Ransomware-Angriff auf Canvas: Setzen, 6!

Anfang des Monats haben Cyberkriminelle die Lernplattform Canvas gehackt und lahmgelegt. Um die angedrohte Veröffentlichung von zig Millionen personenbezogenen und privaten Nutzerdaten zu verhindern, hat sich der Betreiber Instructure dazu entschieden, der Lösegeldforderung der Hacker nachzugeben und die Nutzer mit wertlosen Beschwichtigungen abzuspeisen. Ein Lehrbeispiel des Cyber-Versagens.

(Foto: Prostock-Studio - GettyImages)

Die Cyberattacke auf Canvas ist nicht nur ein Ransomware-Angriff wie aus dem Lehrbuch, sondern zugleich auch auf das – digitale – Lehrbuch. Als am 7. Mai weltweit Millionen Nutzer plötzlich nicht mehr auf ihre Lehr- und Lernmaterialien, Kursangebote und Kommunikationsfunktionen auf der Lernplattform zugreifen konnten, war schnell klar, dass es sich nicht um einen technischen Fehler, sondern um einen Hackerangriff handelt. Denn statt der gewünschten Inhalte wurde vielen von ihnen beim Login direkt eine Lösegeldforderung angezeigt. Auch was danach folgte, taugt durchaus als Musterbeispiel: und zwar dafür, wie es nicht laufen sollte.

Un-Kommunikation in Reinform

Nachdem der amerikanische Betreiber Instructure sich zunächst recht wortkarg gegeben hatte, teilte er einige Tage später mit, dass der öffentlich wahrgenommene Angriff bereits der zweite war: "Am 29. April 2026 stellten wir unbefugte Aktivitäten in Canvas fest. Wir entzogen der unbefugten Partei umgehend den Zugriff, leiteten eine Untersuchung ein und zogen externe forensische Experten hinzu." Diese stellten neben den Softwareschwachstellen offenbar auch einige grundlegende technische Versäumnisse fest und veranlassten das Unternehmen zur sofortigen Implementierung zusätzlicher Sicherheitsmaßnahmen wie eines umfassenden Monitorings. Dadurch sei dann wenigstens der zweite Angriff am 7. Mai "ungefähr 10 Minuten nach seinem Beginn" aufgedeckt worden, berichtet der Anbieter und versichert: "Bei diesem zweiten Angriff wurden keine weiteren Daten eingesehen oder exfiltriert." Ein ziemlich wertloser Beruhigungsversuch angesichts des Umstands, dass die Hacker wohl schon beim ersten Angriff einen gigantischen Datenschatz erbeutet haben (siehe unten).

Hurra, hurra, die Plattform brennt

Die Folgen waren und sind gleich in mehrfacher Hinsicht genauso weitreichend wie unangenehm. Zunächst trafen sie vor allem die Nutzer, die Canvas sowohl während des Angriffs als auch der daraufhin eingeleiteten Sicherheitsabschaltung (Wartungsmodus) zur Eindämmung und Untersuchung des Vorfalls durch Experten von Sicherheitsanbietern und Einrichtungen wie der Bundespolizei FBI nicht nutzen konnten. Konkret bedeutete das, dass viele der rund 10.000 Bildungseinrichtungen, die Canvas nutzen und ihren Millionen von Schülern und Studenten zur Verfügung stellen, plötzlich von wichtigen Funktionen und Inhalten abgeschnitten waren. Nach Hersteller-Angaben nutzen allein in den USA die Hälfte aller Colleges Canvas und auch in Deutschland ist die Plattform bei Einrichtungen und Lehrpersonal weit verbreitet. Somit fielen vielerorts spontan Kurse und Unterrichtseinheiten aus, Abgabefristen mussten auf unbekannt verlängert und sogar Prüfungen verschoben werden.

250 Millionen Nutzer als Daten-Geiseln

Noch deutlich problematischer ist der Vorfall allerdings für Instructure. Das Versagen beim Schutz der teils hochsensiblen Daten und die verspätete und intransparente Kommunikation bedeuten einen bitteren Imageverlust und könnte nicht zuletzt in der EU noch zu Strafzahlungen und dem Verlust von Kunden aus dem öffentlichen Bereich führen. Immerhin wollen die Hacker der Gruppe Shiny, die sich zu dem Angriff bekannt haben, sensible und persönliche Daten wie Namen, E-Mail-Adressen und Chats so ziemlich aller Canvas-Kunden und ihrer angeschlossenen Nutzer erbeutet haben.

In ihrem an US-Medien verteilten Bekennerschreiben sprechen sie von fast 9.000 betroffenen Einrichtungen und über 250 Millionen Lehrkräften, Schülern und Studenten. Sollte der Betreiber ihrer Lösegeldforderung nicht nachkommen, wollten sie Anfang dieser Woche damit beginnen, Teile davon zu veröffentlichen. Eine klassische Doppelerpressung also, wie sie heute bei Ransomware-Attacken üblich ist.

Zahlenspiele mit n Unbekannten

Um diese weitere Eskalationsstufe Szenario zu vermeiden, hat sich Instructure – ganz im Sinne der Erpresser und entgegen den einhelligen Rat der meisten Security-Experten – kurz vor Ablauf der Frist dazu entschieden, der Forderung nachzukommen. So kann man nun weiter beschwichtigen: "In Verantwortung gegenüber allen Betroffenen hat Instructure mit dem unbefugten Akteur, der an diesem Vorfall beteiligt war, eine Vereinbarung getroffen. Bestandteil dieser Vereinbarung ist:

Ein weiterer Fall für die Lehrbuch-Rubrik: Wie man es nicht machen sollte

Was diese "Vereinbarung" gekostet hat, verrät der Anbieter wohlweislich nicht. Denn ob solche Zusicherungen aus dem Mund von Erpressern aber tatsächlich etwas wert sind, darf schwer angezweifelt werden. Es wäre jedenfalls nicht das erste Mal, dass die Cyberkriminellen zusätzliche Kopien in der Hinterhand haben und diese für weitere Angriffe oder Erpressungsversuche gegen das Unternehmen oder einzelne Kunden und Nutzer einsetzen. Beim gezahlten Lösegeld ist sogar sicher, dass mindestens ein Teil davon in neue Kampagnen fließt und damit die Erpressungsmaschine am Laufen hält und so weitere Firmen gefährdet.

Während die Hacker in diesem Fall also ganz klar nach ihrem Lehrbuch der Cybererpressung vorgegangen sind, hat sich der Anbieter der Lernplattform nahezu entgegengesetzt zum Security-Lehrbuch verhalten und stattdessen ein Lehrbeispiel dafür geliefert, wie man es nicht machen sollte. Von der schlechten Vorbereitung über die verschleppte Reaktion und intransparente Kommunikation bis hin zur Lösegeldzahlung.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden