#Netzwerk & Sicherheit · 4 Min. Lesezeit · Tim Rinkel

CANVAS-SCHOCK! 275 MILLIONEN Schüler-Datensätze KLAFFEN offen — DEINE Hochschule wackelt JETZT!

CANVAS-SCHOCK! 275 MILLIONEN Schüler-Datensätze KLAFFEN offen — DEINE Hochschule wackelt JETZT!

Es ist der größte Bildungs-Breach, den die Welt je gesehen hat: Instructure, der Hersteller hinter dem populären Canvas-LMS, hat am 3. Mai 2026 bestätigt, dass Angreifer auf persönliche Daten zugegriffen haben. Die Hacker-Gruppe ShinyHunters behauptet, bis zu 275 Millionen Datensätze in 3,65 Terabyte erbeutet zu haben — Schul- und Hochschul-Daten aus rund 15 000 Einrichtungen weltweit. Wer Canvas nutzt, sollte JETZT handeln.

SCHOCK: Zweiter Breach binnen einem Jahr

Es ist nicht der erste Vorfall: Instructure musste bereits 2025 einen kleineren Datenabfluss eingestehen. Diesmal aber spielt der Vorfall in einer anderen Liga. ShinyHunters — die Gruppe, die Anfang Mai schon Kemper Insurance auf 13 Millionen Datensätze brachte — gibt Datenmengen zwischen 240 und 275 Millionen Records an. Insgesamt sollen rund 9 000 Schulen aktiv betroffen sein, in den Datensätzen tauchen Reste aus rund 15 000 Einrichtungen auf.

Erbeutet wurden laut Instructure: Namen, E-Mail-Adressen, Studenten-IDs sowie private Nachrichten zwischen Lehrenden und Schülern. ShinyHunters wirbt zusätzlich mit Notenlisten, Hausaufgaben und Lehrplan-Inhalten — ob wirklich alles im Leak ist, prüfen Forensiker derzeit.

UNGLAUBLICH: 3,65 TERABYTE auf einmal

Die schiere Datenmenge ist gewaltig. 3,65 Terabyte — das entspricht etwa 600 vollen Smartphones. Wer in einer der 9 000 betroffenen Schulen lernt oder lehrt, muss damit rechnen, dass private Nachrichten in fremden Händen liegen. Besonders bitter: Studenten-IDs werden oft als sekundärer Identifier genutzt — etwa beim Bibliotheks-Login oder beim Mensa-Zugang.

SQ Magazine berichtet, dass die Hacker bereits erste Datenpakete gegen Bitcoin-Lösegeld feilbieten. Wer die Daten nicht zurückkauft, riskiert eine Veröffentlichung im Dark Web. Instructure hat angekündigt, „mit Strafverfolgungsbehörden zusammenzuarbeiten“, lehnt aber ein Lösegeld ab.

HAMMER: Was die Schul-IT JETZT tun muss

  1. Canvas-Passwörter für ALLE User zwangsweise zurücksetzen — auch für Lehrkräfte.
  2. MFA verpflichtend aktivieren. Ohne MFA sind die geleakten Accounts in 24 Stunden geknackt.
  3. API-Tokens widerrufen — vor allem in Plagiats-Scannern, Test-Tools und Stundenplan-Apps.
  4. SSO-Sessions invalidieren — Force-Logout für alle aktiven SAML/OIDC-Sitzungen.
  5. Phishing-Briefing an Eltern und Schüler raus — die nächsten Wochen werden brutal.

EXTRA-TIPP: Phishing-Wellen erwarten

Die größere Gefahr kommt erst in den nächsten 4 bis 8 Wochen. Mit Namen + Schul-Mail + Stundenplan-Inhalten basteln Angreifer extrem überzeugende Phishing-Mails, die wie echte Schul-Mitteilungen aussehen. Eltern sollten angewiesen sein, niemals über E-Mail-Links zu Canvas zu navigieren — immer manuell die URL eintippen.

SO ordnet sich der Vorfall ein

ShinyHunters wütet seit Wochen quer durch Salesforce-Kunden. Kemper Insurance (13 Mio), Ameriprise (48 Tausend), und jetzt Instructure mit potenziell 275 Mio. Der gemeinsame Nenner: Salesforce-OAuth-Tokens, die in App-Backends abgegriffen werden. Wer Salesforce als Backbone nutzt, sollte SOFORT MFA und „IP Login Restrictions“ scharf schalten.

FAZIT: Bildung ist im Cyber-Visier — und Canvas-Mütter und -Väter müssen sich auf eine harte Phishing-Saison einstellen. Schul-IT-Teams haben jetzt 48 Stunden, um Passwörter, MFA und Tokens zu rotieren, bevor die Hacker mit ihren Daten loslegen.

Quellen

Häufige Fragen

Was ist überhaupt geleakt?
Laut Instructure-Mitteilung sind Namen, E-Mail-Adressen, Studenten-IDs sowie Inhalte privater Nachrichten betroffen. ShinyHunters behauptet zusätzlich Lehrplan-Material, Notenlisten und interne Diskussionen erbeutet zu haben. Bestätigt sind die Personen-Stammdaten — der Rest ist wahrscheinlich, aber nicht offiziell.
Bin ich als Eltern auch betroffen?
Wenn dein Kind eine Schule oder Hochschule besucht, die Canvas einsetzt, ist die Wahrscheinlichkeit hoch. Frag bei der Schul-IT nach, ob ihr betroffen seid. Selbst wenn dein eigener Account nicht direkt geknackt wurde — Phishing-Angriffe mit täuschend echten „Schul-Mails“ werden in den nächsten Wochen explodieren.
Was sollte die Schul-IT jetzt tun?
Erstens: Sofortiger Passwort-Reset für alle Canvas-Konten. Zweitens: MFA verpflichtend aktivieren — ohne wenn und aber. Drittens: SSO-Token (SAML / OIDC) rotieren, damit erbeutete Sessions tot sind. Viertens: Canvas-API-Tokens widerrufen, gerade die in Drittanbieter-Tools (Plagiats-Scanner, Test-Plattformen).
Wie ist Instructure das passiert?
Die offizielle Mitteilung ist knapp: „Unauthorized access to certain stored data and files.“ ShinyHunters meldet, sie hätten Salesforce-Tokens erbeutet — der gleiche Vektor wie bei Kemper Insurance vergangene Woche. Wenn das stimmt, betrifft die Welle viele weitere Salesforce-Kunden.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert