Cyberangriff auf Canvas LMS: Instructure soll Lösegeld an Hacker gezahlt haben

Der E-Learning-Anbieter Instructure soll nach einem Cyberangriff auf seine Lernplattform Canvas Lösegeld an die Angreifer gezahlt haben. Wie der Branchendienst Golem unter Berufung auf Medienberichte meldet, ist damit zu rechnen, dass die Entscheidung Kritik hervorrufen wird. Die Zahlung steht im Widerspruch zu den etablierten Empfehlungen von Sicherheitsbehörden und Cyberexperten, die Unternehmen und Institutionen regelmäßig von Lösegeldzahlungen abraten.

Canvas LMS gehört weltweit zu den verbreitetsten Lernmanagementsystemen an Schulen, Universitäten und Unternehmen. Instructure, das Unternehmen hinter der Plattform, bestätigte einen Cyberangriff, machte jedoch zunächst keine Angaben dazu, ob eine Lösegeldzahlung erfolgt ist. Der Vorfall ereignete sich, nachdem Angreifer offenbar Zugang zu Systemen des Anbieters erlangt und Daten entwendet hatten. Die genauen Einzelheiten des Angriffs – darunter die verwendete Angriffsmethode, der Zeitpunkt der Entdeckung und der Umfang der kompromittierten Daten – wurden bislang nicht vollständig öffentlich gemacht.

Fachleute warnen vor der Signalwirkung, die von der mutmaßlichen Zahlung ausgeht. Gerade im Bildungsumfeld, wo minderjährige Schüler zu den Nutzern zählen, könne eine solche Entscheidung als Schwäche interpretiert werden und weitere Akteure ermutigen, ähnliche Ziele anzugreifen. Die Bundesbehörden in Deutschland raten seit langem eindringlich davon ab, Lösegeld zu zahlen, da dies die Geschäftsmodelle krimineller Gruppen finanziere und keine Garantie dafür biete, dass gestohlene Daten nicht dennoch veröffentlicht oder weiterverkauft würden.