Julia Wolf 
Prüfungszeit. Millionen Studierende loggen sich in Canvas ein – und stehen vor manipulierten Anmeldeseiten mit Lösegeldforderungen. ShinyHunters hat Instructure offenbar tief kompromittiert. Das Canvas Datenleck ist kein normaler Datenklau. Es ist eine Geiselnahme mit akademischer Kollateralwirkung.
Am 1. Mai 2026 bestätigte Instructure, der Betreiber der Lernplattform Canvas, einen schwerwiegenden Sicherheitsvorfall in seiner cloudbasierten Infrastruktur. Betroffen: Namen, E-Mail-Adressen, Matrikelnummern und private Nachrichten zwischen Nutzerinnen und Nutzern. Passwörter, Finanzdaten oder amtliche Ausweisdokumente sollen laut Instructure nicht abgeflossen sein. Das Unternehmen betont das natürlich mit der Emphase einer PR-Abteilung unter Druck.
Der Zugriff erfolgte über Exportfunktionen und APIs – also nicht durch einen spektakulären Zero-Day, sondern durch systematisches Ausnutzen legitimer Schnittstellen. Plot Twist: Manchmal ist der gefährlichste Angriff der banalste.
Ab dem 8. und 9. Mai eskalierte die Lage drastisch. ShinyHunters – die Gruppe, die den Datenklau für sich beansprucht – manipulierte Anmeldeseiten von Canvas-Instanzen Hunderter Bildungseinrichtungen weltweit. Studierende, die sich für ihre Finals einloggen wollten, sahen stattdessen Lösegeldforderungen. Die gesetzte Frist: 12. Mai 2026. Kontaktaufnahme oder Veröffentlichung der Daten im Dark Web.
Das Timing ist kein Zufall. Prüfungszeit bedeutet maximaler Druck, minimale Toleranz für Systemausfälle, maximale Bereitschaft zum Nachgeben. Aus Sicht der Angreifer: nahezu ideal.
ShinyHunters ist keine staatlich gesteuerte APT-Gruppe, auch wenn der Name gelegentlich in denselben Atemzug mit Geheimdiensten gezogen wird – das ist falsch. Es handelt sich um eine kriminelle Cybercrime-Gruppe, die sich auf großangelegten Datendiebstahl mit anschließender Erpressung spezialisiert hat. Bekannt wurde die Gruppe unter anderem durch den Odido-Datenleak in den Niederlanden sowie durch zahlreiche weitere Hochvolumen-Breaches der vergangenen Jahre.
Das Pikante daran: ShinyHunters wechselt gerade sein Geschäftsmodell. Früher wurden gestohlene Daten still auf einschlägigen Marktplätzen im Dark Web verkauft. Jetzt setzen die Angreifer auf visible extortion – sichtbare, öffentliche Erpressung direkt auf den Zielseiten der Opfer. Diese Strategie erinnert an die AT&T- und Ticketmaster-Leaks von 2024 und 2025, erhöht jedoch den psychologischen Druck auf Betroffene und Institutionen enorm. Malwarebytes dokumentiert diese Eskalation detailliert und wertet das Defacement der Login-Seiten als Indiz für anhaltenden, aktiven Systemzugriff zum Zeitpunkt der Veröffentlichung.
Wenig überraschend: Eine Gruppe, die 3,5 Terabyte Daten von angeblich 275 Millionen Nutzerinnen und Nutzern aus rund 9.000 Bildungseinrichtungen gestohlen haben will, schreckt vor einem bisschen Login-Vandalismus nicht zurück. Diese Zahlen stammen ausschließlich von ShinyHunters selbst und sind nicht unabhängig verifiziert. Sie könnten aufgeblasen sein – der Erpressungseffekt funktioniert trotzdem.
Canvas ist keine Nischenanwendung. Die Plattform wird von Bildungseinrichtungen in den USA, Großbritannien, Australien, Neuseeland, Schweden, den Niederlanden und Belgien eingesetzt – um nur die bestätigten Länder zu nennen. Namen wie Harvard, Columbia, Penn State und Georgetown tauchten in Berichten auf, wobei hier eine wichtige Differenzierung gilt: Es handelt sich um Zugangsstörungen und potenzielle Datenkompromittierungen im Rahmen des Canvas-Vorfalls, nicht um separate, eigenständige Hacks dieser Institutionen.
Die abgeflossenen Datenkategorien klingen im ersten Moment harmlos. Namen und E-Mail-Adressen – na und? Der Clou liegt im Kontext. Canvas-Daten enthalten Kursbelegungen, Interaktionsverläufe, Abgabezeitpunkte, Lehrender-Studierenden-Kommunikation. Kombiniert mit Matrikelnummern ergibt das ein präzises Profil, das für hochgradig personalisierte Phishing-Angriffe taugt. Das belgische Zentrum für Cybersicherheit (CCB) warnte bereits am 6. Mai: Selbst ohne gestohlene Passwörter reichen Namen und Mailadressen für gezielte Phishing-Kampagnen aus.
Wer also demnächst eine Mail bekommt, die sich auf seinen Kurs „Statistik für Sozialwissenschaften, Dienstag 10 Uhr“ bezieht und um Zugangsdaten für eine angebliche Prüfungsplattform bittet – das ist kein Zufall. Das ist Datenleck, angewandt.
Zugangsstörungen während der Finals Week sind nicht trivial. Prüfungen wurden verschoben, Fristen verlängert, Prüfungsräume kurzfristig umgebucht. An Einrichtungen, die Abgaben und Prüfungsanmeldungen ausschließlich über Canvas abwickeln, entstand operativer Chaos. Das klingt nach Verwaltungsproblem – ist aber für Studierende in Abschlusssemestern existenziell.
Meine Einschätzung: Der eigentliche Schaden des Canvas Datenlecks ist nicht das, was in den Datenbanken stand. Es ist das Vertrauen, das Studierende in digitale Bildungsinfrastrukturen hatten. Und das lässt sich nicht mit einem Passwort-Reset reparieren.
Institutionen reagierten unterschiedlich schnell. Einige kommunizierten aktiv über Benachrichtigungsmails, andere schwiegen. Das Datenleck traf dabei nicht nur Studierende – auch Lehrende, deren Kommunikation mit Studierenden über Canvas lief, sind potenziell betroffen. Private Nachrichten, Feedbacks, vertrauliche Beratungsgespräche.
Nicht alle Betroffenen sind gleich exponiert. Während für viele Studierende das Canvas Datenleck vor allem lästige Passwort-Resets und erhöhte Phishing-Wachsamkeit bedeutet, trifft es andere Gruppen ungleich härter.
Ausländische Studierende mit Visastatus sind besonders gefährdet: Ihre Matrikelnummer verknüpft mit akademischen Verlaufsdaten und einer verifizierten Hochschul-E-Mail-Adresse ergibt ein Profil, das für Identitätsbetrug im Kontext von Behördenkommunikation missbraucht werden kann. Eine fingierte Mail vom vermeintlichen Studierendensekretariat, die nach ergänzenden Identitätsnachweisen fragt, ist für jemanden in einem bürokratisch sensiblen Aufenthaltsstatus schwerer zu ignorieren.
Ähnlich heikel ist die Situation für Promovierende und wissenschaftliche Mitarbeitende, die Canvas für die Betreuungskommunikation nutzen. Ihre Nachrichten enthalten häufig unveröffentlichte Forschungsergebnisse, Entwürfe und interne Absprachen zu laufenden Projekten. Auch wenn Instructure betont, keine Forschungsdaten seien betroffen, liegt der Kommunikationsverlauf zwischen Betreuenden und Promovierenden in genau diesem System.
Minderjährige Schülerinnen und Schüler – Canvas wird auch an weiterführenden Schulen eingesetzt – stehen noch einmal in einer eigenen Risikokategorie. Bildungsdaten Minderjähriger unterliegen in vielen Ländern besonderem gesetzlichem Schutz, und ihre Eltern wurden in vielen Fällen nicht separat oder rechtzeitig informiert.
Instructure betont, Passwörter und Finanzdaten seien nicht kompromittiert worden. Das ist technisch relevant und sollte nicht kleingeredet werden. Gleichzeitig verdient diese Aussage einen nüchternen Blick.
Erstens: Instructure ist in dieser Situation Partei, keine neutrale Instanz. Die Qualität einer Selbstauskunft unter Haftungsdruck ist begrenzt. Zweitens: Passwörter sind längst nicht das einzige Einfallstor. Wer meinen Kursverlauf, meine Mailadresse und meinen Namen hat, kann einen überzeugenden Phishing-Angriff konstruieren, der mich dazu bringt, mein Passwort freiwillig einzugeben. Das Canvas Datenleck schafft den Kontext für Folgeangriffe – die eigentliche Schadkette startet erst.
Drittens ist der Hinweis auf den API-basierten Zugriff bemerkenswert. Wer über legitime Exportfunktionen an 3,5 Terabyte Daten kommt – selbst wenn diese Zahl übertrieben ist –, hatte entweder Zugang zu privilegierten Konten oder hat Sicherheitskontrollen über einen längeren Zeitraum umgangen. Beides ist kein Ruhmesblatt für die Plattformsicherheit.
Das Canvas Datenleck entfaltet seine volle Wirkung nicht sofort. Gestohlene Bildungsdaten sind auf einschlägigen Märkten besonders wertvoll, weil sie stabile Langzeitprofile liefern. Matrikelnummern ändern sich nie. E-Mail-Adressen von Hochschulen bleiben oft jahrelang aktiv, auch nach dem Abschluss. Namen sind ohnehin persistent.
Brisant: Wer heute Studierende erpresst, hat morgen Alumni. Die Daten bleiben verwertbar. Phishing-Kampagnen, die auf Canvas-Daten basieren, können noch Jahre nach dem Vorfall auftauchen – dann mit dem scheinbaren Kontext einer Hochschule, die man längst verlassen hat.
Sicherheitsanalysten von Malwarebytes ordnen den Wechsel von stillem Datenverkauf zu öffentlichem Defacement als Indiz für anhaltenden Systemzugriff ein. Anders formuliert: Die Angreifer waren beim Aushängen ihrer Lösegeldforderungen noch drin. Das erhöht das Risiko weiterer Datenabflüsse, die noch nicht bekannt sind.
Passwörter zurücksetzen – ja, auch wenn Passwörter laut Instructure nicht gestohlen wurden. Der Grund: Canvas-Accounts werden oft mit denselben Passwörtern genutzt wie andere Dienste. Credential Stuffing ist ein reales Angriffszenario; dieselbe Mechanik macht auch KI-gestützten Phishing-Betrug so wirksam. Also Passwort zurücksetzen, einzigartiges Passwort setzen, fertig.
Multi-Faktor-Authentifizierung (MFA) aktivieren. Canvas unterstützt MFA, viele Nutzerinnen und Nutzer haben sie nie eingerichtet. Das ist die wirksamste Einzelmaßnahme gegen Phishing-basierte Kontoübernahmen – und passt exakt zu dem Muster, bei dem Identitäten zum eigentlichen Angriffsziel werden. Golem berichtet, wie weitreichend die Anmeldeseitenmanipulationen waren – ein funktionierendes zweites Faktor hätte viele potenzielle Kontoübernahmen verhindert.
Phishing-Radar schärfen. Jede Mail, die sich auf Kursinhalte, Prüfungsanmeldungen oder Canvas-Zugangsdaten bezieht und einen Link enthält, ist verdächtig – unabhängig davon, wie legitim sie aussieht. Offizielle Kommunikation der Hochschule kommt über verifizierte Kanäle, nicht über generische Canvas-Mailadressen. Im Zweifel: nicht klicken, direkt beim IT-Support der Einrichtung nachfragen.
Benachrichtigungen abwarten – aber nicht darauf verlassen. Schulen und Universitäten sind verpflichtet, Betroffene zu informieren. Wie schnell und vollständig das passiert, variiert stark. Wer in einer der betroffenen Regionen studiert oder studiert hat und Canvas genutzt hat, sollte nicht auf die Benachrichtigung warten, sondern selbst aktiv werden.
Datenleck prüfen: Tools wie Have I Been Pwned können zumindest zeigen, ob die eigene Mailadresse in bekannten Dumps auftaucht. Der Canvas-Datensatz ist dort möglicherweise noch nicht gelistet, aber es lohnt sich, die eigene digitale Spur generell im Blick zu behalten.
Das Canvas Datenleck wirft eine Frage auf, die über diesen konkreten Vorfall hinausgeht: Wie viel Eigenverantwortung können und dürfen Bildungseinrichtungen an Cloud-Anbieter delegieren – und ab welchem Punkt beginnt fahrlässige Abhängigkeit?
Viele Hochschulen und Schulen haben Canvas oder vergleichbare Plattformen eingeführt, weil die IT-Ressourcen für den Eigenbetrieb fehlten. Das ist eine legitime Entscheidung. Sie entbindet jedoch nicht von der Pflicht, den Anbieter regelmäßig zu auditieren, Sicherheitsanforderungen vertraglich zu verankern und Notfallpläne zu entwickeln, die unabhängig von einer einzelnen Plattform funktionieren.
Konkret bedeutet das: Prüfungen, die ausschließlich über Canvas angemeldet, abgegeben und benotet werden, schaffen eine kritische Abhängigkeit ohne Redundanz. Einrichtungen, die das Canvas Datenleck als Anlass nehmen, sollten prüfen, ob sie Alternativprozesse für den Ausfallfall vorhalten – auch wenn der analoge Fallback unbequem ist.
Für IT-Verantwortliche an Hochschulen bedeutet das außerdem: API-Zugriffe auf Bildungsplattformen müssen regelmäßig auf ungewöhnliche Abfragemuster überwacht werden. Der Angriffspfad über legitime Exportschnittstellen ist kein Geheimnis mehr. Anomalie-Erkennung auf API-Ebene ist kein Nice-to-have, sondern eine Grundschutzmaßnahme für Plattformen mit sensiblen Nutzerdaten.
Canvas ist kein Einzelfall. Bildungsplattformen sind attraktive Ziele: viele Nutzerinnen und Nutzer, oft veraltete Sicherheitsinfrastrukturen, hohes Vertrauen der Nutzer in die Plattform, sensible Kommunikationsdaten und – der entscheidende Faktor – eindeutige Hochsaisons, in denen Ausfälle maximalen Schaden anrichten.
Moodle, Google Classroom, Canvas – sie alle verwalten Daten von Millionen Menschen, die sich wenig Gedanken über Plattformsicherheit machen, weil ihre Hochschule die Wahl der Plattform trifft. Das ist strukturell problematisch. Bildungseinrichtungen, die Cloud-Plattformen einsetzen, tragen Verantwortung für die Sicherheit der ihnen anvertrauten Daten – gegenüber Studierenden, gegenüber Lehrenden, gegenüber Regulierern.
Für europäische Institutionen ist dabei die DSGVO relevant: Ein Datenleck dieser Dimension löst Meldepflichten gegenüber Datenschutzbehörden aus. Ob und wie Instructure sowie betroffene Institutionen dieser Pflicht innerhalb der vorgeschriebenen 72-Stunden-Frist nachgekommen sind, ist zum Zeitpunkt der Berichterstattung nicht abschließend bekannt.
ShinyHunters hat mit dem Canvas Datenleck demonstriert, dass Bildungsplattformen als kritische Infrastruktur behandelt werden müssen – von den Betreibern, von den Institutionen, von den Regulierern. Die Daten sind weg. Die Frist ist verstrichen. Was jetzt noch zählt: Wie transparent wird kommuniziert, wer wirklich betroffen ist? Und wann entscheiden Bildungseinrichtungen endlich, dass „der Anbieter kümmert sich“ keine ausreichende Sicherheitsstrategie ist?
Haben Sie Ihre MFA in Canvas aktiviert – und wissen Sie überhaupt, welche Ihrer Daten dort lagern?
