Hacker erbeuteten Daten von hunderten Millionen Studenten und Lehrkräften weltweit – und setzen das Unternehmen unter Zeitdruck.**
Die Hackergruppe ShinyHunters bekannte sich zu dem Angriff und behauptet, 3,65 Terabyte an Daten gestohlen zu haben. Betroffen sind rund 275 Millionen Nutzer von Canvas, einer der weltweit führenden Lernplattformen. Das entspricht in etwa der dreifachen Bevölkerung Deutschlands. Insgesamt könnten bis zu 9.000 Schulen und Universitäten betroffen sein, die auf die Software angewiesen sind.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen: Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Leitfaden jetzt gratis herunterladen
Was genau gestohlen wurde
Die Angreifer erbeuteten umfangreiche persönliche Daten: Vollständige Namen, E-Mail-Adressen und Studentenausweisnummern sind kompromittiert. Besonders brisant: Die Hacker verschafften sich angeblich Zugriff auf Milliarden privater Nachrichten, die innerhalb der Plattform ausgetauscht wurden.
Ein kleiner Lichtblick: Nach ersten Erkenntnissen sind weder Passwörter noch Finanzdaten Teil des gestohlenen Datensatzes. Instructure hat bereits reagiert und Zugangsdaten zurückgesetzt sowie Sicherheitsupdates eingespielt.
Ultimatum bis heute
Die Erpresser setzen Instructure massiv unter Druck. Sie setzten eine Verhandlungsfrist bis zum 6. Mai 2026 – also heute. Sollte das Unternehmen nicht zahlen, droht die Veröffentlichung oder der Verkauf der Daten.
Es ist bereits der zweite Angriff von ShinyHunters auf Instructure binnen acht Monaten. Die Gruppe scheint es gezielt auf den Edtech-Anbieter abgesehen zu haben.
Angriffswelle auf mehreren Fronten
Der Vorfall bei Instructure ist kein Einzelfall. Die Cybersicherheitsbranche erlebt eine beispiellose Angriffswelle:
- Trellix, ein Sicherheitsanbieter, meldete am 4. Mai einen Einbruch in sein Quellcode-Repository. Bislang gibt es keine Hinweise auf Manipulationen, doch externe Forensiker ermitteln.
- Eine kritische Schwachstelle im Webhosting-Tool cPanel (CVE-2026-41940) wird derzeit massiv ausgenutzt. Rund 2.000 Server wurden bereits kompromittiert, Angreifer installieren die Erpressungssoftware „Sorry“ und fordern Bitcoin-Lösegeld.
- Der Linux-Kernel weist eine Sicherheitslücke namens „Copy Fail“ (CVE-2026-31431) auf, die seit 2017 existiert und lokale Rechteausweitung auf Root-Ebene ermöglicht. Die US-Behörde CISA setzte ein Ultimatum für Patches.
KI beschleunigt Angriffe dramatisch
Hinter der Explosion von Cyberangriffen steckt auch Künstliche Intelligenz. Neue Modelle wie Anthropics „Mythos“ oder OpenAIs „GPT-5.4-Cyber“ können Sicherheitslücken in Rekordzeit identifizieren und ausnutzen.
Die Folgen sind alarmierend: Die Zahl der Ransomware-Opfer stieg binnen eines Jahres um 389 Prozent auf über 7.800 bestätigte Fälle. Die durchschnittliche Zeit bis zur Ausnutzung einer Schwachstelle sank von fünf Tagen auf 24 bis 48 Stunden.
Microsoft blockierte allein im ersten Quartal 2026 8,3 Milliarden Phishing-Versuche – ein Anstieg von 146 Prozent bei QR-Code-basierten Angriffen im März.
Rekord-Schäden durch Phishing zeigen, wie wichtig gezielte Prävention ist. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie in 4 Schritten, wie Ihr Unternehmen sich wirksam gegen Cyberkriminalität schützen kann. Gratis Anti-Phishing-Paket anfordern
Lieferketten im Visier
Besonders besorgniserregend: Angriffe auf die Software-Lieferkette nehmen zu. Im April musste die Zertifizierungsstelle DigiCert Dutzende Code-Signing-Zertifikate widerrufen. Angreifer hatten Mitarbeiter-Rechner per Social Engineering infiziert und die Zertifikate genutzt, um die Schadsoftware „Zhong Stealer“ zu signieren – und damit Sicherheitsfilter zu umgehen.
EU verschärft Regeln
Die Europäische Union reagiert mit harten Maßnahmen. Anfang Mai schloss die EU-Kommission bestimmte Hochrisiko-Anbieter von Telekommunikations- und Energieausrüstung aus China und anderen Staaten von EU-finanzierten Projekten aus. Eine Übergangsfrist läuft bis Ende 2026. Ziel ist es, die Manipulation kritischer Infrastruktur durch staatliche Akteure zu verhindern.
Was bedeutet das für deutsche Hochschulen?
Viele deutsche Universitäten und Hochschulen setzen Canvas als Lernplattform ein. Für sie bedeutet der Vorfall: Sensibilisierung der Nutzer, Überprüfung der eigenen Sicherheitsmaßnahmen und genaue Beobachtung, ob persönliche Daten ihrer Studierenden betroffen sind.
Die Zeit des einfachen Perimeter-Schutzes ist endgültig vorbei. Gefragt sind umfassende Resilienz-Konzepte und schnelle Reaktionsfähigkeit – denn das Zeitfenster für Gegenmaßnahmen schrumpft rasant.
