30 Millionen Nutzer. Das ist ungefähr die aktive Basis für Canvas. Instructure führt es aus. Tausende US-Schulen nutzen es zur Benotung, zum Unterrichten und zur Bewältigung des Chaos. Dann haben Hacker es Ende letzter Woche lahmgelegt.
Das Ziel war konkret. Die „Free for Teacher“-Konten von Instructure wurden gehackt. Das sind die Portale, die Pädagogen einen direkten Zugang ermöglichen. Die Gruppe ShinyHunters nahm die Anerkennung entgegen. Sie behaupten, 275 Millionen Datensätze seien gestohlen worden. Etwa 9.000 Institutionen beteiligt. Security Week berichtete über die Zahlen.
Am Mittwochmorgen gab Instructure einen Deal bekannt. Die Hacker würden die Daten zurückgeben. Oder zumindest digital löschen. Das Unternehmen gab an, eine Bestätigung erhalten zu haben. Außerdem eine Zusicherung, dass Kunden keiner Erpressung ausgesetzt sind. Sie erwähnten nicht die Zahlung eines Lösegelds. Sie haben gerade ein Webinar zum Thema „Führung“ angesetzt, um darüber zu diskutieren.
Das ist kein Neuland. Instructure gibt zu, dass es sich um den zweiten Verstoß in diesem Jahr handelt. E-Mails. Benutzernamen. Kursnamen. Alles ausgesetzt. Gerade wenn die Hochschulen in den Abschlussprüfungen untergehen.
Canvas war am Samstag wieder online. Sechs Universitäten und Dutzende Schulbezirke gaben jedoch Warnungen heraus. CNN stellte fest, dass ShinyHunters eine Frist für die Verhandlungen am Dienstag gesetzt hat. Es kommt mir bekannt vor.
Warum Schulen? Weil sie „reich an Zielgruppen, aber arm an Ressourcen“ sind. Experten verwenden diese Worte oft.
Wir haben uns während der Pandemie in die Edtech-Branche gestürzt. Keine Ausbildung. Keine Sicherheitsnetze. Jetzt fragen wir uns, ob wir diesen Anbietern vertrauen können. Wenn Canvas sein eigenes Haus nicht schützen kann, kann es dann der Bezirk?
Allzu oft dienen sie als Compliance-Theater
EdSurge nannte Cybersicherheit einen Top-Trend für 2025. Vielleicht war das optimistisch. Die Angriffe nehmen im höheren Bildungsbereich und im K-12-Bereich zu. KI macht sie schärfer. 82 Prozent von K-Here ist eine K-12-Organisation, die kürzlich einen Vorfall gemeldet hat. Das ist nach Angaben des Center for Internet Security. Über 9.300 Bestätigungen.
So sind wir hierher gekommen:
- 2018: EU hat die DSGVO verabschiedet. Klare Regeln.
- 2022: Illuminate Education wurde getroffen. Die USA hatten immer noch keinen nationalen Konsens. Nur vereinzelte staatliche Gesetze.
- 2022: LAUSD weigerte sich, Lösegeld zu zahlen. Die Bande hat 500 GB im Dark Web abgelegt. „Honigtöpfe“, nannten Experten Schulen.
- 2025: Frühe Trump-Administration. Die Kürzungen beeinträchtigen die Cybersicherheitsunterstützung des Bundes. Die Bezirke sagen, sie tappen „im Dunkeln“.
- 2025: EdSurge meldete Bezirke, die gegen KI-Bedrohungen kämpfen. Kleine Schulen sind leichte Ziele. Die beste Verteidigung sind tatsächlich Menschen. Keine Firewalls. Menschen.
Douglas Levin bringt es in den sozialen Medien unverblümt auf den Punkt. Aktuelle Prüfungen sind schwache Schutzschilde. Compliance-Theater.
Das Personal muss geschult werden. Kinder brauchen Bewusstsein. Aber die Budgets sind knapp. Die Bedrohungen werden intelligenter. Die Daten bleiben riskant.
Was passiert, wenn die nächste Warnung an einem Dienstag um 3 Uhr morgens eintritt?
