Die Hackergruppe ShinyHunters erbeutete Millionen von Schüler- und Studentendaten – ein betroffener Student verklagt nun den Betreiber Instructure auf Schadenersatz.
Ende April und Anfang Mai 2026 erschütterte ein Sicherheitsvorfall die Bildungsbranche: Die Hackergruppe ShinyHunters drang in die Systeme von Canvas ein, einer der weltweit meistgenutzten Lernplattformen. Insgesamt 275 Millionen Datensätze mit einem Volumen von rund 3,5 Terabyte wurden gestohlen. Betroffen sind schätzungsweise 9.000 Bildungseinrichtungen.
Der Fall Canvas zeigt drastisch, wie verwundbar digitale Infrastrukturen sind und welche massiven rechtlichen Risiken bei Datenverlust drohen. Mit diesem kostenlosen E-Book erstellen Sie eine rechtssichere Datenschutzfolgenabschätzung und sichern Ihr Unternehmen gegen Bußgelder von bis zu 2 % des Jahresumsatzes ab. Muster-DSFA und Checklisten jetzt kostenlos herunterladen
Die gestohlenen Daten umfassen E-Mail-Adressen, Nutzerkennungen und Kursdetails. Ein Student der Baylor University in Texas hat mittlerweile Klage gegen Instructure eingereicht – die Forderung liegt bei über fünf Millionen Euro. Der Kläger argumentiert, dass der Vorfall den Studienbetrieb massiv gestört habe, insbesondere während der Prüfungsphase.
Lokale Schulen im Ausnahmezustand
Die Folgen sind auch in kleineren Schulbezirken spürbar. Im Hays USD 489 im US-Bundesstaat Kansas musste der Zugang zu Canvas komplett gesperrt werden. Zwar wurden keine Sozialversicherungsnummern, Passwörter oder Finanzdaten gestohlen, doch Kontaktdaten, Benutzernamen und Noten der Schüler sind kompromittiert. Lehrer mussten auf händische Notenerfassung umstellen – ein Rückschritt in Zeiten der Digitalisierung.
Interessant: Instructure zahlte offenbar Lösegeld an die Angreifer, um die Löschung der Daten zu erzwingen. Ob das reicht, bleibt fraglich – die langfristigen Risiken für die Privatsphäre der Betroffenen sind kaum abzuschätzen.
Systematisches Versagen beim Passwort-Management
Der Canvas-Vorfall ist kein Einzelfall. Er reiht sich ein in eine Serie von Sicherheitspannen, die auf ein grundlegendes Problem hinweisen: Unternehmen vernachlässigen die Verwaltung ihrer digitalen Zugänge.
Bereits im Januar 2026 traf es mehrere australische Großorganisationen – darunter das Bildungsministerium von Victoria, die Sicherheitsfirma Prosura und das Bergbauunternehmen Regis Resources. Die Ursache war jedes Mal dieselbe: unzureichend verwaltete Zugangsdaten, vergessene Passwörter und ungeschützte API-Schlüssel. Allein bei Prosura waren 300.000 Kunden betroffen.
Das Ausmaß des globalen Passwort-Problems zeigt eine Entdeckung der britischen National Crime Agency (NCA): Sie fand 585 Millionen gestohlene Passwörter in einer kompromittierten Cloud-Umgebung. Besonders alarmierend: 225 Millionen dieser Zugangsdaten waren dem Überwachungsdienst Have I Been Pwned bislang völlig unbekannt. Die Gesamtzahl der dort erfassten kompromittierten Passwörter steigt damit auf 847 Millionen.
Jede zweite Firma betroffen – hohe Kosten
Eine Studie von Sophos unter 5.000 IT-Entscheidern aus 17 Ländern belegt die Dramatik: Über 70 Prozent der Organisationen erlitten in den vergangenen zwölf Monaten mindestens eine Identitätsverletzung. Besonders häufig betroffen: die Energie-, Öl-, Gas- und öffentliche Sektoren.
Die Zahlen sind ernüchternd: Identitätsdiebstahl spielt bei rund zwei Dritteln aller Ransomware-Angriffe eine Rolle. Die durchschnittlichen Kosten für die Bewältigung eines solchen Vorfalls liegen weltweit bei 1,64 Millionen Euro.
Neue Angriffsmethoden: Vom API-Key bis zum QR-Code
Angesichts von Rekord-Schäden durch Identitätsdiebstahl und Phishing rückt die Prävention immer stärker in den Fokus von IT-Verantwortlichen. Das kostenlose Anti-Phishing-Paket bietet eine detaillierte Branchen-Analyse und zeigt in 4 Schritten, wie Sie Ihr Unternehmen effektiv gegen moderne Hacker-Angriffe wappnen. Anti-Phishing-Paket für Unternehmen gratis anfordern
Während technische Exploits wie der TanStack-npm-Wurm vom 11. Mai 2026 die Software-Lieferkette bedrohen, bleibt Social Engineering die dominierende Gefahr. Beim TanStack-Vorfall nutzten Angreifer Schwachstellen in GitHub Actions aus, um 84 schädliche Artefakte in 42 verschiedene Pakete einzuschleusen. OpenAI meldete, dass zwar zwei Mitarbeiter-Laptops betroffen waren, aber keine Kundendaten gestohlen wurden.
Parallel dazu haben sich Phishing und Social Engineering weiterentwickelt. Im April 2026 gerieten deutsche Politiker ins Visier einer Kampagne, die den Messaging-Dienst Signal missbrauchte. Die Angreifer knackten nicht die Verschlüsselung – sie setzten auf Social Engineering und QR-Code-Betrug („Quishing“). Die Opfer wurden dazu verleitet, Schadsoftware zu installieren. Branchendaten zeigen: Quishing-Angriffe stiegen im ersten Quartal 2026 um 150 Prozent. 70 Prozent aller bösartigen PDF-Dateien enthalten inzwischen betrügerische QR-Codes.
Auch Großkonzerne sind betroffen. West Pharmaceutical Services, ein S&P-500-Unternehmen mit über drei Milliarden Euro Jahresumsatz, entdeckte am 4. Mai 2026 einen Cyberangriff. Die Hacker stahlen Daten und verschlüsselten Systeme. Zwar konnte das Unternehmen die Produktion teilweise wieder aufnehmen, doch die Schadensbegrenzung läuft noch.
Wenn das Handy zur Waffe wird
Die finanziellen Risiken für Privatpersonen sind enorm. In Neuseeland verlor ein Opfer eines SIM-Swapping-Angriffs innerhalb von 15 Minuten die Kontrolle über seine Mobilfunknummer – und 19.300 Neuseeland-Dollar von seinem Bankkonto. Der Mobilfunkanbieter One NZ reagierte umgehend: Seitdem gilt eine obligatorische 15-minütige Verzögerung bei allen SIM-Karten-Übertragungen.
Auch deutsche Banken passen sich an. Ein Zusammenschluss von Sparkasse Hannover und Stadtsparkasse Burgdorf führt vom Abend des 15. Mai bis zum 17. Mai zu eingeschränkten Bankdienstleistungen. Online-Banking und internationale Kartentransaktionen sind dann nicht möglich. Zudem gelten weiterhin strenge tägliche Überweisungslimits – zwischen 20.000 Euro bei Genossenschaftsbanken und bis zu 500.000 Euro bei der Commerzbank.
Ausblick: Mehr Sicherheit für 2026
Die Bedrohungslage zwingt Technologiekonzerne und Regierungen zum Handeln. Google hat angekündigt, dass Android 17 eine KI-gesteuerte Live-Bedrohungserkennung und Fernsperrfunktionen erhalten wird. Apple hat bereits iOS 26.5 veröffentlicht – mit über 50 Sicherheitspatches, darunter eine kritische Kernel-Schwachstelle.
WhatsApp plant für 2026 die Einführung einer neuen Passwortfunktion. Bei der Anmeldung auf neuen Geräten soll dann eine Kombination aus Buchstaben und Zahlen erforderlich sein – als Ergänzung zur bestehenden Zwei-Faktor-Authentifizierung.
Deutschland holt bei digitaler Identität auf
Bundesdigitalminister Wildberger hat angekündigt, im zweiten Halbjahr 2026 einen kostenlosen PIN-Rücksetzdienst für den elektronischen Personalausweis (e-ID) zu reaktivieren. Dieser Schritt gilt als Voraussetzung für die breite Einführung der Deutschland-App und der europäischen Digital-Identity-Wallet (EUDI), die bis Ende 2026 kommen soll.
Bislang hat nur etwa ein Drittel der deutschen Bürger die e-ID-Funktion aktiviert. Die Regierung hofft, diese Zahl durch vereinfachten Zugang zu steigern – und orientiert sich dabei am Vorbild Estland, das in Sachen digitaler Identität weltweit führend ist. Ob die Maßnahmen ausreichen, um die Welle von Cyberangriffen einzudämmen, wird sich zeigen.
