Canvas LMS Datenleck: Instructure zahlt Lösegeld nach Diebstahl von 275 Mio. Datensätzen

12.05.2026 3
Canvas LMS Datenleck: Instructure zahlt Lösegeld nach Diebstahl von 275 Mio. Datensätzen

Was heute als größtes Datenleck in der Geschichte des Bildungswesens dokumentiert ist: Die Hackergruppe ShinyHunters stahl beim Canvas LMS Datenleck 3,65 Terabyte Daten von 275 Millionen Studierenden und Mitarbeitern aus 8.809 Hochschulen weltweit. Am 11. Mai 2026 bestätigte Instructure - das Unternehmen hinter Canvas - die Zahlung eines nicht genannten Lösegelds und die Vernichtung der gestohlenen Daten.

Wie ShinyHunters das Canvas LMS Datenleck durchführte

Der Angriff begann am 25. April 2026. ShinyHunters nutzte eine Schwachstelle im Free-For-Teacher-Programm von Canvas aus - Lehrerkonten wurden ohne strenge Identitätsprüfung vergeben -, um sich Zugang zum breiteren Netzwerk zu verschaffen. Am 3. Mai bekannte sich die Gruppe öffentlich und drohte, die gesamte 3,65-TB-Datenbank zu veröffentlichen, falls Instructure nicht bis zum 12. Mai zahle.

Instructure schwieg zunächst. ShinyHunters reagierte am 7. Mai mit einem zweiten Einbruch - sie entstellte die Canvas-Anmeldeseite, um den anhaltenden Zugang zu demonstrieren und den Countdown zurückzusetzen. Der Doppelangriff traf Universitäten in den USA, Kanada, Europa und Australien mitten in der Prüfungszeit und zwang viele zur Verschiebung von Abschlussprüfungen.

275 Millionen Datensätze: Was genau wurde gestohlen?

  • Persönliche Daten: Vollständige Namen, Adressen, E-Mail-Adressen und Studierenden- bzw. Mitarbeiternummern aus 8.809 Einrichtungen.
  • Private Kommunikation: Direktnachrichten, Aufgabenkommentare und vertrauliche E-Mails zwischen Studierenden und Lehrenden über das Canvas-Portal.
  • Studien- und Prüfungsdaten: Kursnamen, Immatrikulationsstatus, historische Noten und akademische Aufzeichnungen.
  • Gesamtumfang: 275 Millionen Betroffene aus Hochschulen, Bildungsministerien und Schulen in Dutzenden von Ländern.

Zu den bestätigten betroffenen Institutionen gehören die Harvard University, die Duke University und die University of Pennsylvania. Das Canvas LMS Datenleck ist bereits von Wikipedia als der größte Cyberangriff in der Geschichte des Bildungssektors dokumentiert.

Instructure zahlt - aber sind die Daten wirklich weg?

Am 11. Mai entschuldigte sich Instructure öffentlich für mangelnde Transparenz und gab bekannt, eine Einigung mit ShinyHunters über einen nicht genannten Betrag erzielt zu haben. Die Daten seien nach der Zahlung dauerhaft vernichtet worden.

Wichtig: Cybersecurity-Experten warnen: Lösegeldzahlungen garantieren keine Datenlöschung. Es gibt keine unabhängige Möglichkeit zu überprüfen, ob ShinyHunters tatsächlich 3,65 TB Daten gelöscht hat. Alle Betroffenen sollten davon ausgehen, dass ihre persönlichen Daten möglicherweise noch im Darknet kursieren.

Die Sicherheitslücke, die den Angriff ermöglichte

Der Angriffsweg - kostenlose Lehrerkonten ohne Identitätsprüfung - zeigt eine systemische Schwachstelle in der Sicherheit moderner Bildungsplattformen. ShinyHunters nutzte Zugangsdaten, die die Plattform selbst frei vergab, um in die geschützte Infrastruktur einzudringen. Dieser Angriffspunkt erforderte keinen ausgefeilten Zero-Day-Exploit, sondern lediglich die Ausnutzung eines logischen Fehlers in der Rechteverwaltung.

Sicherheitsforscher bei Halcyon und Bitdefender stellten fest, dass der Angriff in ein Muster von Ransomware-Akteuren passt, die den Bildungssektor ins Visier nehmen. Diese Einrichtungen verwalten große Mengen wertvoller personenbezogener Daten mit geringeren Sicherheitsbudgets als Unternehmen.

Warum Netzwerksicherheit jetzt wichtiger ist denn je

Dieser Angriff unterstreicht: Die Absicherung der eigenen Verbindung ist die erste persönliche Verteidigungslinie. Hacker beschaffen sich oft erste Zugangsdaten, indem sie unverschlüsselten Datenverkehr in öffentlichen Campus-WLAN-Netzwerken abfangen. Ein einziger gestohlener Datensatz kann dazu genutzt werden, größere Plattformen wie Canvas auf Schwachstellen zu sondieren.

Durch die Verschlüsselung ihrer Verbindung erschweren Studierende und Lehrende lokalen Angreifern das Abfangen von Login-Sessions erheblich. Die Reduzierung der Angriffsfläche in öffentlichen Netzwerken ist eine sinnvolle Praxis - und genau das Szenario, in dem ein VPN einen bedeutsamen Schutz bietet.

Was betroffene Studierende jetzt tun sollten

  1. Ändern Sie sofort Ihr Canvas-Passwort und aktivieren Sie die Zwei-Faktor-Authentifizierung per Authenticator-App.
  2. Achten Sie auf gezielte Phishing-E-Mails an Ihre institutionelle E-Mail-Adresse.
  3. Wenn Sie Ihr Canvas-Passwort auch auf anderen Plattformen verwendet haben, ändern Sie es dort sofort.
  4. Überwachen Sie ungewöhnliche Anmeldeaktivitäten auf allen Konten, die mit Ihrer Hochschul-E-Mail verknüpft sind.

Fazit

Fazit: Das Canvas LMS Datenleck ist ein Wendepunkt für die digitale Sicherheit im globalen Bildungswesen. Instructure zahlte, um die unmittelbare Bedrohung zu beseitigen, doch das grundlegende Problem bleibt: Zentralisierte Plattformen, die hunderte Millionen personenbezogener Datensätze mit unzureichenden Zugriffskontrollen verwalten. Solange Plattformen keine aussagekräftige Verifizierung für privilegierte Konten einführen, bleibt dieses Erpressungsmodell effektiv.
Quellen:
Instructure Reaches Ransom Agreement with ShinyHunters - The Hacker News
Instructure Pays Ransom to Canvas Hackers - Inside Higher Ed
Millions of Students Personal Data Stolen - Malwarebytes
ShinyHunters Claims Second Attack Against Instructure - Dark Reading
Tags: datenleck cybersicherheit sicherheit datenschutz usa

Auch lesenswert

Neue US-Cyberstrategie 2026: Warum die Regierung praktisch jeden zur Nutzung eines VPN drängt
09.03.2026
Neue US-Cyberstrategie 2026: Warum die Regierung praktisch jeden zur Nutzung eines VPN drängt
Discord verzogert Altersverifizierung nach Leak von 70.000 Reisepassen
24.04.2026
Discord verzogert Altersverifizierung nach Leak von 70.000 Reisepassen
Nach der Altersverifikation auf Erwachsenenwebsites im Vereinigten Königreich steigt die VPN-Nutzung stark an
01.11.2025
Nach der Altersverifikation auf Erwachsenenwebsites im Vereinigten Königreich steigt die VPN-Nutzung stark an
Zurück zur Artikelliste