Instructure-Datenklau: 30 Millionen Nutzer betroffen

Ein Hack auf die Bildungsplattform Canvas erschüttert die IT-Sicherheitswelt – und zeigt die Verwundbarkeit moderner Lieferketten.

Die Angriffe auf Software-Lieferketten nehmen dramatisch zu. Im Zentrum der aktuellen Sicherheitskrise: die Bildungsplattform Canvas, deren Betreiber Instructure nach einem massiven Datenraub mit den Hackern verhandelte. Parallel dazu steigen die Kosten für Identitätsdiebstähle rasant – vor allem durch vernachlässigte „nicht-menschliche" Zugänge.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen – ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich proaktiv schützen. IT-Sicherheits-Leitfaden jetzt kostenlos herunterladen

Der Canvas-Hack: 3,6 Terabyte an Daten gestohlen

Die Hackergruppe ShinyHunters erbeutete im Frühjahr 2026 rund 3,6 Terabyte an sensiblen Daten von Instructure, dem Mutterkonzern des weit verbreiteten Lernmanagementsystems Canvas. Betroffen sind schätzungsweise 9.000 Organisationen und 30 Millionen Nutzer weltweit.

Der Einbruch erfolgte über eine spezielle „Free-For-Teacher"-Umgebung. Die Angreifer erlangten Zugriff auf eine Vielzahl persönlicher Informationen: Nutzernamen, E-Mail-Adressen, Schüler-IDs und interne Nachrichten. Instructure erklärte, die gestohlenen Daten seien zurückgegeben und vernichtet worden – belegt durch sogenannte „Shred-Logs". Experten zeigen sich jedoch skeptisch: Eine externe Überprüfung der Datenvernichtung sei kaum möglich.

Das US-Repräsentantenhaus hat den Instructure-CEO bereits vorgeladen. Er soll zu den Umständen des Angriffs und den Verhandlungen mit den Erpressern aussagen. Die zentrale Lehre aus dem Vorfall: Plattformen, die für breite Bildungszwecke konzipiert sind, werden zu zentralen Angriffspunkten – ein einziger Hack kann Tausende nachgelagerte Institutionen lahmlegen. Zwar betont das Unternehmen, dass Lerninhalte, Passwörter und Finanzdaten nicht kompromittiert wurden. Dennoch sind mehrere Sammelklagen gegen Instructure anhängig.

Nicht-menschliche Identitäten: Das übersehene Sicherheitsrisiko

Die Gefahren für die Software-Lieferkette beschränken sich nicht auf direkte Plattform-Hacks. Ein aktueller Bericht des Sicherheitsunternehmens Sophos zeigt: 71 Prozent aller Organisationen erlebten in den vergangenen zwölf Monaten einen identitätsbezogenen Sicherheitsvorfall. Die durchschnittlichen Kosten für die Schadensbehebung liegen bei umgerechnet rund 1,5 Millionen Euro.

Besonders alarmierend ist der Umgang mit nicht-menschlichen Identitäten (Non-Human Identities, NHIs) – also API-Schlüsseln und Servicekonten. Diese digitalen Zugänge sind im Schnitt 100-mal häufiger als menschliche Accounts, werden aber deutlich nachlässiger verwaltet. Laut Sophos-Studie waren schwache NHI-Kontrollen die Ursache für 41 Prozent aller gemeldeten Vorfälle.

Ein aktuelles Beispiel: Anfang Mai entdeckte das KI-Unternehmen Braintrust einen unbefugten Zugriff auf seinen Amazon-Web-Services-Account. Die Folge: Organisationsebene-API-Schlüssel für KI-Anbieter wurden offengelegt. Braintrust forderte seine Kunden auf, sämtliche Schlüssel auszutauschen. Der Vorfall zeigt: Ein einziges kompromittiertes Zugangssystem kann die Sicherheit unzähliger nachgelagerter Kunden gefährden. Dennoch auditieren oder rotieren nur 34 Prozent der Unternehmen ihre Service-Zugänge regelmäßig.

Microsoft stopft 137 Sicherheitslücken

Ein weiterer Pfeiler der Lieferkettensicherheit bleibt das regelmäßige Schließen von Schwachstellen. Mit den Mai-Updates („Patch Tuesday") schloss Microsoft 137 Sicherheitslücken, davon 31 als kritisch eingestufte. Besonders brisant: Schwachstellen, die eine Remote-Code-Ausführung über manipulierte Dokumente oder Netzwerkprotokolle ermöglichen.

Im Fokus der Sicherheitsforscher stehen unter anderem CVE-2026-40361 – ein Fehler in Microsoft Word, der Code-Ausführung durch ein präpariertes Dokument erlaubt – und CVE-2026-35421, eine Pufferüberlauf-Schwachstelle in der Windows-Grafikschnittstelle. Zudem wurden mehrere „wurmfähige" Lücken geschlossen, die sich ohne Benutzereingriff über Netzwerke verbreiten können.

Google zieht parallel nach: Der Chrome-Browser blockiert nun gefährliche Websites in Echtzeit, und Gmail filtert 99,9 Prozent aller Spam- und Phishing-Versuche heraus. Der Global Signal Exchange des Konzerns hat mittlerweile über 1,2 Milliarden Sicherheitssignale gesammelt, um betrügerische Aktivitäten frühzeitig zu erkennen.

Passkeys erobern den Massenmarkt

Die Ära der Passwörter neigt sich dem Ende zu. Amazon meldete Mitte Mai, dass 465 Millionen Kunden auf Passkeys umgestiegen sind – eine biometrische Authentifizierungsmethode, die etwa sechsmal schneller funktioniert als die Passworteingabe. Die FIDO-Alliance schätzt, dass weltweit rund fünf Milliarden Passkeys im Einsatz sind.

Angesichts von Millionen gehackten Konten pro Quartal wird die Abkehr von klassischen Passwörtern immer dringender. Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Amazon, Microsoft und Co. sofort einrichten und Ihre Sicherheit massiv erhöhen. Passkey-Ratgeber kostenlos herunterladen

Mit Android 17 sollen weitere Sicherheitsfunktionen Einzug halten. Das neue Betriebssystem wird voraussichtlich eine Private Compute Core und verbesserte Kernel-basierte virtuelle Maschinen enthalten, um sensible Daten vor Schadsoftware zu schützen. Google integriert zudem „Gemini Intelligence" direkt in Android, um verdächtige Aktivitäten in Echtzeit zu erkennen – etwa gefälschte Bankanrufe.

Der Zeitpunkt dieser Maßnahmen ist kein Zufall: Die Zahl der Quishing-Angriffe (Phishing über QR-Codes) ist um 146 Prozent gestiegen. Besonders Gruppen wie die nordkoreanischen Lazarus und Kimsuky setzen auf diese Methode. Sie zielen häufig auf Sitzungstoken ab, um die Zwei-Faktor-Authentifizierung zu umgehen. Der Wechsel zu phishing-resistenten biometrischen Verfahren wird damit zur Überlebensfrage für Unternehmen.

Ausblick: Passwortlose Zukunft in Sicht?

Die Bedrohungslage bleibt angespannt. Schätzungen zufolge verursacht die globale „Betrugswirtschaft" Schäden von rund 442 Milliarden Euro. In Deutschland stieg die Opferrate für Cyberkriminalität 2025 auf 11 Prozent – ein Anstieg um vier Prozentpunkte gegenüber dem Vorjahr.

Die hohen Kosten für Identitätsverstöße – im Schnitt über 1,5 Millionen Euro pro Vorfall – deuten darauf hin, dass Sicherheitsbudgets oft falsch verteilt sind: Der Fokus liegt auf menschlichen Nutzern, während die wuchernde Landschaft nicht-menschlicher Identitäten vernachlässigt wird. Mit dem Aufkommen KI-gestützter Exploits werden Lieferkettenangriffe noch schneller und umfassender werden. Die Antwort der Branche: automatisierte Abwehrmechanismen, robuste Isolationstechnologien in Betriebssystemen und der konsequente Weg in eine passwortlose Zukunft.

de | wissenschaft | 69330082 |