Der Bildungssektor steht vor einem Scherbenhaufen: Nach einem massiven Datenleck bei der Lernplattform Canvas haben sich die Betreiber mit der Hackergruppe ShinyHunters geeinigt. Rund 275 Millionen Nutzer sind betroffen.
Die Nachricht schlug am Dienstag ein wie eine Bombe: Instructure, der Entwickler des weltweit genutzten Lernmanagementsystems Canvas, bestätigte eine Vereinbarung mit der berüchtigten Hackergruppe ShinyHunters. Ziel des Deals: Die gestohlenen Daten sollten vernichtet werden. Ob das tatsächlich gelang, bleibt fraglich. Sicherheitsexperten üben scharfe Kritik an der Strategie, mit Erpressern zu verhandeln.
Der massive Datendiebstahl bei Canvas zeigt, wie verwundbar unsere digitalen Identitäten sind. In diesem kostenlosen Ratgeber erfahren Sie, wie Sie Ihre privaten Konten bei Amazon, WhatsApp und Co. mit modernster Technologie vor Hackerangriffen schützen. Passkeys einrichten und Phishing-Gefahren stoppen
Der Deal mit den Hackern – ein gefährlicher Präzedenzfall?
Am 12. Mai 2026 wurden die Details des Abkommens bekannt. Insgesamt 3,65 Terabyte an Daten waren gestohlen worden – Namen, E-Mail-Adressen und Studentenausweisnummern von schätzungsweise 275 Millionen Menschen aus über 8.800 Bildungseinrichtungen. Instructure betont, dass sensible Informationen wie Passwörter, Geburtsdaten oder Finanzdaten nicht in die Hände der Angreifer gelangten.
Die Hacker nutzten eine Schwachstelle in der „Free-for-Teacher“-Umgebung aus – eine sogenannte Cross-Site-Scripting-Lücke (XSS). Am 7. Mai folgte eine zweite Angriffswelle: Rund 330 Canvas-Portale wurden verunstaltet. Danach setzte sich Instructure mit der Gruppe an einen Tisch. Das Unternehmen erklärte, die Daten seien zurückgegeben und „Shred Logs“ als Beweis für die Vernichtung vorgelegt worden.
Doch die Skepsis bleibt groß. Sicherheitsfirmen wie Malwarebytes zweifeln offen an der Sicherheit der Daten. Selbst wenn die Hauptkopien gelöscht wurden – eine Garantie, dass keine weiteren Kopien existieren, gibt es nicht. Analysten von Emsisoft und Beauceron Security warnen vor einem gefährlichen Signal: Wer mit Hackern verhandelt, finanziert womöglich deren nächste Angriffe.
Identitätsdiebstahl: Die stille Epidemie
Der Canvas-Vorfall ist kein Einzelfall. Der am 12. Mai veröffentlichte Sophos „State of Identity Security 2026″-Report zeichnet ein düsteres Bild: 71 Prozent aller Organisationen erlitten im vergangenen Jahr mindestens einen identitätsbezogenen Sicherheitsvorfall – im Schnitt drei pro Unternehmen. Hauptursachen sind menschliches Versagen (43 Prozent) und das schlechte Management sogenannter nicht-menschlicher Identitäten (41 Prozent). Die durchschnittlichen Kosten für die Schadensbehebung: 750.000 Euro.
Noch alarmierender: Neue Daten von Cifas zeigen, dass jeder achte Mitarbeiter in Großunternehmen (ab 1.000 Beschäftigten) entweder eigene Zugangsdaten verkauft hat oder jemanden kennt, der das tat. Besonders erschreckend: 43 Prozent der Führungskräfte und 80 Prozent der Geschäftsinhaber halten solche Aktionen für potenziell gerechtfertigt. Kein Wunder, dass die Zahl gestohlener Zugangsdaten laut KELA im Jahr 2025 auf 2,9 Milliarden anstieg.
In Deutschland liegt die Opferrate für Cyberkriminalität laut BSI Cybersicherheitsmonitor 2026 bei 11 Prozent (Stand 2025). Besonders verbreitet sind „Smishing“-Kampagnen und Banking-Trojaner wie TrickMo.C und Anatsa. Letzterer wurde in über 400 Apps gefunden und kann sogar die Zwei-Faktor-Authentifizierung (2FA) umgehen.
Schwachstellen in Alltagssoftware: Edge, WhatsApp und KI
Auch andere weit verbreitete Programme sind betroffen. Sicherheitsforscher entdeckten, dass Microsoft Edge Benutzerpasswörter im Klartext in den Arbeitsspeicher lädt. Zwar benötigt ein Angreifer direkten Zugriff auf das Gerät, doch Microsoft stuft das Verhalten als „by design“ ein. Sicherheitsexperten raten daher zum Umstieg auf externe Passwort-Manager.
WhatsApp schloss am 12. Mai zwei Sicherheitslücken. Die erste (CVE-2026-23866) betraf manipulierte Instagram-Reels, die schädliche Inhalte auf Android und iOS laden konnten. Die zweite (CVE-2026-23863) betraf die Windows-Version: Hier konnten getarnte ausführbare Dateien Schadcode einschleusen. Das BSI rät zu sofortigen Updates.
Da Trojaner wie Anatsa bereits über 400 Apps infiltriert haben und Sicherheitslücken in Messengern zunehmen, ist ein aktuelles System überlebenswichtig für Ihre Daten. Erfahren Sie in diesem kostenlosen Report, wie Sie Ihr Android-Smartphone mit 5 einfachen Schritten sofort gegen Hacker absichern. Gratis-Sicherheits-Ratgeber für Android anfordern
Google Threat Intelligence berichtete zudem, dass Angreifer zunehmend KI einsetzen, um Zero-Day-Schwachstellen aufzuspüren. In einem Fall nutzten Hacker KI, um ein Loch in einem Open-Source-Verwaltungstool zu finden und die 2FA zu umgehen. Die gute Nachricht: KI wird auch zur Abwehr eingesetzt, um Bedrohungen frühzeitig zu erkennen.
Der Weg in die passwortlose Zukunft
Die Branche setzt zunehmend auf Passkeys und biometrische Authentifizierung. Microsoft stellte Anfang 2026 neue Konten standardmäßig auf Passkeys um, Apple und Google bauten die Unterstützung für Face ID und Fingerabdruck aus. Weltweit sind bereits rund 5 Milliarden Passkeys im Einsatz.
Doch alte Gewohnheiten sterben schwer. Eine Bitdefender-Studie von 2025 ergab: 39 Prozent der deutschen Nutzer notieren ihre Passwörter noch immer auf Papier, und jeder Achte verwendet dasselbe Passwort für drei oder mehr Konten. WhatsApp plant daher für 2026 eine optionale Passwortfunktion mit 6 bis 20 Zeichen – als zusätzliche Sicherheitsebene über die anfällige SMS-2FA hinaus.
Das Canadian Anti-Fraud Centre und die US-Handelsbehörde FTC warnten diese Woche vor raffinierten Phishing-Kampagnen. Gefälschte Rechnungen von PayPal oder Norton sowie betrügerische Geburtstagseinladungen locken Nutzer auf gefälschte Login-Seiten.
Ausblick: Was bleibt vom Canvas-Desaster?
Der Deal mit ShinyHunters bleibt ein umstrittenes Kapitel der Bildungs-Cybersicherheit. Instructure hat sein Plattform stabilisiert – aber um welchen Preis? Viele Experten sehen darin einen gefährlichen Präzedenzfall. Bildungseinrichtungen stehen nun unter Druck, ihre Identitätsmanagement-Protokolle zu verschärfen und anfällige XSS-Umgebungen zu meiden.
Für Unternehmen rückt die innere Bedrohung in den Fokus. Wenn eine signifikante Minderheit der Mitarbeiter bereit ist, ihren Zugang zu Geld zu machen, werden Zero-Trust-Architekturen und eine aggressivere Überwachung der Zugangsdaten zur Pflicht. KI-gestützte „Phishing-as-a-Service“-Kits werden immer zugänglicher – das Zeitfenster für manuelle Eingriffe schließt sich. Die Zukunft gehört automatisierten, biometrischen Sicherheitsrahmen.
