2 uren geleden
1
Een beetje student weet: in voorbereiding voor een tentamen mogen proeftentamens niet ontbreken. Zeker als het een hertentamen betreft, zoals voor student electrical engineering Abukar Khalid Abukar (25) aan de Technische Universiteit Eindhoven (TU/e). Er was alleen één probleem: Canvas, de onderwijsomgeving waar deze proefexamens te vinden zijn, werd gehackt. Meerdere Nederlandse onderwijsinstellingen werden geraakt, zo ook de TU/e, en na een tweede hack werd Canvas afgesloten voor medewerkers en studenten. Weg toegang tot de proefexamens.
Khalid Abukar kon maar één ding denken toen hij hoorde dat Canvas was gehackt. „Daar gaan we weer.” De TU/e werd begin vorig jaar namelijk ook al eens slachtoffer van een cyberaanval, waarbij een hacker vijf dagen ongemerkt toegang had tot de netwerken. De stekker ging eruit, de universiteit bleef een week dicht.
Zover kwam het deze keer niet, mede door de deal tussen hackersgroep Shinyhunters en het moederbedrijf van Canvas. Op deze rustige dinsdagmorgen op de TU/e-campus in Eindhoven tonen studenten zich nuchter, al ligt de hack van vorig jaar nog vers in het geheugen. De Canvas-hack, waarbij volgens de hackers namen, mailadressen, studentnummers en correspondentie van 275 miljoen mensen zijn buitgemaakt, vinden de studenten hoogstens „vervelend”. Zoals mechanical engineering-student Eline Voorbraak (20), die onderdelen van haar project zag worden uitgesteld, of student technische bedrijfskunde Victor Sprenkels (24), die na de hack „nergens meer bij kon”.
Lees ook
Hack bij onderwijssoftware Canvas is ‘supergigantisch’. Hoe groot is de schade?
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2026/05/07102435/070526BIN_2033553804_.jpg)
Aan één gat genoeg
De Canvas-hack en de cyberaanval van vorig jaar op de TU/e staan niet op zich. Ook andere onderwijsinstellingen waren de afgelopen jaren doelwitten van cybercrime. Zo werden vorig jaar verschillende instellingen in Brabant en Limburg geraakt door een DDoS-aanval, in 2021 werd het Zuid-Hollandse ROC Mondriaan gehackt, net als een Geldserse school die daarna losgeld betaalde. Twee jaar eerder werden de Hogeschool en Universiteit van Amsterdam getroffen door een cyberaanval. En in datzelfde jaar kreeg de Universiteit Maastricht te maken met een ernstige ransomware-aanval, waarna de universiteit bijna 200.000 euro losgeld betaalde.
Zijn onderwijsinstellingen daarmee een aantrekkelijk doelwit voor cyberaanvallen? Harald Vranken, hoogleraar Cybersecurity aan de Open Universiteit, vindt dat een „lastige vraag”. Want, zo stelt hij, ze zijn net als ieder ander bedrijf dat te maken heeft met ict, kwetsbaar voor „gaten” in de cybersecurity en dus voor hacks.
Ook SURF, de ict-coöperatie die een deel van alle ict in het Nederlands hoger onderwijs regelt en op wiens netwerken de cyberaanvallen in 2025 op de Brabantse en Limburgse onderwijsinstellingen en de TU/e waren gericht, ziet „geen indicatie dat onderwijs en onderzoek vaker worden aangevallen dan andere sectoren”, zo laat een woordvoerder weten. Uit het meest recente Cybersecuritybeeld Nederland blijkt tevens dat er een „grote verscheidenheid” van cyberaanvallen bestaat, die zich niet uitsluitend richten op onderwijsinstellingen.
Er is een asymmetrie tussen aanvallers en verdedigers: waar je als verdediger alle gaten moet dichten, heb je als aanvaller aan één gat genoeg
Toch zijn er volgens hoogleraar Vranken wel redenen te noemen waarom hackers kiezen voor een cyberaanval op een universiteit of hogeschool. Zo wijst hij op de „reikwijdte” van de beschikbare data. „Binnen onderwijsinstellingen zijn veel mensen betrokken, waarmee je bij een hack meteen veel gegevens bemachtigt”, zegt hij. „De gegevens zijn bovendien van hoger opgeleiden in spe, die in de toekomst kunnen worden gebruikt om mee te phishen.”
Daarnaast wijst Vranken op het feit dat het onderwijs vrijwel tot stilstand komt als ict-systemen niet meer beschikbaar zijn. Daardoor komen onderwijsinstellingen snel in een „spagaat” terecht tussen het zelf oplossen van het datalek en de snelle route: losgeld betalen. En omdat zoveel mensen toegang hebben tot de digitale omgeving is de kans op „gaten” in de cybersecurity sowieso altijd aanwezig, aldus Vranken. „Er is een asymmetrie tussen aanvallers en verdedigers: waar je als verdediger alle gaten moet dichten, heb je als aanvaller aan één gat genoeg.” Hij wijst op de ransomware-aanval op de Universiteit Maastricht in 2019, die ontstond nadat een medewerker op een link in een phishingmail had geklikt.
Lees ook
‘Honderd procent beveiliging tegen cyberaanvallen is niet alleen onmogelijk, het is ook onwenselijk’
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2025/08/20085432/data136234390-99ecf5.jpg)
Gedeelde verantwoordelijkheid
Het is al met al „onvermijdelijk” dat hacks op onderwijsinstellingen blijven voorkomen, zegt Vranken. „Het is voortdurend bijbenen om de huidige problematiek op orde te krijgen, terwijl nieuwe technologie zoals AI alweer voor de deur staat”, waarschuwt hij. „Daardoor zullen steeds weer nieuwe gaten worden gevonden, ook in het onderwijs.”
Cyberveiligheid binnen het onderwijs staat volgens SURF dan ook „hoog op de agenda”. Ook een woordvoerder van de Vereniging Hogescholen spreekt van een „goede onderlinge samenwerking” tussen hogescholen en sectoren via SURF, waarbij onderling informatie wordt gedeeld om de sector „weerbaarder” te maken. Onder Nederlandse universiteiten is veel „intensief” onderling contact, en wordt bijvoorbeeld regelmatig geoefend met cybercrisisoefeningen. Maar, zo laat een woordvoerder van de Universiteiten van Nederland weten, hoewel universiteiten cyberveiligheid „zeer serieus” nemen, „geldt dat geen enkele organisatie 100 procent beschermd kan zijn tegen cyberaanvallen”.
Als je toegang hebt tot het systeem, deel je de verantwoordelijkheid
Op de campus van de TU/e willen de studenten een nieuwe hack niet uitsluiten. Ook Jorg Bal (21), student mechanical engineering, is er „niet gerust” op. Hij zegt dat het niet alleen aan de universiteit is om cyberaanvallen tegen te gaan, maar ook aan studenten om scherp te zijn. „Als je toegang hebt tot het systeem, deel je de verantwoordelijkheid.”
Sarah Mortier (20), studente biomedische technologie, probeert „scherp” te zijn op phishingmails, maar is door de „niet zo gevoelige” gegevens die bij de Canvas-hack zijn buitgemaakt niet bang voor de gevolgen van een eventuele volgende hack bij haar universiteit. Ze hoopt vooral over twee weken haar project op Canvas in te kunnen leveren. Dat lijkt te gaan gebeuren: een woordvoerder van de TU/e laat weten dat Canvas vanaf maandag weer beschikbaar zal zijn voor studenten.
Lees ook
Tijdens de cyberaanval op de TU waren ook de draaiboeken voor crises onbereikbaar. ‘Gelukkig zaten die in ons hoofd’
:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data132513273-ffd341.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/05/12192703/120526BUI_2033701482_starmer1.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/05/11110339/130526VER_2033552456_asiel.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/05/12113134/web-1205ECOpostBoete.jpg)
English (US) ·