HackerangriffeDatenschutzCyberkriminalität

Instructure-Skandal: US-Kongress zieht Canvas-LMS-Betreiber zur Verantwortung

Von CyberDeutsch Redaktion
Instructure-Skandal: US-Kongress zieht Canvas-LMS-Betreiber zur Verantwortung
Zusammenfassung

# Ein Sicherheitsskandal bei edtech-Plattform Instructure erschüttert Schulen und Universitäten weltweit Der amerikanische Bildungstechnologie-Anbieter Instructure gerät unter massiven Druck des US-Kongresses, nachdem Cyberkriminelle der ShinyHunters-Gruppe sein Canvas-Lerenmanagementsystem zweimal innerhalb einer Woche kompromittierten. Bei den Angriffen im Mai 2025 wurden sensible Daten von über 9.000 Bildungseinrichtungen weltweit gestohlen, einschließlich Namen, E-Mail-Adressen, Schüler-Identifikationsnummern und private Nachrichten. Besonders bemerkenswert ist, dass Instructure den ersten Angriff am 1. Mai meldete und das System fünf Tage später als vollständig repariert erklärte – nur um am nächsten Tag erneut angegriffen zu werden. Das Repräsentantenhaus und der Senat fordern nun Antworten, unter anderem ob das Unternehmen ein Lösegeld zahlte und warum die Grundvulnerabilitäten nicht vollständig behoben wurden. Dies ist besonders beunruhigend für deutsche Schulen und Universitäten, die Canvas nutzen, da ihre Nutzerdaten möglicherweise ebenfalls betroffen sind. Der Fall verdeutlicht die Notwendigkeit stärkerer Sicherheitsstandards im Bildungssektor.

Die politische Reaktion auf den Canvas-Skandal ist ungewöhnlich hart ausgefallen. Das House Committee on Homeland Security unter Vorsitz von Andrew R. Garbarino fordert Instructure-CEO Steve Daly zu einer Anhörung bis spätestens 21. Mai auf. Der zentrale Vorwurf: mangelnde Incident-Response-Fähigkeiten und unzureichende Remediationsmaßnahmen nach der ersten Kompromittierung.

Die Timeline der Vorfälle zeigt ein beunruhigendes Versagen: Am 1. Mai meldete Instructure die erste Kompromittierung und gab zu, dass Angreifer persönliche Daten von Millionen Nutzern — Namen, E-Mail-Adressen, Studentennummern und private Nachrichten — erbeutet hatten. ShinyHunters prahlt mit dem Diebstahl von über 3 Terabyte sensible Daten von mehr als 9.000 Bildungseinrichtungen. Nach kurzer Offline-Phase erklärte Instructure das System am 6. Mai für vollständig wiederhergestellt. Nur einen Tag später attackierte ShinyHunters erneut und präsentierte eine Lösegeld-Forderung auf den Anmeldeseiten.

Die Frage, ob Instructure Lösegeld zahlte, bleibt offiziell unbeantwortet. Der Konzern sprach von einem “Abkommen” mit den Angreifern, woraufhin ShinyHunters Instructure von seiner Data-Leak-Website entfernte — ein klassisches Indiz für eine Zahlung. Experten deuten stark darauf hin, dass ein Ransom fällig wurde.

Besonders besorgniserregend ist der Zusammenhang mit einem früheren Angriff: Im September 2025 wurde Instructures Salesforce-Instanz durch UNC6040 kompromittiert, einen Threat Actor mit Verbindungen zu ShinyHunters. Der Senat fragt zu Recht, ob Daten aus dieser ersten Kompromittierung für die jüngsten Angriffe missbraucht wurden. Experts warnen, dass Instructure offensichtlich als Zielscheibe für Wiederholungsangriffe markiert wurde.

Abbas Kudrati von Silverfort betont, dass die aktuelle Attacke qualitativ anders war als der Salesforce-Angriff, aber ein wiederholter Angriff auf Instructure von einer High-Value-Target-Perspektive zeige: “Jede Institution, die auf Canvas angewiesen ist, muss mit ähnlichem Targeting rechnen.” Das kritische Zeitfenster zwischen Erkennung und bedeutsamer Schadensentstehung betrage oft nur wenige Stunden — Zeit, die Instructure offensichtlich nicht optimal genutzt hat.

Ähnliche Artikel