Canvas-Hack: 275 Millionen Nutzer betroffen, Sammelklagen drohen

Von der Lernplattform Canvas bis zu nationalen Prüfungssystemen – die Bedrohungslage ist so ernst wie nie zuvor.

Der Canvas-Coup: 275 Millionen Nutzer betroffen

Der bislang spektakulärste Vorfall traf Instructure, den Betreiber der weltweit verbreiteten Lernplattform Canvas. Die Hackergruppe ShinyHunters erbeutete 3,65 Terabyte an Daten – darunter Namen, E-Mail-Adressen, Studentenausweise und interne Nachrichten von rund 275 Millionen Nutzer. Passwörter und Finanzdaten blieben zwar verschont, doch die Gefahr massiver Phishing-Kampagnen ist enorm.

Wenn externe Bildungsplattformen oder SaaS-Anbieter sensible Nutzerdaten verarbeiten, tragen die verantwortlichen Institutionen oft ein unterschätztes Haftungsrisiko. Dieser kostenlose Experten-Report klärt darüber auf, wie Sie sich bei der Zusammenarbeit mit Dienstleistern rechtlich absichern. Haftungsrisiken bei Auftragsverarbeitern jetzt prüfen

Mehr als 8.800 Bildungseinrichtungen weltweit sind betroffen. In Brasilien zählen renommierte Hochschulen wie ESPM und UNIP zu den Opfern, in den USA informierten Schulbezirke wie Wayzata Public Schools in Minnesota bereits die Eltern.

Die Folgen sind dramatisch: Instructure zahlte offenbar Lösegeld an die Erpresser, die seit 2019 auch schon Ticketmaster und AT&T attackiert hatten. Dennoch drohen dem Unternehmen mindestens drei Sammelklagen aus den USA. Die Kläger werfen Instructure vor, unzureichende Sicherheitsmaßnahmen zum Schutz von Minderjährigen implementiert zu haben.

Prüfungs-Chaos in Indien: Technik versagt, Betrüger kassieren

Während SaaS-Anbieter mit externen Angreifern kämpfen, brechen nationale Prüfungssysteme unter internen Problemen zusammen. Am 25. Mai legten Serverausfälle das Portal für Nachprüfungen des indischen Central Board of Secondary Education (CBSE) lahm. Zahlungen scheiterten, Logins waren unmöglich. Bildungsminister Dharmendra Pradhan orderte umgehend Experten der Elite-Unis IIT Madras und IIT Kanpur sowie Unterstützung von vier Staatsbanken zur Stabilisierung der Zahlungssysteme. Die Frist für Prüfungsanmeldungen musste verlängert werden.

Noch gravierender: Der Medizin-Aufnahmetest NEET UG 2026 wurde Opfer eines organisierten Betrugs. Eine Physiklehrerin und Schulleiterin aus Pune soll als Übersetzerin für die nationale Prüfungsbehörde gearbeitet und Prüfungsfragen vor dem offiziellen Termin am 3. Mai via Messenger gegen Geld weitergegeben haben. Die ursprünglichen Ergebnisse vom 12. Mai wurden annulliert, die Wiederholungsprüfung ist für den 21. Juni angesetzt. Bislang elf Festnahmen.

Sicherheitslücken in der Software-Infrastruktur

Doch nicht nur Angriffe, auch hausgemachte Schwachstellen gefährden Bildungseinrichtungen. Sicherheitsforscher von Mandiant entdeckten eine kritische Lücke (CVE-2026-5426) im japanischen Lernsystem KnowledgeDeliver. Der Grund: identische ASP.NET-Maschinenkeys in Versionen vor dem 24. Februar 2026. Angreifer nutzten diese Schwachstelle aktiv aus, um Schadsoftware wie den BLUEBEAM-Webshell und Cobalt-Strike-Beacons in Netzwerke einzuschleusen.

Ein weiterer Vorfall: Bei einer Systemmigration des indischen Bildungsportals Leverage Edu führte ein Konfigurationsfehler in einer Amazon-S3-Cloud zur Offenlegung von rund 240.000 Dateien – darunter Pässe, Kontoauszüge, Zeugnisse und Studiendarlehensdokumente. Der Zugriff wurde zwar korrigiert, bevor es zu massivem Datenmissbrauch kam, doch der Vorfall zeigt die Risiken von Cloud-Migrationen.

Datenschutz wird teuer: Millionenstrafen für Bildungssoftware

Die zunehmende Regulierung zeigt Wirkung: Im Februar 2026 einigte sich PowerSchool auf einen Vergleich über 17,25 Millionen Euro. Der Vorwurf: Die Tracking-Software Naviance (Heap) sammelte zwischen August 2021 und Januar 2026 ohne Einwilligung Schülerdaten. Die endgültige Genehmigung des Vergleichs steht im August an.

Gerade im Umgang mit besonders sensiblen Daten sind die Anforderungen an den Datenschutz hoch und erfordern oft zwingend eine detaillierte Risikoanalyse. Erfahrene Datenschutzexperten nutzen bereits diese bewährten Checklisten und Muster-Vorlagen, um gesetzliche Vorgaben wie die Datenschutz-Folgenabschätzung sicher umzusetzen. Muster-Datenschutzfolgenabschätzung kostenlos herunterladen

Diese Entwicklung signalisiert einen grundlegenden Wandel. Während der Bildungssektor aufgrund veralteter Infrastruktur ein lukratives Ziel für Erpressung und Identitätsdiebstahl bleibt, steigt der Druck auf Anbieter, Sicherheit von Anfang an mitzudenken.

Ausblick: Sicherheit als Daueraufgabe

Die Doppelbelastung durch professionelle Hackergruppen und interne Betrugsfälle zwingt Bildungsministerien und private Anbieter zum Umdenken. Experten erwarten einen massiven Schub für Multi-Faktor-Authentifizierung, Ende-zu-Ende-Verschlüsselung für Prüfungsmaterialien und häufigere Sicherheitsaudits durch Dritte.

Die Einbindung von Spitzenuniversitäten wie den IITs in die staatliche Portalverwaltung deutet auf dauerhafte technische Partnerschaften hin. Für SaaS-Anbieter werden die explodierenden Prozesskosten und Millionenvergleiche den Wandel von reaktiven Flickschustereien hin zu einem "Security by Design"-Ansatz beschleunigen. Die Frage ist nicht mehr, ob der nächste Angriff kommt – sondern wann und wie gut die Institutionen vorbereitet sind.

de | wissenschaft | 69418825 |