Ein massiver Cyberangriff auf die Lernplattform Canvas hat die Daten von Millionen Studenten und Lehrkräften weltweit gefährdet. Die Täter erbeuteten rund 3,6 Terabyte an Informationen von über 8.800 Bildungseinrichtungen.
Der Vorfall, der am 29. April 2026 im „Free-for-Teacher“-Supportbereich des Systems entdeckt wurde, gilt als einer der schwerwiegendsten Bildungs-Cyberangriffe des Jahres. Die Angreifer nutzten sogenannte Cross-Site-Scripting-Lücken (XSS), um sich unbefugten Zugang zu verschaffen und anschließend Daten abzuziehen.
Angesichts massiver Datenlecks bei Bildungsplattformen und Dienstleistern wird der Schutz privater Konten immer wichtiger. Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten und so Ihre Sicherheit drastisch erhöhen. Was steckt hinter Passkeys? Jetzt kostenlos nachlesen
Hunderte Millionen Datensätze betroffen
Betroffen sind namhafte Universitäten wie Harvard, Georgetown und Cornell sowie große Schulbezirke wie San Diego Unified. Die gestohlenen Daten umfassen Nutzernamen, E-Mail-Adressen, Kurstitel, Einschreibedaten und private Nachrichten. Der eigentliche Lerninhalt blieb laut Unternehmensangaben unangetastet.
CEO Steve Daly bestätigte, dass die Kernfunktionen der Plattform nicht kompromittiert wurden. Seit dem 11. Mai läuft Canvas wieder für die meisten Nutzer. Die forensische Untersuchung durch die Sicherheitsfirma CrowdStrike wird voraussichtlich mehrere Wochen in Anspruch nehmen.
Das FBI ermittelt bereits, und das Heimatschutzkomitee des US-Repräsentantenhauses hat eine offizielle Anhörung der Instructure-Führung bis zum 21. Mai angefordert. Sicherheitsexperten warnen, dass die gestohlenen Daten eine ideale Grundlage für gezielte Phishing-Angriffe auf Schüler und Lehrkräfte bieten.
Lieferketten-Angriffe treffen auch Zara und Technologiekonzerne
Parallel dazu erschüttert eine Datenpanne bei der Modemarke Zara den Einzelhandel. Rund 197.400 Kunden sind betroffen. Die Angreifer der Gruppe ShinyHunters drangen nicht in Zaras Systeme ein, sondern attackierten den Analysedienstleister Anodot. Über gestohlene Zugriffstoken gelangten sie an Google BigQuery, ein cloudbasiertes Datenlager.
Die gestohlenen Daten enthalten E-Mail-Adressen, Artikelnummern, Bestell-IDs und Support-Ticket-Informationen. Namen, Passwörter und Zahlungsdaten blieben laut Zara unberührt. Auch andere Unternehmen wie Vimeo, Rockstar Games und McGraw Hill wurden durch den Angriff auf den Analyseanbieter getroffen.
Im Technologiesektor meldete der Identitätssicherungsspezialist SailPoint einen Einbruch in sein GitHub-Repository am 20. April. Die Sicherheitslücke in einer Drittanbieter-Anwendung wurde inzwischen geschlossen. Produktionssysteme oder Kundendaten seien nicht betroffen, teilte das Unternehmen der US-Börsenaufsicht SEC mit.
Auch GFN.AM, ein Partner von NVIDIAs GeForce NOW, bestätigte einen Datenvorfall. Am 2. Mai entdeckt, wurden historische Nutzerdaten aus der Zeit vor dem 9. März gestohlen – darunter E-Mails, Nutzernamen und Geburtsdaten.
Passkeys allein sind keine Wunderwaffe
Die jüngste Angriffswelle verschärft die Debatte über Authentifizierungsstandards. Google und Microsoft warnten am 11. Mai: Passkeys seien zwar ein Fortschritt gegenüber Passwörtern, aber kein Allheilmittel. Besonders traditionelle Wiederherstellungsmethoden wie SMS-Codes und Sicherheitsfragen böten weiterhin Angriffsflächen.
Weltweit sind inzwischen über 5 Milliarden Passkeys im Einsatz. Doch die geräteübergreifende Synchronisation bleibt problematisch. Sie funktioniert meist nur innerhalb geschlossener Ökosysteme wie Apples iCloud Keychain oder Googles Password Manager. Der Branchenverband FIDO Alliance arbeitet an universellen Standards – einheitliche Lösungen stehen jedoch noch aus.
Neue Forschungsergebnisse zu Googles Authenticator-Ökosystem deuten zudem darauf hin, dass die Cloud-Synchronisation von Passkeys neue Risiken birgt, wenn Identitätsmanagement und Wiederherstellungsprozesse nicht robust genug sind.
Laut IBM X-Force stiegen identitätsbasierte Angriffe zuletzt um 71 Prozent. Besonders besorgniserregend: Quishing – Phishing über QR-Codes – nahm um 146 Prozent zu und erreichte im ersten Quartal 2026 rund 18,7 Millionen Fälle.
Regulierungsdruck wächst
Der aktuelle Cybersicherheitsmonitor 2026 von BSI und ProPK zeigt: Elf Prozent der Internetnutzer über 16 Jahren wurden im vergangenen Jahr Opfer von Cyberkriminalität. 27 Prozent waren mindestens einmal in ihrem Leben betroffen. Die häufigsten Delikte: Betrug beim Online-Shopping, unbefugter Kontozugriff und Online-Banking-Betrug. 88 Prozent der Opfer erlitten einen Schaden, ein Drittel davon direkte finanzielle Verluste.
Die Bundesregierung reagiert: Ein kostenloser PIN-Rücksendedienst für den elektronischen Personalausweis soll in der zweiten Jahreshälfte 2026 starten. Er gilt als wichtiger Vorläufer für die Einführung der EUDI Wallet im Januar 2027. Microsoft kündigte an, Sicherheitsfragen in Entra ID bis Januar 2027 abzuschaffen und auf phishing-resistente Verfahren umzustellen.
Für Android-Nutzer bleibt die Lage angespannt. Die kritische Sicherheitslücke CVE-2026-0073 ermöglicht Remote-Code-Ausführung mit Administratorrechten. Das für Juni erwartete Android 17 soll mit „Binary Transparency“ eine neue Schutzebene einführen – unter anderem gegen den Keenadu-Trojaner, der bereits auf der Firmware von über 13.000 Geräten vorinstalliert gefunden wurde.
Banking, WhatsApp, E-Mails – gerade auf Android-Geräten sind unsere sensibelsten Daten oft nur unzureichend geschützt. Dieser kostenlose PDF-Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Smartphone effektiv vor Hackern und Viren absichern. 5 Schutzmaßnahmen für Android jetzt kostenlos entdecken
Strategischer Wandel der Angreifer
Die Konzentration der Angriffe auf Drittanbieter wie Anodot und den „Free-for-Teacher“-Bereich von Canvas zeigt eine strategische Verschiebung. Statt die gehärteten Perimetersicherungen großer Konzerne oder Universitäten direkt anzugreifen, suchen Gruppen wie ShinyHunters gezielt nach schwächeren Gliedern in der digitalen Lieferkette. Ein einziger Einstiegspunkt reicht aus, um Daten von zahlreichen hochkarätigen Zielen zu erbeuten.
Die aus Canvas gestohlenen privaten Nachrichten und Einschreibedaten sind für sekundäre Ausbeutung besonders wertvoll. Sicherheitsanalysten warnen vor hochgradig personalisierten Social-Engineering-Angriffen, bei denen sich Täter als Schulverwalter oder Professoren ausgeben können. Verschärft wird die Lage durch das Phänomen des Recovery-Scam: Opfer von Erstangriffen werden ein zweites Mal von Betrügern kontaktiert, die sich als Anwälte oder Bankbeamte ausgeben und gegen Gebühr die Wiederherstellung gestohlener Daten anbieten.
Ausblick
Die vollständigen Ergebnisse der forensischen Untersuchung des Canvas-Vorfalls werden in den kommenden Monaten mehr Klarheit über das tatsächliche Ausmaß bringen. Bildungseinrichtungen stehen unter wachsendem Druck, ihre Drittanbieter-Integrationen und Supportsysteme zu überprüfen.
Auf der Verbraucherseite wird der Abschied von traditionellen Passwörtern weitergehen – doch der Erfolg hängt entscheidend davon ab, ob die Branche die Wiederherstellungsprozesse sicher gestalten und plattformübergreifende Passkey-Standards finalisieren kann.
Technologische Updates wie Android 17 und neue Sicherheitsfunktionen in Microsofts Outlook und Entra ID sollen einige der drängendsten Bedrohungen entschärfen – darunter SMS-basierten OTP-Diebstahl und unbefugte Code-Ausführung. Doch während 84 Prozent der Verbraucher Angst vor KI-gestützten Betrugsmethoden äußern, könnte die psychologische Wirkung dieser Angriffe ebenso nachhaltig sein wie die technischen Herausforderungen.
