Es ist erst Januar, aber der jüngste Hack des US-Bildungsriesen PowerSchool hat das Potenzial, einer der größten Verstöße des Jahres zu werden.
PowerSchool, das mehr als 18.000 Schulen mit K-12-Software versorgt, um etwa 60 Millionen Schüler in den Vereinigten Staaten zu unterstützen, bestätigte den Verstoß Anfang Januar. Das in Kalifornien ansässige Unternehmen, das Bain Capital im Jahr 2024 für 5,6 Milliarden US-Dollar übernommen hat, sagte damals, dass Hacker kompromittierte Zugangsdaten verwendet hätten, um in sein Kundensupport-Portal einzudringen, was weiteren Zugriff auf das Schulinformationssystem des Unternehmens, PowerSchool SIS, ermöglichte, das Schulen zur Verwaltung nutzen Schülerakten, Noten, Anwesenheit und Einschreibung.
„Am 28. Dezember 2024 wurden wir auf einen potenziellen Cybersicherheitsvorfall aufmerksam, bei dem es um unbefugten Zugriff auf bestimmte PowerSchool-SIS-Informationen über eines unserer Community-orientierten Kundenportale, PowerSource, ging“, sagte PowerSchool-Sprecherin Beth Keebler gegenüber Tech.
PowerSchool äußerte sich offen zu bestimmten Aspekten des Verstoßes. Keebler sagte gegenüber Tech, dass dies beispielsweise beim PowerSource-Portal der Fall sei nicht unterstützte MFA zum Zeitpunkt des Vorfalls, während PowerSchool dies tat. Doch eine Reihe wichtiger Fragen bleiben unbeantwortet.
Diese Woche schickte Tech PowerSchool eine Liste offener Fragen zu dem Vorfall, der potenziell Millionen von Schülern in den USA betreffen könnte. Keebler lehnte es ab, unsere Fragen zu beantworten, mit der Begründung, dass alle Aktualisierungen im Zusammenhang mit dem Verstoß auf der Website veröffentlicht würden SIS-Vorfallseite des Unternehmensdas seit dem 17. Januar nicht mehr aktualisiert wurde.
PowerSchool teilte seinen Kunden am 17. Januar mit, dass es einen Vorfallbericht des Cybersicherheitsunternehmens CrowdStrike veröffentlichen werde, das das Unternehmen mit der Untersuchung des Verstoßes beauftragt hatte. Mehrere Quellen, die an von dem Verstoß betroffenen Schulen arbeiten, teilten Tech jedoch mit, dass sie ihn noch nicht erhalten hätten.
Auch die Kunden des Unternehmens haben viele unbeantwortete Fragen, was die von der Sicherheitsverletzung Betroffenen dazu zwingt, bei der Untersuchung des Hacks zusammenzuarbeiten.
Hier sind einige der Fragen, die noch unbeantwortet bleiben.
Es ist nicht bekannt, wie viele Schulen oder Schüler betroffen sind
Tech hat von Schulen, die von der PowerSchool-Verletzung betroffen waren, gehört, dass die Auswirkungen „massiv“ sein könnten. Auf der Vorfallseite von PowerSchool wird jedoch das Ausmaß des Verstoßes nicht erwähnt, und das Unternehmen hat sich wiederholt geweigert, zu sagen, wie viele Schulen und Einzelpersonen betroffen sind.
In einer Erklärung, die letzte Woche an Tech gesendet wurde, sagte Keebler, PowerSchool habe „die Schulen und Bezirke identifiziert, deren Daten in diesen Vorfall verwickelt waren“, würde aber die Namen der Beteiligten nicht weitergeben.
Mitteilungen der betroffenen Schulbezirke geben jedoch einen allgemeinen Überblick über das Ausmaß des Verstoßes. Das Toronto District School Board (TDSB), Kanadas größte Schulbehörde, die jedes Jahr etwa 240.000 Schüler betreut, gab diese Woche bekannt, dass Hacker möglicherweise auf Schülerdaten aus rund 40 Jahren zugegriffen haben. Ebenso der Schulbezirk Menlo Park City in Kalifornien bestätigt dass Hacker auf Informationen über alle aktuellen Schüler und Mitarbeiter zugegriffen haben – das sind jeweils rund 2.700 Schüler und 400 Mitarbeiter – sowie über Schüler und Mitarbeiter seit Beginn des Schuljahres 2009/10.
Auch das Ausmaß des Datendiebstahls ist unbekannt. PowerSchool hat auch nicht gesagt, auf wie viele Daten während des Cyberangriffs zugegriffen wurde, aber in einer Mitteilung an seine Kunden Anfang des Monats, die Tech eingesehen wurde, bestätigte das Unternehmen, dass Hacker „sensible persönliche Informationen“ von Schülern und Lehrern, darunter auch einigen Schülern, gestohlen haben ‚ Sozialversicherungsnummern, Noten, demografische Daten und medizinische Informationen. Tech hat außerdem von mehreren von dem Vorfall betroffenen Schulen erfahren, dass auf „alle“ historischen Schüler- und Lehrerdaten zugegriffen wurde.
Eine Person, die in einem betroffenen Schulbezirk arbeitet, teilte Tech mit, dass es sich bei den gestohlenen Daten um hochsensible Daten von Schülern handele, darunter Informationen über die elterlichen Umgangsrechte gegenüber ihren Kindern, einschließlich einstweiliger Verfügungen, und Informationen darüber, wann bestimmte Schüler ihre Medikamente einnehmen müssen.
PowerSchool hat nicht gesagt, wie viel es den Hackern gezahlt hat, die für den Verstoß verantwortlich sind
PowerSchool teilte Tech mit, dass die Organisation „geeignete Schritte“ unternommen habe, um die Veröffentlichung der gestohlenen Daten zu verhindern. In der mit Kunden geteilten Mitteilung bestätigte das Unternehmen, dass es mit einem Unternehmen zur Reaktion auf Cyber-Erpressungsvorfälle zusammengearbeitet habe, um mit den für den Verstoß verantwortlichen Bedrohungsakteuren zu verhandeln.
Dies bestätigt nahezu, dass PowerSchool den Angreifern, die in ihre Systeme eingedrungen sind, ein Lösegeld gezahlt hat. Auf Nachfrage von Tech weigerte sich das Unternehmen jedoch zu sagen, wie viel es gezahlt habe und wie viel die Hacker verlangt hätten.
Wir wissen nicht, welche Beweise PowerSchool erhalten hat, dass die gestohlenen Daten gelöscht wurden
In einer Anfang dieses Monats mit Tech geteilten Erklärung sagte Keebler von PowerSchool, dass die Organisation „nicht damit rechnet, dass die Daten weitergegeben oder veröffentlicht werden“ und dass sie „glaubt, dass die Daten ohne weitere Vervielfältigung oder Verbreitung gelöscht wurden“.
Allerdings weigerte sich das Unternehmen wiederholt zu sagen, welche Beweise ihm vorliegen, die darauf hindeuten, dass die gestohlenen Daten gelöscht wurden. Früh Berichte sagte, das Unternehmen habe einen Videobeweis erhalten, aber PowerSchool wollte es auf Anfrage von Tech weder bestätigen noch dementieren.
Selbst dann ist der Nachweis der Löschung keineswegs eine Garantie dafür, dass die Hacker immer noch nicht im Besitz der Daten sind; Die kürzliche Bekämpfung der LockBit-Ransomware-Bande in Großbritannien brachte Beweise dafür zu Tage, dass die Bande noch immer über Daten von Opfern verfügte, die eine Lösegeldforderung bezahlt hatten.
Wir wissen noch nicht, wer hinter dem Angriff steckt
Eine der größten Unbekannten beim PowerSchool-Cyberangriff ist, wer dafür verantwortlich ist. Das Unternehmen stand mit den Hackern in Kontakt, weigerte sich jedoch, deren Identität preiszugeben. CyberSteward, die kanadische Incident-Response-Organisation, mit der PowerSchool bei den Verhandlungen zusammengearbeitet hat, antwortete nicht auf die Fragen von Tech.
Haben Sie weitere Informationen zum PowerSchool-Datenverstoß? Wir würden uns freuen, von Ihnen zu hören. Von einem Gerät aus, das nicht am Arbeitsplatz ist, können Sie Carly Page sicher über Signal unter +44 1536 853968 oder per E-Mail unter [email protected] kontaktieren.