Die Schulen sind weiterhin weit geöffnet.
Ein neuer Angriff auf Canvas beweist es. Instructure, das Unternehmen, das das Lernmanagementsystem von 30 Millionen Studenten betreibt, wurde Ende letzter Woche gehackt. Nicht die kostenpflichtigen Konten. Die Hacker hatten es auf die Stufe „Kostenlos für Lehrer“ abgesehen. Diese konkrete Wahl ist wichtig. Es zeigt, dass Angreifer genau wissen, wo die Verteidigung am dünnsten ist.
ShinyHunters behaupten, sie hätten 275 Millionen Datensätze gestohlen. Von 9.000 Institutionen weltweit.
Die Antwort? Typisch. Instructure gab einen Deal bekannt. Sie sagen, sie hätten die Daten zurückgekauft. „Digitale Bestätigung“ erhalten, es wurde gelöscht. Ich habe versprochen, dass keine Schulen erpresst werden.
Schweigen darüber, was sie bezahlt haben.
Nur ein Webinar ist für Mittwoch geplant.
Es ist der zweite Verstoß in diesem Jahr. E-Mails, Benutzernamen, Kursnamen. Das Zeug, das Identitäten ruiniert. Es passierte alles, als die Kinder die Abschlussprüfungen absolvierten. Chaos ist ein guter Schutz vor Diebstahl. Canvas war am Samstag wieder online. Aber mindestens ein Dutzend Schulbezirke in sechs Bundesstaaten sind immer noch damit beschäftigt, das Chaos zu beseitigen. ShinyHunters hatte diesen Bezirken sogar eine Frist gesetzt, um getrennt zu verhandeln.
Warum Bildung? Weil es einfach ist.
Experten bezeichnen den Sektor als „zielreich, ressourcenarm“. Wir haben Terabytes an sensiblen Daten. Wir haben Budgets für Snacks in der Cafeteria, aber nicht für Sicherheitsingenieure. Und da die Pandemie jeden Lehrer an einen Computer zwang, ließen wir die Türen unverschlossen. Jetzt sind wir wütend. Aber Wut stoppt Ransomware nicht.
Es wird schlimmer. KI macht die Hacker schlauer. Wir haben uns nicht wirklich angepasst.
„82 Prozent der K-12 meldeten im Jahr 2024 einen Vorfall. Über 9.300 Fälle bestätigt.“
Die Zahlen sind langweilig, bis Sie über den Inhalt Ihres eigenen Posteingangs nachdenken. Oder die Unterlagen Ihres Kindes.
Wir waren schon einmal hier. Nur mit anderen Namen.
- 2018: Die EU hat die DSGVO verabschiedet. Amerika zuckte mit den Schultern. Uns fehlte ein nationaler Konsens darüber, wem die Schülerdaten gehören.
- 2022: Illuminate Education wurde getroffen. Dann Los Angeles Unified. Hacker haben 500 Gigabyte Studentendateien im Dark Web abgelegt, weil LAUSD die Zahlung verweigerte. Sie nannten die Schulen „Honigtöpfe“. Sie hatten Recht.
- 2025: Die staatliche Unterstützung verschwand. Kürzungen trafen koordinierte Verteidigungsteams. Die Bezirke begannen ihre Arbeit im Dunkeln. Keine Anleitung. Keine Hilfe.
Reporterin Ellen Ullman hat sich das genauer angesehen. Ihre Erkenntnisse für EdSurge waren düster. Die Schulen sind in den Grundlagen schwach. Besonders verlockend sind kleine Schulen. Warum gegen eine befestigte Festung kämpfen, wenn man auch aus einer offenen Garage stehlen kann? Die erste Verteidigungslinie ist nicht Software. Es sind Menschen. Und die Menschen werden müde. Sie klicken auf die falschen Links.
Deshalb setzen wir auf Audits.
Zertifizierungen. Checklisten. Douglas Levin, der K12 Security Exchange leitet, nannte es „Compliance-Theater“. Er hatte nicht Unrecht. Papierschilde stoppen keine Kugeln. Sie bieten Ihnen lediglich eine rechtliche Verteidigung, wenn alles schief geht.
Den Schulen wird gesagt, sie sollen „das Personal ausbilden“. „Hilfe von außen suchen“. Leicht gesagt. Schwierig, wenn Ihr IT-Mitarbeiter auch die Person ist, die den Drucker im Fitnessstudio repariert.
Der Druck steigt. Die Angriffe werden immer intelligenter. Wir warten weiterhin darauf, dass der Verkäufer uns rettet.
Das werden sie nicht.
