Am 7. Januar hat Powerschool, ein amerikanischer Anbieter eines Cloud-basierten Student Information Systems (SIS), einen Cyberangriff auf seine Netzwerke bekannt gegeben. Dabei haben die Angreifer Daten von 62 Millionen Schülerinnen und Schülern sowie von 9,5 Millionen Lehrkräften gestohlen.

Betroffen waren laut dem Unternehmen persönliche Informationen wie Name, Kontaktinformationen, Geburtsdatum, medizinische Warnhinweise, Sozial­versicherungs­nummer und andere zugehörige Informationen. Powerschool hat Lösegeld bezahlt, um eine Veröffentlichung der Daten zu verhindern.

Jetzt hat das Unternehmen zusätzlich die Resultate einer Untersuchung von Crowdstrike (PDF) veröffentlicht. Diese zeigen, dass der Schul­soft­ware­an­bieter bereits im August und im September gehackt wurde, allerdings, ohne dass dabei Daten gestohlen wurden. Ob es sich dabei um die gleichen Angreifer wie beim erfolgreichen Hack im Dezember gehandelt hat, liess der Security-Anbieter allerdings offen.

Für den Zugriff nutzten die Hacker jeweils kompromittierte Zugangsdaten. Schlussendlich konnten sie über Powersource in die Systeme von Powerschool eindringen. Laut Crowdstrike wurde zwischen dem 19. Dezember und dem 28. Dezember 2024 ein Zugang zum Netzwerk von Powerschool aufrechterhalten und Daten aus Powersource exfiltriert. Informationen aus anderen Daten­banken sollen aber keine gestohlen worden sein, wird im Bericht festgehalten.

Zudem gebe es keine Beweise dafür, dass Malware in die Systeme von Power­school eingeschleust wurde oder dass die Angreifer ihre Privilegien ausweiten konnten, heisst es von Crowdstrike. Auch betreffend die gestohlenen Daten verkündeten die Security-Experten gute Nachrichten. So sind die Daten bis jetzt noch nicht veröffentlicht oder zum Verkauf angeboten worden.

Powerschool arbeitet derzeit daran, die betroffenen Personen sowie teilweise auch deren Erziehungsberechtigte über den Datendiebstahl zu informieren. In den USA und Kanada erfolgt dieser Schritt zusammen mit Drittunternehmen. Wer ausserhalb von Nordamerika wohnt, soll sich direkt an seine Schule oder seinen Bezirk werden, schreibt das Unternehmen in einem FAQ.

Den betroffenen Personen wird zudem ein kostenloser Schutz für ihre Identität angeboten. Dazu werden beispielsweise Kreditkarten überwacht, um verdächtige Handlungen aufzudecken. Dieser Service steht allen betroffenen Schülerinnen und Schülern sowie den Lehrkräften zur Verfügung, unabhängig davon, ob ihre Sozialversicherungsnummer gestohlen wurde oder nicht.