Bildungshacker: 275 Millionen Datensätze bei Canvas gestohlen

Von Pakistan über Australien bis in die USA berichten Institutionen von kritischen Kompromittierungen – darunter geleakte Prüfungsaufgaben, Ransomware-Attacken auf Lernplattformen und offene Cloud-Speicher mit sensiblen Studentendaten. Die Vorfälle der letzten Tage offenbaren ein systemisches Sicherheitsproblem in der digitalen Infrastruktur moderner Bildungseinrichtungen.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Report jetzt kostenlos herunterladen

Weltweite Prüfungsleaks erschüttern die akademische Integrität

Ein besonders schwerer Vorfall traf am 26. Mai 2026 das internationale Prüfungswesen: Cambridge International musste A-Level-Physik-Klausuren für ungültig erklären, nachdem Prüfungsaufgaben durchgesickert waren. Die Ermittler führen die Spur nach Pakistan. Betroffen sind auch Aufgaben aus den Bereichen AS- und A-Level-Mathematik sowie AS-Computerwissenschaften.

Die betroffenen Schüler erhalten nun eine Bewertung auf Basis eines globalen Rankings – statt ihrer tatsächlichen Leistung in den annullierten Prüfungen. Ein Schritt, der Fairness für die tausenden Betroffenen gewährleisten soll.

Parallel dazu sorgt ein Vorfall in Indien für Aufsehen. Ein 19-jähriger Cybersicherheitsforscher namens Nisarga Adhikary behauptet, das On-Screen-Marking-Portal der indischen Bildungsbehörde CBSE geknackt zu haben. Bereits vor Monaten habe er das indische Computer-Notfallteam CERT-In gewarnt – ohne erkennbare Reaktion.

Während es sich im Fall Cambridge um physisch durchgesickerte Prüfungsinhalte handelt, deutet der angebliche CBSE-Vorfall auf eine tiefgreifende Verwundbarkeit der digitalen Bewertungssysteme hin. Beide Fälle zeigen: Die Bedrohung kommt von zwei Seiten – dem traditionellen Diebstahl von Prüfungsmaterial und der technischen Ausnutzung digitaler Plattformen.

Ransomware und Zero-Day-Lücken: Lernplattformen im Visier

Auch die Infrastruktur für digitales Lernen gerät zunehmend unter Beschuss. Instructure, Betreiber des weit verbreiteten Lernmanagementsystems Canvas, bestätigte einen Ransomware-Angriff der Hackergruppe ShinyHunters. Die Gruppe behauptet, 275 Millionen Datensätze von rund 9.000 Bildungseinrichtungen weltweit gestohlen zu haben. Namen, E-Mail-Adressen, Studenten-IDs und interne Nachrichten seien betroffen – Passwörter, Finanzdaten und Ausweisnummern hingegen nicht. Instructure zahlte offenbar Lösegeld, um die Löschung der gestohlenen Daten zu erzwingen.

In Japan wurde eine weitere kritische Sicherheitslücke bekannt: Die Schwachstelle CVE-2026-5426 im Lernmanagementsystem KnowledgeDeliver erlaubt Angreifern die Ausführung von Schadcode aus der Ferne. Auslöser sind hartcodierte ASP.NET-Maschinenkeys. Seit Ende 2025 nutzen Angreifer diese Lücke, um die Webshell Godzilla (BLUEBEAM) und das Cobalt Strike BEACON-Tool zu installieren. Betroffen sind vor allem japanische Unternehmen und Bildungseinrichtungen. Ein Patch ist seit Februar 2024 verfügbar – doch viele Systeme bleiben ungepatcht.

Rekord-Schäden durch Phishing zeigen, warum immer mehr Organisationen auf Awareness-Kampagnen setzen. Erfahren Sie im kostenlosen Anti-Phishing-Paket, wie Sie Ihr Unternehmen wirksam gegen psychologische Manipulationstaktiken schützen können. Anti-Phishing-Paket gratis sichern

Behörden unter Druck: CISA erlässt Patchnotstand

Die US-Cybersicherheitsbehörde CISA hat am 26. Mai eine kritische Sicherheitslücke im Content-Management-System Drupal (CVE-2026-9082) in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Die SQL-Injection-Lücke erlaubt nicht authentifizierten Angreifern die Fernausführung von Code auf Systemen mit PostgreSQL-Datenbanken. Bundesbehörden wurden angewiesen, bis zum 27. Mai Patches einzuspielen. Die Dringlichkeit ist begründet: Sicherheitsfirmen registrierten über 15.000 Angriffsversuche auf mehr als 6.000 Websites unmittelbar nach Bekanntwerden der Lücke.

Doch CISA selbst steht unter Druck. Anfang Mai wurde bekannt, dass ein Auftragnehmer über sechs Monate lang sensible Zugangsdaten – darunter AWS-GovCloud-Admin-Keys und Klartext-Passwörter – auf einem öffentlichen GitHub-Repository hinterlegt hatte. Abgeordnete fordern nun geheime Briefings zum Ausmaß der Offenlegung.

Cloud-Pannen: Wenn Konfigurationsfehler Daten gefährden

Auch private Bildungsdienstleister kämpfen mit grundlegenden Sicherheitsproblemen. Leverage Edu, ein indisches Unternehmen für Studienberatung im Ausland, legte durch einen falsch konfigurierten Amazon-S3-Bucket rund 240.000 Dateien offen. Darunter: Reisepässe, Kontoauszüge und akademische Zeugnisse indischer Studenten. Das Unternehmen bestreitet einen böswilligen Angriff und führt die Panne auf eine vorübergehende Migration zurück. Der Vorfall zeigt, wie schnell Konfigurationsfehler die persönlichen Daten Tausender gefährden können.

Sicherheitswandel im öffentlichen Sektor

Die Häufung dieser Vorfälle deutet auf einen Wandel hin: Bildungs- und Behördennetzwerke galten lange als weniger lohnende Ziele als Finanzinstitute. Das hat sich geändert. Sie gelten heute als wertvolle Quellen für persönliche Identitätsdaten und kritische Infrastruktur.

In Connecticut etwa meldete das Sozialministerium einen Datenbruch mit 22.500 betroffenen Personen im HUSKY-Medicaid-Programm. Ein unbefugter Dritter hatte im März 2026 mit kompromittierten Zugangsdaten auf ein Anbieterportal zugegriffen.

Branchenbeobachter stellen fest: Der Bildungssektor hinkt bei Cybersicherheitsstandards oft hinterher. Berichte zum Canvas-Vorfall in Australien zeigen, dass viele Schulen selbst grundlegende E-Mail-Sicherheitsanforderungen nicht erfüllen – ein Einfallstor für Phishing-Angriffe, die oft den Auftakt zu großflächigen Datendiebstählen bilden.

Ausblick: Strengere Regulierung und „Secure by Design"

Die kommenden Monate dürften für Bildungseinrichtungen härtere Auflagen bringen. Die Annullierung der A-Level-Prüfungen und das Ausmaß des Canvas-Leaks haben gezeigt: Cybervorfälle haben handfeste Konsequenzen für den Studienfortschritt und den Ruf von Institutionen.

Für Softwareanbieter rückt das Prinzip „Secure by Design" in den Fokus. Die Ausnutzung von CVE-2026-5426 zeigt die langfristige Gefahr hartcodierter Zugangsdaten und die Notwendigkeit automatisierter Patch-Management-Systeme.

Institutionen werden zudem stärker in Cloud-Sicherheitsmanagement investieren müssen, um Konfigurationsfehler wie im Fall Leverage Edu zu vermeiden. Die Priorität für viele Organisationen: Vertrauen bei Studenten und Eltern zurückgewinnen – und die digitalen Zugänge sichern, die sich als die verwundbarsten Einfallstore moderner Cyberbedrohungen erwiesen haben.

de | wissenschaft | 69423206 |