Instructure, das Unternehmen hinter dem Lernmanagementsystem (LMS) Canvas, bestätigte einen Cybervorfall und eine daraus resultierende Datenpanne, von der seine Cloud-basierte Umgebung betroffen war.
Die Ransomware-Gruppe „ShinyHunters“ gibt an, für den Angriff verantwortlich zu sein, und behauptet, rund 275 Millionen Datensätze gestohlen zu haben, die sich auf Schüler, Lehrer und Mitarbeiter beziehen.
Die Kriminellen übermittelten BleepingComputer eine Liste mit 8.809 Schulbezirken, Universitäten und Online-Bildungsplattformen, deren Canvas-Instanzen ihrer Aussage nach betroffen waren, wobei die Anzahl der Datensätze pro Einrichtung zwischen Zehntausenden und mehreren Millionen lag.
Überprüfen Sie, ob Ihre persönlichen Daten offengelegt wurden.
Was tun, wenn die Instructure/Canvas-Daten Ihres Kindes offengelegt wurden?
Falls Ihnen mitgeteilt wurde, dass Ihr Kind von der Datenpanne bei Instructure betroffen ist, fragen Sie sich vielleicht, was Sie tun können, um es zu schützen. Hier sind einige praktische Maßnahmen, die Sie sofort ergreifen können.
1. Informieren Sie sich, was die Schule und Instructure dazu sagen
Beginnen Sie mit der Mitteilung der Schule oder des Schulbezirks sowie den aktuellen Informationen von Instructure, um zu erfahren, welche Daten Ihres Kindes betroffen waren (z. B. Name, E-Mail-Adresse, Schüler-ID oder Kursinformationen). Befolgen Sie alle empfohlenen Maßnahmen in Bezug auf die Schülerkonten und achten Sie auf weitere Mitteilungen, falls neue Informationen bekannt werden.
Vergewissern Sie sich zunächst, dass die Benachrichtigung echt ist. Wenn Ihnen irgendetwas an der Nachricht verdächtig erscheint – etwa seltsame Links, Druck, sofort zu handeln, oder die Aufforderung, zusätzliche Daten anzugeben –, überprüfen Sie dies zunächst. Rufen Sie direkt die Website des Schulbezirks oder von Instructure auf und nutzen Sie die dort angegebenen Kontaktdaten, um die Echtheit zu überprüfen.
2. Sichern Sie die Schul- und Lernkonten Ihres Kindes
Falls Ihr Kind ein Canvas-Konto oder ein ähnliches Konto besitzt, ändern Sie das Passwort umgehend, insbesondere wenn Ihre Schule es Schülern oder Eltern erlaubt, sich mit Benutzername und Passwort anzumelden, anstatt Single Sign-On zu nutzen. Falls Ihr Kind dazu neigt, Passwörter wiederzuverwenden (zum Beispiel dasselbe Passwort für Canvas, E-Mail und Spielekonten), ändern Sie auch diese anderen Passwörter.
Vergeben Sie für jedes Konto ein eigenes, sicheres und einzigartiges Passwort und erwägen Sie die Nutzung eines Passwort-Managers für die ganze Familie, damit Sie diese Passwörter erstellen und speichern können, ohne sich auf Ihr Gedächtnis verlassen zu müssen. Bei jüngeren Kindern sollten Sie diese Zugangsdaten vielleicht selbst verwalten und eine Liste führen, welche Bildungsplattformen sie nutzen.
3. Aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung (MFA) erschwert es erheblich, sich nur mit einem Passwort bei einem Konto anzumelden. Wenn Ihre Schule oder Ihr Schulbezirk dies für Eltern- oder Schülerkonten zulässt (z. B. einen Code, der per SMS oder E-Mail gesendet oder in einer Authentifizierungs-App generiert wird), sollten Sie diese Funktion aktivieren und die Codes idealerweise an ein Gerät oder eine App senden lassen, über die Sie die Kontrolle haben.
Erinnern Sie Ihr Kind daran, dass Sicherheitscodes wie kurzfristige Passwörter sind. Es sollte sie niemals an Freunde, Lehrer oder Personen weitergeben, die vorgeben, vom „IT-Support“ zu sein – auch wenn eine Nachricht dringend wirkt oder das Logo der Schule enthält.
4. Erwägen Sie einen zusätzlichen Identitätsschutz für Minderjährige
Falls bei dem Datenleck besonders sensible Identifikationsdaten (wie beispielsweise Personalausweisnummern oder Sozialversicherungsnummern in einigen Regionen) betroffen waren, erkundigen Sie sich sowohl bei der Schule als auch bei dem betroffenen Anbieter, welche Schutzmaßnahmen für Minderjährige angeboten werden, wie zum Beispiel Kreditüberwachung oder Dienste zur Wiederherstellung der Identität. In einigen Ländern können Sie zudem eine Kreditsperre oder eine ähnliche Sperre für die Daten eines Minderjährigen veranlassen, um zu verhindern, dass in dessen Namen neue Konten eröffnet werden.
Auch wenn Ihr Kind noch zu jung ist, um bereits eine Bonitätsakte zu haben, lohnt es sich, diesen Vorfall zu notieren, damit Sie daran denken, die Unterlagen Ihres Kindes zu überprüfen, sobald es alt genug ist.
5. Seien Sie auf der Hut vor weiteren Betrugsversuchen
Angreifer verwenden gerne gestohlene Daten von Bildungsplattformen, um Phishing- und Betrugsnachrichten überzeugender zu gestalten, indem sie echte Schulnamen, Lehrer oder Kurse nennen. Seien Sie besonders vorsichtig bei E-Mails und SMS, die angeblich von der Schule, dem Schulbezirk oder Instructure stammen und in denen Sie aufgefordert werden, Anmeldedaten zu „bestätigen“, unerwartete Anhänge (wie „neue Aufgaben“) zu öffnen oder Gebühren auf ungewöhnliche Weise zu bezahlen.
Als Faustregel gilt: Klicken Sie nicht auf Links in unaufgeforderten E-Mails, die sich auf den Datenleck beziehen. Öffnen Sie stattdessen ein neues Browserfenster und rufen Sie die offizielle Website oder App wie gewohnt auf. Melden Sie sich dann dort an, um nach Nachrichten zu suchen.
Was wissen Cyberkriminelle über Sie?
Verwenden Sie den kostenlosen Digital Footprint Scan Malwarebytes, um zu überprüfen, ob Ihre persönlichen Daten online offengelegt wurden.
