Ein massiver Cyberangriff auf die Bildungsplattform Canvas erschüttert die globale IT-Sicherheit. Die Täter fordern Millionen-Lösegeld.
Die digitale Infrastruktur öffentlicher Dienste steht unter Beschuss. Gleich mehrere schwerwiegende Sicherheitsvorfälle erschüttern Anfang Mai 2026 die Bildungs-, Kommunikations- und Finanzwelt. Allen voran: der Datendiebstahl beim Learning-Management-System Canvas, von dem rund 275 Millionen Nutzer weltweit betroffen sind.
Banking, soziale Netzwerke und private Fotos – auf dem Smartphone speichern wir heute fast unser gesamtes digitales Leben. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät effektiv gegen Hacker und Datenmissbrauch absichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt entdecken
Rekord-Breach bei Bildungstechnologie
Der US-Anbieter Instructure bestätigte in der zweiten Maiwoche eine Serie von Sicherheitsverletzungen. Die Hackergruppe ShinyHunters nutzte demnach sogenannte Cross-Site-Scripting-Lücken (XSS) aus, um Login-Portale zu manipulieren und sensible Daten abzugreifen.
Der Angriff begann Ende April und erreichte am 7. Mai eine zweite Welle. Im Visier stand ein spezieller Kontotyp namens „Free-for-Teacher“. Die gestohlenen Daten umfassen Namen, E-Mail-Adressen, Nutzer-IDs und interne Nachrichten. Betroffen sind schätzungsweise 8.800 bis 9.000 Bildungseinrichtungen weltweit – darunter auch zahlreiche Universitäten und Hochschulen.
Besonders brisant: Der Vorfall ereignet sich mitten in den Jahresabschlussprüfungen. Während Finanzdaten und Passwörter offenbar sicher blieben, ist die Störung des Lehrbetriebs enorm.
Der heutige 12. Mai 2026 war das Ultimatum für eine Millionen-Lösegeld-Forderung der Erpresser. Berichten zufolge haben mehrere Universitäten direkte Verhandlungen aufgenommen. Auffällig: Verweise auf den Dienstleister wurden kürzlich von der öffentlichen Leak-Seite der Erpresser entfernt – Spekulationen über mögliche Zahlungen machen die Runde.
Kritische Lücken in WhatsApp entdeckt
Parallel dazu gerät der Messaging-Dienst WhatsApp ins Visier von Sicherheitsforschern. Am 11. Mai wurden zwei kritische Schwachstellen öffentlich – CVE-2026-23866 und CVE-2026-23863. Sie betreffen iOS-Versionen älter als 25.15.70, Android-Versionen unter 2.26.15.69 sowie diverse Windows-Desktop-Builds.
Die eine Lücke erlaubt manipulierte Nachrichten, die das Laden von Medien von externen Servern auslösen. Die andere betrifft die Verarbeitung bestimmter Zeichen in Dateinamen – schädliche Anhänge können so harmlos erscheinen.
Meta hat zwar Updates veröffentlicht. Doch die Enthüllung folgt auf Warnungen des niederländischen Geheimdienstes vom März: Staatliche Akteure versuchen demnach aktiv, Konten von Regierungsbeamten, Militärangehörigen und hochrangigen Würdenträgern zu kompromittieren.
Trojaner tarnt sich als Hochzeitseinladung
Eine neue Malware-Welle nutzt Kommunikations-Apps als Einfallstor. Besonders perfide: Ein Trojaner, der sich als digitale Hochzeitseinladung tarnt. In Bengaluru verlor ein Nutzer einen fünfstelligen Betrag, nachdem eine Schaddatei in Echtzeit Einmal-Passwörter auslas – die Zwei-Faktor-Authentifizierung war damit ausgehebelt.
Der TCLBANKER-Trojaner verbreitet sich zudem über mobile und Desktop-Messenger. Er zielt auf Zugangsdaten von 59 verschiedenen Finanz- und Kryptoplattformen ab und trägt eine Wurm-Komponente in sich.
Banken-Systeme kollabieren
Auch der Finanzsektor bleibt nicht verschont. Am 11. Mai erlebte die PrivatBank, eines der größten Kreditinstitute der Ukraine, einen massiven Systemausfall. Kunden konnten weder die mobile App noch das Online-Portal nutzen. Fehlermeldungen blockierten Login-Versuche und Transaktionen.
In Deutschland zeigt der BSI-Cybersicherheitsmonitor 2026 alarmierende Zahlen: Jeder neunte Internetnutzer wurde im vergangenen Jahr Opfer von Cyberkriminalität. 13 Prozent dieser Fälle betrafen Online-Banking-Betrug.
Besonders dreist: Ein Fall aus Eisleben, bei dem eine 78-Jährige um einen fünfstelligen Betrag betrogen wurde. Die Täter gaben sich als Bankmitarbeiter aus. Trotz erster Sperrversuche gelang ihnen eine internationale Überweisung. Ähnlich erging es einer 90-Jährigen aus Bielefeld, die unter dem Vorwand eines Gewinnspiels zur Installation von Fernwartungssoftware gebracht wurde.
Neue Bedrohungen: Wurm im Passwort-Manager
Die aktuellen Angriffswellen zeigen eine neue Qualität. Am 11. Mai entdeckten Forscher den Shai-Hulud-Wurm in einer populären Kommandozeilen-Schnittstelle des Passwort-Managers Bitwarden. Der Wurm kaperte innerhalb von 24 Stunden eine Viertelmillion Zugangsdaten-Manager – durch Ausnutzung von npm-Tokens und Cloud-Geheimnissen.
Die Verbraucherzentrale Hessen warnt zudem vor sogenannten „Recovery Scams“: Bereits geschädigte Anleger werden von angeblichen Polizisten, Anwälten oder Bankmitarbeitern kontaktiert. Diese bieten an, das verlorene Geld gegen Vorauszahlungen zurückzuholen – und schädigen die Opfer ein zweites Mal.
Quishing auf dem Vormarsch
Eine besonders starke Zunahme verzeichnet das „Quishing“ – Phishing per QR-Code. Im ersten Quartal 2026 stiegen die Fälle um 146 Prozent auf über 18 Millionen. In Kombination mit KI-generierten, täuschend echten Nachrichten sinken die technischen Hürden für professionelle Angriffe rapide.
Dass Kriminelle sensible Zugangsdaten ausspähen, ist längst keine Seltenheit mehr – ein veraltetes System macht es ihnen dabei besonders leicht. Dieser kostenlose Spezialreport zeigt Ihnen, wie Sie mit den richtigen Updates Ihr Gerät rund um die Uhr vor Hackern und Malware schützen. Kostenlosen Android-Sicherheits-Report herunterladen
Ausblick: Neue Sicherheitsmaßnahmen geplant
Die Bundesregierung reagiert: Für die zweite Jahreshälfte 2026 ist die Wiedereinführung eines kostenlosen PIN-Zurücksetzungsdienstes für den elektronischen Personalausweis geplant. Dies gilt als wichtiger Schritt vor dem Start der EUDI-Wallet im Januar 2027.
Whatsapp-Nutzer mit älteren Geräten müssen sich umstellen: Der Support für Android 5.0 und iOS 13 endet am 8. September 2026. Der Schritt spiegelt den Branchentrend wider, moderne Hardware mit erweiterten Sicherheitsfunktionen zu verlangen.
Der globale Schaden durch mobile Cyberkriminalität soll bis Jahresende 21 Milliarden Euro erreichen. Das BSI fordert einfachere, aber robustere Sicherheitsprotokolle für den Durchschnittsnutzer. Denn: Obwohl 27 Prozent der Bevölkerung bereits von Cyberkriminalität betroffen waren, informiert sich nur eine Minderheit regelmäßig über aktuelle Bedrohungen. Ob das heutige Lösegeld-Ultimatum im Canvas-Fall zu einer Zahlung führt, bleibt abzuwarten – die Frage nach der Widerstandsfähigkeit öffentlicher Infrastrukturen ist dringlicher denn je.
