor immer wichtiger.
Richard Ford, CTO von Integrity360, sagt: "Abgesehen von Budgetbeschränkungen ist die größte Herausforderung im Bildungsbereich der Zugang. Zugang für Schüler, Lehrer und Dritte, wobei die meisten Geräte nicht verwaltet werden. Hier zeichnet sich Zero Trust aus und sollte eine Priorität sein, um sicherzustellen, dass das Prinzip der geringsten Privilegien umgesetzt wird und die Identitäten und der Zugang gesichert sind.
Für Schulen und Universitäten kann dieser Ansatz das Risiko, das von kompromittierten Anmeldedaten, nicht verwalteten Geräten und dem Zugriff durch Dritte ausgeht, erheblich verringern. Eine strenge Identitätsüberprüfung, Zugriffskontrollen mit geringsten Rechten, kontinuierliche Überwachung und Segmentierung tragen dazu bei, die Reichweite von Angreifern zu begrenzen, wenn ein Konto kompromittiert wird.
Gleichzeitig speichern die Einrichtungen enorme Mengen an äußerst wertvollen Informationen. Studentendaten, Finanzdaten, Forschungsdaten, geistiges Eigentum, Prüfungsunterlagen und sensible Kommunikation bieten Angreifern attraktive Möglichkeiten.
Der Canvas-Vorfall zeigt, wie sich eine Kompromittierung bei einem externen Technologieanbieter schnell auf Tausende von Einrichtungen gleichzeitig auswirken kann.
Diese Abhängigkeit von der Lieferkette wird zu einem der größten Risiken in diesem Sektor.
Viele Bildungseinrichtungen verlassen sich stark auf Cloud-basierte Lernplattformen, Tools für die Zusammenarbeit und extern verwaltete Anwendungen. Diese Technologien bieten zwar Flexibilität und Skalierbarkeit, vergrößern aber auch die Angriffsfläche dramatisch.
Instructure, das Unternehmen, das hinter der Lernplattform Canvas steht, bestätigte Anfang Mai einen Cyberangriff, nachdem sich Angreifer, die mit der Gruppe ShinyHunters in Verbindung stehen, unbefugten Zugang zu Benutzerdaten verschafft hatten. Berichten zufolge wurden Namen, E-Mail-Adressen, Studenten-ID-Nummern und Benutzernachrichten von Schulen und Universitäten auf der ganzen Welt veröffentlicht.
Einige Tage später eskalierte der Vorfall, als die Canvas-Anmeldeseiten von Hunderten von Bildungseinrichtungen mit Lösegeldforderungen von ShinyHunters verunstaltet worden sein sollen. Studenten und Mitarbeiter, die versuchten, sich einzuloggen, wurden zu Nachrichten umgeleitet, in denen mit der Freigabe der gestohlenen Daten gedroht wurde, falls nicht innerhalb einer bestimmten Frist Verhandlungen stattfinden würden .
"Eine erneute Kompromittierung im Abstand von einigen Tagen unterstreicht zwei wichtige Dinge, auf die wir im Bereich der Cybersicherheit achten müssen. Erstens ist die Hartnäckigkeit allgegenwärtig, und Angreifer können in einer Umgebung bleiben, nachdem sie eingedämmt wurden. Es ist von entscheidender Bedeutung, dass nach dem Einbruch eine Überwachung stattfindet, um sicherzustellen, dass die Eindämmung und Ausmerzung erfolgreich war. Zweitens, und falls es sich um einen völlig neuen Einbruch handelt, zeigt dies, wie hartnäckig Angreifer sein können, um sich ihren Zahltag zu sichern", sagt Richard.
Während einige frühe Berichte spekulierten, dass gefälschte Login-Portale involviert gewesen sein könnten, deuten aktuelle bestätigte Berichte eher darauf hin, dass die Angreifer Schwachstellen in der "Free-For-Teacher"-Umgebung von Instructure ausnutzten und dann die Login-Seiten als Teil der Erpressungskampagne veränderten.
Der Angriff verursachte erhebliche Störungen während kritischer Prüfungsperioden und verhinderte den Zugang zu Kursarbeiten, Aufgaben und Kommunikationssystemen in Tausenden von Einrichtungen weltweit. Der Vorfall verdeutlicht, wie stark der Bildungssektor mittlerweile von Cloud-Plattformen abhängig ist und wie schnell sich eine Kompromittierung bei einem großen Anbieter auf Schulen und Universitäten weltweit auswirken kann.
Viele Schulen und Universitäten können bei den Budgets für Cybersicherheit und der Gewinnung von Fachkräften einfach nicht mit dem Privatsektor mithalten.
Die Sicherheitsteams sind oft klein, überfordert und haben die Aufgabe, immer komplexere Umgebungen mit begrenzten Mitteln zu schützen. Dies kann zu verspäteten Patches, inkonsistenter Überwachung und Lücken in der Reaktionsbereitschaft bei Zwischenfällen führen.
Angreifer wissen das.
Das Bildungswesen ist nach wie vor einer der am häufigsten angegriffenen Sektoren weltweit, da Bedrohungsakteure Institutionen oft als weiche Ziele mit wertvollen Daten und schwächeren Verteidigungsfähigkeiten betrachten.
Moderne Bildungsumgebungen sind von Natur aus dezentralisiert.
Einrichtungen können über mehrere Standorte, Fernstudenten, hybride Unterrichtsmodelle, Cloud-Anwendungen und Tausende von nicht verwalteten Endgeräten verfügen, die sich täglich verbinden. Die Sichtbarkeit wird schwierig, insbesondere wenn ältere Infrastrukturen und moderne Cloud-Dienste nebeneinander bestehen.
Dies bietet Angreifern die Möglichkeit, schwache Authentifizierungskontrollen, kompromittierte Anmeldeinformationen oder unzureichend gesicherte Integrationen auszunutzen.
Der Canvas-Angriff verdeutlicht die Risiken, die mit Drittanbietern verbunden sind.
Selbst Einrichtungen mit starken internen Kontrollen können gefährdet sein, wenn eine vertrauenswürdige externe Plattform angegriffen wird. Lernmanagementsysteme, Kommunikationsplattformen, Forschungsportale und Verwaltungssysteme stellen allesamt potenzielle Angriffspunkte dar.
Bildungseinrichtungen müssen jetzt nicht mehr nur ihre eigene Infrastruktur absichern. Sie brauchen auch einen Überblick über die Risiken von Anbietern und Drittanbietern.
Studierende und Mitarbeiter sind nach wie vor ein Hauptziel für Phishing-Kampagnen und Social-Engineering-Angriffe.
Akademische Kalender schaffen vorhersehbare Angriffszeitfenster. Einschreibungszeiträume, Prüfungszeiträume und Fristen für finanzielle Unterstützung bieten Angreifern die Möglichkeit, sich als vertrauenswürdige Systeme auszugeben oder die Dringlichkeit auszunutzen.
Wo es eine große Anzahl unerfahrener oder flüchtiger Benutzer gibt, sehen Angreifer oft einen einfachen Weg in institutionelle Umgebungen.
Bei Cyberangriffen im Bildungswesen geht es nicht mehr nur um Datendiebstahl. Die Störung selbst ist zu einer Waffe geworden.
Wenn Online-Lernsysteme ausfallen, kann es für Einrichtungen schwierig werden, Unterricht zu erteilen, Kursarbeiten zu bearbeiten oder effektiv mit Studenten zu kommunizieren. In einigen Fällen kann der gesamte akademische Betrieb zum Erliegen kommen.
Auch der Rufschaden kann schwerwiegend sein, insbesondere wenn es um das Vertrauen der Studierenden und den Schutz ihrer Interessen geht.
Der traditionelle reaktive Ansatz für die Cybersicherheit reicht für den Bildungssektor nicht mehr aus.
Wenn man wartet, bis ein Vorfall eintritt, bevor man in Sichtbarkeit, Erkennung und Reaktion investiert, geht man unnötige Risiken ein. Bildungseinrichtungen benötigen proaktive Cybersicherheitsstrategien, die in der Lage sind, verdächtige Aktivitäten zu erkennen, bevor eine Störung eskaliert.
Dazu gehören:
Bei der Cyber-Resilienz im Bildungswesen geht es heute nicht nur um den Schutz von Daten, sondern auch um die Aufrechterhaltung der Betriebskontinuität.
Bildungseinrichtungen benötigen Partner im Bereich Cybersicherheit, die die Komplexität des Sektors verstehen und praktische, skalierbare Unterstützung bieten können.
Integrity360 arbeitet mit Organisationen im gesamten Bildungswesen und im weiteren öffentlichen Sektor zusammen, um die Cyber-Resilienz zu stärken, die Sichtbarkeit zu verbessern und das Betriebsrisiko zu verringern, und hilft Institutionen, Bedrohungen schnell zu erkennen und auf sie zu reagieren, bevor sie zu größeren Zwischenfällen werden.
Zu den Dienstleistungen, die Schulen, Colleges und Universitäten unterstützen können, gehören:
Integrity360 ist auch im Rahmen des NCSC Cyber Incident Response Scheme versichert, was zusätzliches Vertrauen für Organisationen schafft, die während einer Krise erfahrene Unterstützung bei der Reaktion auf Vorfälle suchen.
Der Canvas-Cyberangriff wird wahrscheinlich nicht der letzte größere Vorfall sein, der den Bildungssektor betrifft. Da die Institutionen ihre digitalen Ökosysteme weiter ausbauen, werden Angreifer weiterhin nach Schwachstellen suchen, die sie ausnutzen können.
Bildungseinrichtungen können das Risiko nicht völlig ausschalten, aber sie können ihre Widerstandsfähigkeit, Sichtbarkeit und Reaktionsfähigkeit drastisch verbessern.
Machen Sie sich Sorgen um Ihre Cybersicherheit? Nehmen Sie Kontakt mit den Experten von Integrity360 auf.