HackerangriffeCyberkriminalitätDatenschutz

ShinyHunters greift erneut Instructure an: Canvas-Portale von 330 Bildungseinrichtungen gehackt

Von CyberDeutsch Redaktion
ShinyHunters greift erneut Instructure an: Canvas-Portale von 330 Bildungseinrichtungen gehackt
Zusammenfassung

Die Cyberkriminellen-Gruppe ShinyHunters hat die Bildungstechnologie-Plattform Instructure erneut angegriffen und dabei eine kritische Sicherheitslücke ausgenutzt, um die Login-Portale von Canvas – einem der weltweit meistgenutzten Lernmanagementsysteme – für hunderte Colleges und Universitäten zu manipulieren. Bei dem Angriff wurden die Anmeldeseiten von etwa 330 Bildungseinrichtungen für rund 30 Minuten durch eine Erpressungsbotschaft ersetzt, in der ShinyHunters die Verantwortung für einen früheren Datendiebstahl beanspruchte und mit der Veröffentlichung von Studentendaten drohte, sollte bis zum 12. Mai 2026 keine Lösegeldverhandlungen stattfinden. Dies ist der zweite massiver Anschlag gegen Instructure innerhalb kurzer Zeit – vergangene Woche kündigte die Gruppe bereits den Diebstahl von 280 Millionen Datensätzen von Studierenden und Mitarbeitern aus 8.809 Schulen und Universitäten an. Für deutsche Nutzer, Schulen und Universitäten, die Canvas einsetzen, stellt dies eine erhebliche Bedrohung dar, da sensible Informationen wie Studentendaten, private Nachrichten und Einschreibungsinformationen gefährdet sind. Die Vorfälle unterstreichen die wachsende Bedrohung durch professionalisierte Extortions-Banden und die Notwendigkeit verstärkter Cybersicherheitsmaßnahmen in Bildungseinrichtungen.

Der jüngste Angriff offenbart ein beunruhigendes Muster: Während Instructure nach dem ersten Vorfall mit Sicherheitspatches reagierte, nutzten die Angreifer offenbar eine Sicherheitslücke, um erneut Zugriff auf kritische Systeme zu erlangen. Die Defacements waren etwa 30 Minuten lang sichtbar, bevor sie offline genommen wurden – ein Zeitfenster, das dennoch ausreichte, um Tausende Nutzer auf das Sicherheitsproblem hinzuweisen.

Die ShinyHunters-Botschaft richtete sich nicht nur an Instructure, sondern direkt an die betroffenen Schulen: Sie wurden aufgefordert, Cyber-Security-Berater einzuschalten und bis zum 12. Mai 2026 private Verhandlungen zu führen. Die Gruppe impliziert damit klar, dass unterschiedliche Institutionen unterschiedliche Datenmengen möglicherweise freikaufen könnten – ein klassisches Erpressungsmodell, das gezielt auf Verunsicherung abzielt.

Canvas ist eine der weltweit meistgenutzten Lernmanagementsysteme für Hochschulen und Schulen. Millionen von Studierenden und Lehrkräften verlassen sich täglich auf die Plattform für Aufgabenverwaltung, Noten und Kommunikation. Ein Sicherheitsausfalls dieser Dimension beeinträchtigt nicht nur den Schulbetrieb, sondern gefährdet auch massive Mengen sensibler Daten – insbesondere von Minderjährigen.

Die ShinyHunters-Gruppe ist seit 2018 als Hackerverband tätig und hat sich 2024 zur einer der proliferativsten Extortions-Gruppen weltweit entwickelt. Sie konzentriert sich primär auf Salesforce und Cloud-SaaS-Umgebungen, sind aber auch für Angriffe auf Google, Cisco und andere Großkonzerne verantwortlich. Die Gruppe ist bekannt für Voice-Phishing-Attacken gegen Okta, Microsoft und Google, bei denen Mitarbeiter als IT-Support-Personal getäuscht werden, um MFA-Codes preiszugeben.

Besonders bemerkenswert: ShinyHunters operiert auch als “Extortion-as-a-Service”-Gruppe, führt also Erpressungen für andere Cyberkriminelle durch. Trotz mehrerer Verhaftungen – etwa im Zusammenhang mit Snowflake-Angriffen und dem PowerSchool-Hack – setzt die Gruppe ihre Aktivitäten fort.

Instructure hat Canvas offline genommen und teilweise bestätigt, dass Daten gestohlen wurden. Die Reaktion des Unternehmens auf Anfragen von Medien und Betroffenen bleibt allerdings bislang ausständig. Dies wirft Fragen zur Transparenz und zur Compliance mit Meldepflichten auf – gerade auch für deutsche Schulen.

Ähnliche Artikel