Cyberangriffswelle erschüttert Bildung, Behörden und Internet-Infrastruktur

Eine Serie massiver Datenlecks und die schnelle Ausnutzung kritischer Sicherheitslücken setzen globale IT-Systeme unter Druck. Sicherheitsforscher und Regierungsbehörden kämpfen aktuell mit den Folgen mehrerer koordinierter Angriffe auf Bildungsplattformen, staatliche Identitätssysteme und zentrale Internet-Infrastruktur. Die Vorfälle deuten auf einen Wandel hin zu automatisierten, KI-gesteuerten Angriffen und einer Verschiebung von Verschlüsselungs- zu reinen Erpressungsmethoden hin.

Datenleck bei Canvas betrifft Millionen Nutzer

Der Bildungssektor erlebt derzeit einen der größten Datenschutzvorfälle der letzten Jahre. Instructure, Mutterkonzern der weit verbreiteten Lernplattform Canvas, bestätigte Anfang Mai einen schwerwiegenden Datenbruch. Das Unternehmen entdeckte den Vorfall Ende April, nachdem Unbefugte durch eine Fehlkonfiguration von Salesforce Zugang zu internen Systemen erlangten.

Angesichts massiver Datenlecks bei Bildungsplattformen und Clouddiensten rückt die Sicherheit der eigenen Infrastruktur in den Fokus. Das kostenlose Linux-Startpaket zeigt Ihnen einen risikofreien Weg zu einem stabileren und sichereren Betriebssystem als Alternative zu Windows. Vorteile von Ubuntu sofort testen

Die Erpressergruppe ShinyHunters bekannte sich zu dem Angriff und behauptet, 3,65 Terabyte an Daten erbeutet zu haben. Nach Angaben der Gruppe sollen 275 Millionen Nutzer aus 9.000 Schulen und Institutionen weltweit betroffen sein – das Unternehmen hat diesen Umfang bislang nicht bestätigt. Gestohlen wurden Namen, E-Mail-Adressen, Schüler-IDs und private Nachrichten, während Passwörter und Finanzdaten angeblich nicht kompromittiert wurden. Instructure deaktivierte vorübergehend API-Schlüssel und forderte Kunden zur erneuten Autorisierung auf. Die Dienste für Canvas Data 2 wurden Berichten zufolge am 3. Mai wiederhergestellt.

Französische Behörden nehmen 15-jährigen Hacker fest

Parallel dazu ermitteln europäische Behörden in einem massiven Datenleck bei der französischen Identitätsbehörde France Titres. Die Polizei nahm Anfang der Woche einen 15-jährigen Verdächtigen fest, der unter dem Pseudonym „breach3d" agierte. Ihm wird der Diebstahl von Daten zwischen 12 und 18 Millionen Personen vorgeworfen.

Die gestohlenen Datensätze, die im Darknet zum Verkauf angeboten wurden, enthielten ID-Nummern, Namen, E-Mail-Adressen, Geburtsdaten und Wohnadressen. Dem Jugendlichen drohen nach französischem Recht bis zu sieben Jahre Haft und erhebliche Geldstrafen.

cPanel-Lücke gefährdet über 40.000 Server

Sicherheitsforscher schlagen Alarm wegen einer kritischen Sicherheitslücke in cPanel (CVE-2026-41940), die eine Authentifizierungsumgehung ermöglicht. Über 40.000 Server wurden bereits kompromittiert. Die Shadowserver Foundation verfolgte rund 44.000 eindeutige IP-Adressen, die nach dieser Schwachstelle suchten oder sie ausnutzten – die Lücke wurde seit Ende Februar als Zero-Day ausgenutzt.

Die Angreifer nutzen die Schwachstelle für unterschiedliche Zwecke:
- Eine neue Ransomware namens „Sorry" verschlüsselt Dateien mit einer spezifischen Endung
- Andere Akteure erweitern Mirai-ähnliche Botnetze
- Gezielte Angriffe richten sich gegen Regierungs- und Militäreinrichtungen in Südostasien

Die US-amerikanische Cybersicherheitsbehörde CISA hat die Schwachstelle in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen und fordert sofortige Patches.

Linux-Kernel-Lücke „Copy Fail" in Gefahr

Im Linux-Ökosystem sorgt eine neu entdeckte Kernel-Schwachstelle namens „Copy Fail" (CVE-2026-31431) für Aufsehen. Sie ermöglicht nicht-privilegierten lokalen Benutzern, Root-Rechte auf betroffenen Systemen zu erlangen – praktisch alle Distributionen seit 2017 sind verwundbar.

Microsoft-Forscher beobachteten erste Aktivitäten in Cloud- und Kubernetes-Umgebungen. Die Veröffentlichung eines zuverlässigen Python-Exploits hat das Risiko deutlich erhöht. CISA verlangt von Bundesbehörden, die notwendigen Patches bis zum 15. Mai zu installieren.

KI treibt Phishing-Welle auf Rekordniveau

Die Bedrohungslandschaft wird zunehmend von künstlicher Intelligenz geprägt. Ein aktueller Bericht von KnowBe4 zeigt: 86 Prozent aller Phishing-Angriffe sind mittlerweile KI-gesteuert. Die Zahl der Phishing-Versuche stieg in den letzten sechs Monaten um 17,1 Prozent.

Besonders besorgniserregend sind neue Angriffsvektoren:
- Phishing über Microsoft Teams nahm um 41 Prozent zu
- Gefälschte Kalendereinladungen stiegen um 49 Prozent
- QR-Code-Phishing explodierte um 146 Prozent – von 7,6 Millionen Fällen im Januar auf 18,7 Millionen im März

Während KI-gesteuerte Angriffe auf Unternehmen zunehmen, rücken auch mobile Endgeräte verstärkt ins Visier von Cyberkriminellen. Dieser kostenlose PDF-Ratgeber enthüllt, wie Sie Ihr Android-Smartphone mit 5 einfachen Maßnahmen effektiv gegen Hacker und Datendiebstahl absichern. Gratis Sicherheits-Ratgeber jetzt herunterladen

Microsofts Bedrohungsdaten für das erste Quartal 2026 verzeichnen insgesamt 8,3 Milliarden E-Mail-basierte Bedrohungen. Angreifer missbrauchen zunehmend legitime Cloud-Dienste, um Sicherheitsfilter zu umgehen. So wurden etwa Google AppSheet genutzt, um rund 30.000 Facebook-Geschäftskonten zu kompromittieren, und geleakte Amazon SES-Schlüssel für täuschend echte Phishing-Mails verwendet.

Sicherheitslücken bei Trellix und DigiCert

Die Sicherheit der digitalen Lieferkette gerät nach Vorfällen bei Trellix und DigiCert in den Fokus. Trellix, selbst ein großer Cybersicherheitsanbieter, bestätigte einen unbefugten Zugriff auf Teile seines internen Quellcode-Repositories. Zwar blieb die Release-Pipeline sicher und kein Code wurde verändert, doch der Vorfall wirft Fragen zur Widerstandsfähigkeit der Sicherheitsbranche selbst auf.

DigiCert musste 60 Zertifikate widerrufen, nachdem sein Support-Portal am 2. April kompromittiert wurde. Angreifer gelangten über einen kompromittierten Chat-Kanal an Extended-Validation-Code-Signing-Zertifikate. Elf dieser Zertifikate wurden anschließend genutzt, um eine Malware namens „Zhong Stealer" zu signieren. Der Vorfall führte Ende April zu Störungen, als Microsoft Defender fälschlicherweise legitime DigiCert-Zertifikate als Schadsoftware einstufte.

Die neue Bedrohungsrealität

Die aktuelle Angriffswelle zeigt ein hohes Maß an Koordination zwischen unterschiedlichsten Akteuren – von staatlich unterstützten Gruppen bis hin zu Teenager-Hackern. Die Effektivität der Bedrohungsabwehr misst sich an der Geschwindigkeit zwischen Entdeckung und Ausnutzung. Im Fall der cPanel-Lücke verdeutlicht die mehrmonatige Verzögerung zwischen erstem Zero-Day-Einsatz und flächendeckender Patch-Verteilung ein anhaltendes Problem im Abwehrzyklus.

Branchenbeobachter stellen fest, dass Ransomware-Groups zunehmend von traditioneller Datenverschlüsselung abrücken. Wie bei Instructure und anderen Vorfällen zu sehen, konzentrieren sich Gruppen wie ShinyHunters auf reinen Datendiebstahl und öffentliche Erpressung. Dieser Trend macht Maßnahmen zur Datenverlustprävention und sichere Cloud-Konfigurationen zur obersten Priorität.

Ausblick: Volatilität bleibt Programm

Die kommenden Monate versprechen weitere Turbulenzen, da KI-Tools zunehmend in Angreifer-Workflows integriert werden. Die Vereinigten Arabischen Emirate berichten bereits von 500.000 bis 700.000 täglichen Cyberangriffen, viele davon mit KI-gestützter Aufklärung und Deepfakes für Desinformationskampagnen.

Die Einstufung von Rechenzentren als kritische Infrastruktur dürfte an Dynamik gewinnen, da diese Einrichtungen zu primären Zielen werden. Für die zweite Jahreshälfte 2026 zeichnet sich ab: Die Sicherung der KI-Lieferkette und die Härtung von Identitätsmanagementsystemen werden zur zentralen Herausforderung. Organisationen wird empfohlen, Schlüsselrotation, Multi-Faktor-Authentifizierung und das Prinzip der geringsten Privilegien zu priorisieren – die automatisierten Bedrohungen der Gegenwart machen keine Ausnahmen.

de | wissenschaft | 69278506 |