Die Hackergruppe ShinyHunters hat nach eigenen Angaben die Lernplattform Canvas des US-Unternehmens Instructure geknackt und droht nun mit der Veröffentlichung von 3,65 Terabyte gestohlener Daten. Ein Wettlauf gegen die Zeit hat begonnen.
Der Angriff: Was genau passiert ist?
Am 7. Mai 2026 eskalierte die Situation dramatisch. Die Angreifer manipulierten die Login-Seite von Canvas und hinterließen eine Ransomware-Nachricht. Ihre Forderung: Sollte bis zum 12. Mai keine Einigung erzielt werden, drohen sie mit der Veröffentlichung von rund 275 Millionen Datensätzen – darunter Namen, E-Mail-Adressen, Studentenausweisnummern und private Nachrichten.
Betroffen sind insgesamt 8.809 Bildungseinrichtungen weltweit. In den USA, wo Canvas von 41 Prozent der Hochschulen genutzt wird, meldeten unter anderem die University of California und die University of Utah Störungen. Instructure hatte zwar Anfang Mai erklärt, es gebe keine Hinweise auf kompromittierte Passwörter oder Finanzdaten – doch das Ausmaß des Angriffs lässt Zweifel an dieser Einschätzung aufkommen.
Angesichts der zunehmenden Professionalisierung von Hackergruppen wie den ShinyHunters rücken vor allem kleine und mittelständische Unternehmen verstärkt ins Visier der Kriminellen. Dieses kostenlose E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen – und wie Sie sich ohne großes Budget wirksam schützen. Cyber-Security-Ratgeber jetzt kostenlos herunterladen
Forensiker von Emsisoft haben die Tat der Gruppe ShinyHunters zugeordnet. Diese Bande ist kein unbeschriebenes Blatt: Bereits frühere Angriffe auf Ticketmaster und andere Großkonzerne tragen ihre Handschrift. Ihre bevorzugte Methode: die Ausnutzung von Schwachstellen bei Drittanbietern oder Fehlkonfigurationen in der Cloud.
Die Sicherheitslücke: Warum Verschlüsselung allein nicht reicht
Der Canvas-Vorfall fällt zeitlich mit einer neuen wissenschaftlichen Untersuchung zusammen, die am 6. Mai 2026 veröffentlicht wurde. Die Studie beleuchtet die „Hardware-Isolationslücke“ in modernen Verschlüsselungsrahmen wie Microsoft BitLocker. Das Problem: Selbst die beste Software-Verschlüsselung stößt an Grenzen, wenn die zugrundeliegende Hardware nicht mitspielt.
Im Fokus der Forschung steht der sogenannte Cold-Boot-Angriff. Dabei nutzen Angreifer eine physikalische Eigenschaft von Arbeitsspeicher (DRAM) aus: Dieser behält seine elektrische Ladung für kurze Zeit, selbst nach dem Ausschalten des Geräts. Durch Kühlen der Speichermodule lässt sich diese Zeit verlängern – genug, um Verschlüsselungsschlüssel im Klartext auszulesen.
Die gute Nachricht: Moderne Hardware macht diesen Angriff deutlich schwieriger. Die Erfolgsrate solcher Attacken ist von rund 70 Prozent bei älteren Systemen auf weniger als 5 Prozent bei Geräten mit TPM 2.0 (Trusted Platform Module) gesunken. Dennoch warnen die Forscher: Solange Verschlüsselungsschlüssel während des Betriebs im Arbeitsspeicher liegen müssen, bleibt eine theoretische Angriffsfläche bestehen.
Künstliche Intelligenz als Brandbeschleuniger
Die Bedrohungslage verschärft sich durch zwei Entwicklungen: Automatisierung und KI. Forscher von Red Balloon Security haben einen „Kryo-Mechanik-Roboter“ vorgestellt, der das aufwendige Kühlen und Extrahieren von RAM-Chips automatisiert. Die Baukosten: gerade einmal rund 2.000 Euro. Mit solchen Werkzeugen könnten Angreifer selbst Herstellerschutzmaßnahmen wie verschlüsselte Firmware umgehen.
Noch beunruhigender: Am 9. Mai 2026 wurde bekannt, dass das KI-Modell „Mythos“ des Unternehmens Anthropic Tausende von Zero-Day-Sicherheitslücken in bestehender Software entdeckt hat – darunter Schwachstellen, die jahrzehntelang unentdeckt blieben. Der Internationale Währungsfonds (IWF) warnte bereits am 7. Mai, dass KI-gestützte Werkzeuge die Zeit und Kosten für Hackerangriffe drastisch reduzieren könnten.
Da die aktuelle Speicherkrise den Kauf neuer, sicherer Hardware erschwert, müssen viele Nutzer weiterhin auf offiziell inkompatiblen Systemen arbeiten. Dieser Gratis-Report zeigt einen legalen Weg, wie Sie Windows 11 dennoch sicher installieren – ohne neue Hardware und ohne Datenverlust. Anleitung zum Umgehen der Systemanforderungen gratis sichern
Die Speicherkrise: Wenn neue Hardware zum Luxus wird
Die gesamte Technologiebranche leidet derzeit unter einer schweren Speicherknappheit. In Fachkreisen ist bereits von „RAMmageddon“ die Rede. Die Nachfrage nach KI-Infrastruktur hat die Preise für DRAM- und NAND-Flash-Speicher seit 2024 um 200 bis 400 Prozent in die Höhe getrieben. Analysten von Kearneys PERLab erwarten, dass diese Knappheit mindestens bis 2030 anhalten wird.
Die Sicherheitsimplikationen sowie alarmierend: Steigende Hardwarepreise verleiten viele Institutionen dazu, ältere Systeme länger zu betreiben – genau jene Geräte, die keinen ausreichenden Schutz wie TPM 2.0 oder Microsofts Pluton-Chip bieten. Es entsteht eine „Sicherheitsschuld“, bei der ein wachsender Teil der globalen Daten auf verwundbarer Hardware gespeichert bleibt.
Ausblick: Was kommt als Nächstes?
Der 12. Mai 2026 ist der Stichtag: Bis dahin muss Instructure mit ShinyHunters verhandeln oder die Veröffentlichung der Daten riskieren. Rechtsexperten und Sicherheitsanalysten rechnen mit langwierigen Verhandlungen und forensischen Untersuchungen.
Parallel dazu beginnt am selben Tag der Rapid7 Global Cybersecurity Summit. Erwartet wird, dass dort vor allem zwei Themen dominieren werden: hardwaregestützte Verschlüsselung und die Risiken KI-gesteuerter Schwachstellensuche. Für IT-Administratoren in Unternehmen und Bildungseinrichtungen heißt die Devise: Multi-Faktor-Authentifizierung einführen und bestehende Verschlüsselungskonfigurationen überprüfen – insbesondere, ob hardwaregestützte Sicherheitsfunktionen auf allen aktiven Geräten aktiviert sind.
Die Branche bewegt sich weg von der alleinigen Software-Verschlüsselung hin zu „Zero Trust“-Hardwaremodellen. Dabei werden Betriebssystem und Arbeitsspeicher nicht mehr als vertrauenswürdig eingestuft. Stattdessen sollen selbstverschlüsselnde Laufwerke (SEDs) alle kryptografischen Berechnungen direkt in der eigenen Firmware durchführen – und damit CPU und RAM als Angriffsziele eliminieren. Ob diese Strategie den nächsten ShinyHunters-Angriff verhindern kann, wird sich zeigen müssen.
