Mehr als 22 TB personenbezogener Daten von Schülern könnten online sein

Sicherheitsforscher von vpnMentor entdeckten im September 2022 zwei fehlkonfigurierte AWS S3-Buckets des US-amerikanischen Bildungsverlags McGraw Hill. Die Buckets enthielten über 22 Terabyte an Daten — darunter mehr als 117 Millionen Datensätze mit akademischen Verläufen und personenbezogenen Daten von Schülern und Studierenden, vorwiegend aus den USA und Kanada.

Was exponiert war

McGraw Hill ist einer der größten Bildungsverlage weltweit und bietet digitale Lernplattformen, E-Books und Bewertungssysteme an, die von tausenden Schulen und Universitäten genutzt werden. Die exponierten AWS-Buckets enthielten:

• Personenbezogene Daten: Namen, E-Mail-Adressen, Postanschriften von Schülern und Studierenden
• Akademische Daten: Noten, Kursverläufe, Bewertungsergebnisse, Abschlussarbeiten
• Institutionsdaten: Informationen über Schulen und Universitäten, die McGraw-Hill-Produkte nutzen
• Zugangsdaten: Teilweise Anmeldeinformationen für die Lernplattformen

Besonders brisant: Die Daten betrafen überwiegend Minderjährige. In den USA unterliegen Schülerdaten dem FERPA (Family Educational Rights and Privacy Act), der strenge Vorgaben für den Schutz akademischer Aufzeichnungen macht.

Ursache: Fehlkonfigurierte AWS S3-Buckets

Die Ursache war keine Hackerattacke, sondern eine Cloud-Fehlkonfiguration. Die S3-Buckets waren öffentlich zugänglich konfiguriert — ein Fehler, der trotz jahrelanger Warnungen von AWS und der Security-Community immer wieder vorkommt.

AWS S3 ist standardmäßig privat konfiguriert. Öffentliche Zugriffe müssen explizit aktiviert werden. Dass zwei Buckets mit 22 Terabyte sensibler Daten öffentlich erreichbar waren, deutet auf grundlegende Defizite im Cloud Security Posture Management (CSPM) hin — fehlende automatisierte Überprüfung der Bucket-Konfigurationen, keine Alerts bei öffentlichen Zugriffen, keine regelmäßigen Security-Audits der Cloud-Infrastruktur.

Cloud-Fehlkonfigurationen: Ein systemisches Problem

Der McGraw-Hill-Vorfall ist keine Ausnahme. Laut dem IBM Cost of a Data Breach Report 2023 sind Cloud-Fehlkonfigurationen der dritthäufigste Angriffsvektor — verantwortlich für 11 Prozent aller Datenschutzverletzungen. Gartner prognostizierte bereits 2019, dass bis 2025 über 99 Prozent der Cloud-Security-Vorfälle auf Kundenfehler zurückzuführen sein würden.

Bekannte Fälle öffentlich zugänglicher S3-Buckets umfassen Unternehmen wie Twitch, Facebook, Verizon und verschiedene US-Regierungsbehörden. Das Muster ist immer dasselbe: sensible Daten in Cloud-Storage, das versehentlich oder durch mangelnde Governance öffentlich konfiguriert wurde.

Handlungsempfehlungen

• Cloud Security Posture Management (CSPM) implementieren: Automatisierte Tools, die Cloud-Konfigurationen kontinuierlich gegen Security-Baselines prüfen und bei Abweichungen alarmieren
• S3 Block Public Access auf Account-Ebene aktivieren: AWS bietet die Möglichkeit, öffentliche Zugriffe auf S3 pauschal für den gesamten Account zu blockieren — unabhängig von Bucket-Einstellungen
• Datenklassifizierung: Sensible Daten — insbesondere personenbezogene Daten von Minderjährigen — müssen als solche klassifiziert und mit entsprechenden Schutzmaßnahmen versehen werden
• Regelmäßige Cloud-Audits: Automatisierte CSPM-Tools ergänzen, nicht ersetzen regelmäßige manuelle Reviews der Cloud-Architektur durch Security-Experten
• Lieferanten-Sicherheit prüfen: Schulen und Universitäten, die Cloud-basierte Bildungsplattformen einsetzen, sollten die Datenschutzpraktiken ihrer Anbieter aktiv hinterfragen — nicht nur die Datenschutzerklärung lesen