Im Jahr 2025 haben laut Coveware nur knapp 19 Prozent der Opfer von Erpressung ohne Verschlüsselung bezahlt. Instructure hat sich dieser Minderheit angeschlossen. Am 11. Mai 2026 bestätigte der Hersteller von Canvas (Lernmanagementsystem), dass er eine „Vereinbarung“ mit ShinyHunters getroffen habe, um die Veröffentlichung der gestohlenen Daten auf seiner Plattform zu verhindern, die von mehr als 30 Millionen Lehrern und Schülern in über 8.000 Einrichtungen weltweit genutzt wird. Kein System wurde verschlüsselt, keine Daten gesperrt: Das Unternehmen zahlte ein Lösegeld, dessen Höhe nicht bekannt gegeben wurde, aber unbestätigte Quellen sprechen von etwa zehn Millionen Dollar , für einen reinen Exfiltrationsfall. Dies ist das zweite Mal innerhalb von 18 Monaten, dass ein großer Hersteller von Bildungssoftware nach einer reinen Exfiltration zahlt. PowerSchool hatte dies im Dezember 2024 getan, bevor seine Kunden erneut mit den angeblich zerstörten Daten erpresst wurden.
Zwei Eindringlinge, dieselbe XSS-Lücke, die nie geschlossen wurde.
Der erste Einbruch wurde am 29. April 2026 entdeckt. Damals noch nicht identifizierte Akteure drangen über den kostenlosen Free-for-Teacher-Dienst, eine abgespeckte Version für einzelne Lehrer, in die Canvas-Umgebung ein. Der Vektor, der von BleepingComputer bestätigt wurde, basierte auf XSS-Schwachstellen (Cross-Site-Scripting) in den Funktionen für benutzergenerierte Inhalte: Bösartiges JavaScript wurde injiziert, um authentifizierte Administratorsitzungen zu erfassen und dann privilegierte Aktionen von diesen Konten aus auszuführen. ShinyHunters bekannte sich erst am 3. Mai auf seiner Leak-Website zu dem Angriff.
Am 7. Mai, fünf Tage später, kehrten die gleichen Akteure durch die gleiche, offen gebliebene Tür zurück. Diesmal ging es nicht mehr um Exfiltration, sondern um Druck: ShinyHunters änderte die Canvas-Loginseiten, die einigen Nutzern angezeigt wurden, und platzierte dort eine Erpressungsbotschaft, in der Instructure und die Schulen aufgefordert wurden, bis zum 12. Mai Verhandlungen aufzunehmen. Rund 330 Anmeldeportale wurden defaced, darunter auch das der University of Texas in San Antonio, dessen von BleepingComputer verbreiteter Screenshot zum Symbolbild des Vorfalls wurde. Instructure schaltete Canvas noch am selben Tag auf Wartung um, wobei der zweite Angriff dank der nach dem ersten Zugriff eingesetzten verstärkten Überwachung innerhalb von 10 Minuten entdeckt und neutralisiert wurde.
Genau diese zwischen den beiden Einbrüchen klaffende Lücke ist es, auf die sich die Kritik des Kongressausschusses konzentriert. Der Abgeordnete Andrew Garbarino (R-NY), Vorsitzender des House Homeland Security Committee, schrieb direkt an den CEO Steve Daly: “ Das wiederholte Auftreten eines Einbruchs innerhalb von Tagen nach der ersten Offenlegung und die offensichtliche Unfähigkeit von Instructure, die zugrunde liegenden Schwachstellen innerhalb dieses Zeitfensters vollständig zu beheben, werfen ernsthafte Fragen zu den Reaktionsmöglichkeiten des Unternehmens auf Vorfälle auf.
3,65 TB an Daten gestohlen, aber weder Kopien noch Passwörter.
ShinyHunters behauptet, 3,65 TB an unkomprimierten Daten gestohlen zu haben, was etwa 275 Millionen Datensätzen entspricht, die Schülern, Lehrern und Mitarbeitern von 8.809 Bildungsorganisationen gehören. Instructure bestätigte, dass die exfiltrierten Felder Benutzernamen, E-Mail-Adressen, Kurstitel, Anmeldeinformationen und auf der Plattform ausgetauschte Nachrichten umfassen. Das Unternehmen machte auch deutlich, was den Angreifern entgangen ist: Kursinhalte, eingereichte Arbeiten und Passwörter blieben intakt.
Diese Nuance kalibriert das tatsächliche Risiko, dem die Nutzer ausgesetzt sind. Wie Halcyon zusammenfasste, liefern die exfiltrierten Daten “ den Bedrohungsakteuren genügend persönlichen Kontext, um gezielte Phishing-Kampagnen gegen Mitarbeiter, Studenten und Familien durchzuführen „. Ein Angreifer, der die E-Mail-Adresse eines Studenten, seine Universität, seine Kurse und die Namen seiner Lehrer kennt, kann erschreckend glaubwürdige Köder herstellen: falsche IT-Abteilung, falsche finanzielle Unterstützung, Spoofing eines Professors. Für die betroffenen Einrichtungen werden ihre Mitglieder in den kommenden Monaten zu vorrangigen Zielen für Spear-Phishing. Instructure hat übrigens ein Vorfallsblatt mit Sensibilisierungsmaßnahmen für die Benutzer veröffentlicht, in dem die wahrscheinlichsten Phishing-Szenarien nach diesem Leck detailliert aufgeführt sind.
Für Exfiltration bezahlen – gegen den Markttrend.
Was diesen Vorfall über seine Chronologie hinaus zu einem Analysegegenstand macht, ist die Tatsache, dass Instructure zahlte, ohne dass ein System verschlüsselt oder Daten unzugänglich gemacht wurden. Reine Erpressung hat eine ganz andere Dynamik als klassische Ransomware. Im dritten Quartal 2025 fiel die Auszahlungsrate für Angriffe ohne Verschlüsselung laut Coveware auf 19 %. Die Auszahlungsrate für alle Kategorien lag laut Chainalysis bei 28 % und damit auf einem historischen Tiefstand, während sie laut einem Bericht von Coveware im vierten Quartal 2022 noch 37 % betragen hatte. Dieser Rückgang ist Teil eines strukturellen Rückgangs der Lösegeldzahlungen bis 2025, der sowohl durch verbesserte Möglichkeiten zur Reaktion auf Vorfälle als auch durch koordinierte Aktionen der Strafverfolgungsbehörden gegen Betreiber und ihre Infrastruktur angetrieben wird.
Der Präzedenzfall PowerSchool veranschaulicht dies am deutlichsten. Im Dezember 2024 hatte der Hersteller von Schulverwaltungssoftware für die Löschung gestohlener Daten gezahlt. Im Mai 2025 erhielten mehrere Schulbezirke, die ihre Kunden waren, dennoch Erpressungsnachrichten, die sich auf dieselben angeblich zerstörten Daten stützten. Die Zahlung hatte nichts verhindert.
Instructure verteidigt seine Entscheidung in gemessenen Worten: “ Auch wenn es im Umgang mit Cyberkriminellen nie absolute Gewissheit gibt, hielten wir es für wichtig, jeden Schritt zu unternehmen, um unseren Kunden im Rahmen des Möglichen zusätzlichen Seelenfrieden zu bieten. “ Im Gegenzug behauptet das Unternehmen, die Daten wiederhergestellt zu haben, eine digitale Bestätigung der Vernichtung in Form von Löschprotokollen (Shred Logs) und die Zusicherung erhalten zu haben, dass keiner seiner Kunden separat erpresst wird. Die ShinyHunters Leaking Site entfernte tatsächlich den Instructure-Eintrag, entsprechend dem üblichen Verhalten der Gruppe nach der Bezahlung.
Die Grenze der Vereinbarung liegt in einem Satz von Rebecca Moody, Leiterin der Datenforschung bei Comparitech: “ ShinyHunters sind Cyberkriminelle. Selbst wenn sie diese Lösegeldforderung zahlen, kann Instructure nicht garantieren, dass die Daten gelöscht werden. “ Michael Klein, Senior Director am Institute for Security and Technology, geht noch weiter: Seiner Meinung nach rechtfertigte die Art der betroffenen Daten , im Gegensatz zu medizinischen Daten, die körperlichen Schaden verursachen könnten, keine Zahlung nach den Kriterien, die normalerweise eine Ausnahme vom Konsens gegen Lösegeldzahlungen begründen.
ShinyHunters als Fassade einer Allianz mit mafiösen Methoden
Die Zuschreibung verdient es, genau gestellt zu werden. Der Name ShinyHunters wird seit 2020 mit massiven Operationen zum Diebstahl und zur Monetarisierung von Datenbanken in Verbindung gebracht, wobei Ticketmaster, AT&T oder Santander zu den bekanntesten Opfern gehören. Allison Nixon, Forschungsdirektorin bei Unit 221b, die die Gruppe genau beobachtet, warnt jedoch vor einer zu einfachen Lesart: Die Konstellation der Akteure, die unter den Bannern ShinyHunters, Lapsus$ oder Scattered Spider operieren, hat sich im Laufe der Zeit neu zusammengesetzt. Die Canvas-Aktivitäten scheinen Teil dessen zu sein, was einige Forscher als Scattered Lapsus$ Hunters bezeichnen, einer Allianz, die diese Gruppen seit August 2025 unter einer gemeinsamen Identität vereint.
Allison Nixon beschreibt Drucktaktiken, die weit über digitale Erpressung hinausgehen: Während der Verhandlungen greifen die verbundenen Gruppen auf DDoS-Angriffe, Spam-Kampagnen und in den schlimmsten Fällen auf direkte Drohungen gegen die Führungskräfte und ihre Familien zurück. „Sie fasst zusammen: “ Diese Drucktaktiken ähneln allmählich eher einer gewalttätigen Mafia, als dass sie etwas mit qualifizierter Pira terie zu tun hätten. Das Defacement vom 7. Mai entspricht genau dieser Logik: eine Machtdemonstration, keine weitere Exfiltration.
Canvas ist übrigens kein Einzelfall. Im März 2026 hatte sich die Gruppe zum Hack der Europäischen Kommission bekannt, ein erstes Archiv von 90 GB veröffentlicht und gedroht, das gesamte Archiv zu verbreiten. Im Januar 2026 hatte eine massive Vishing-Kampagne, die auf die SSO-Konten globaler Unternehmen abzielte, gezeigt, dass Social-Engineering-Techniken, die betrügerische Anrufe und Phishing-Kits kombinieren, um die Multifaktor-Authentifizierung zu umgehen, an Bedeutung gewinnen. Der Canvas-Angriff setzt diesen Eskalationspfad fort.
Der Kongress untersucht einen unbewaffneten Bildungssektor.
Die Entscheidung zu zahlen fiel am selben Tag, an dem das House Homeland Security Committee die Einleitung einer Untersuchung ankündigte. Garbarino forderte bis zum 21. Mai ein Briefing mit dem CEO oder einem leitenden Angestellten von Instructure, in dem es um die Umstände der beiden Einbrüche, die Art und den Umfang der zugegriffenen Daten und die Koordination mit den Bundespolizeibehörden und der CISA ging. Das Student Privacy Policy Office des Bildungsministeriums forderte seinerseits Informationen an, um die Einhaltung des FERPA (Family Educational Rights and Privacy Act, Bundesgesetz, das den Schutz von Schülerdaten in den USA regelt) zu bewerten.
Der Vorfall legt jedoch vor allem ein strukturelles Defizit der Cybersicherheit im Bildungsbereich in den USA offen, das durch die jüngsten Entscheidungen der Bundespolitik noch verschärft wurde. Michael Klein, ehemaliger Seniorberater für Cybersicherheit im Bildungsministerium, erinnert daran, dass er beim PowerSchool-Vorfall im Dezember 2024 über den Critical Infrastructure Partnership Advisory Council (CIPAC) innerhalb weniger Tage 41 Staaten zusammenbringen konnte, um Informationen auszutauschen und die Reaktion zu koordinieren. Dieser Mechanismus ist nicht mehr vorhanden: Das Heimatschutzministerium hat die Autorität dieses Rates vor etwas mehr als einem Jahr aufgehoben, und das MS-ISAC (Multi-State Information Sharing and Analysis Center), das Schulbezirken kostenlos den Zugang zu Threat Intelligence und zur Reaktion auf Vorfälle eröffnete, hat seine Bundesfinanzierung von 48,5 Millionen US-Dollar ab September 2025 , nach einer ersten Kürzung um rund 11 Millionen US-Dollar im Frühjahr 2025, verloren. Angesichts des Canvas-Vorfalls konnte Michael Klein von seinem Posten am Institute for Security and Technology aus nur 22 Staaten koordinieren.
Am 12. Mai schrieb die Software & Information Industry Association an beide Kammern des Kongresses und forderte 36 Millionen US-Dollar im Haushalt FY 2027: 20 Millionen US-Dollar zur Refinanzierung des MS-ISAC, 10 Millionen US-Dollar zur Wiederherstellung eines eigenen Cybervorfall-Helpdesks für die K-12 und 6 Millionen US-Dollar, um dem Bildungsministerium seine Koordinierungsrolle zurückzugeben. Der Sektor gibt nun öffentlich zu, dass er innerhalb von 18 Monaten die kollektiven Fähigkeiten zur Reaktion auf Vorfälle verloren hat, die er zuvor noch besessen hatte.
Sammelklagen, FERPA und DSGVO auf dem Rechtsgebiet.
Bei Bundesbezirksgerichten wurden bereits mehrere Sammelklagen (Sammelklagen, die es einer Gruppe von Klägern ermöglichen, gemeinsam vor Gericht zu ziehen) eingereicht. Eine der Klägerinnen macht geltend, dass sie durch die Offline-Schaltung von Canvas am Tag vor einer für den 8. Mai angesetzten Abschlussprüfung, also am Tag nach der Abschaltung, keinen Zugang zu ihren Kursmaterialien hatte. Der Rechtsrahmen ist komplex: Das FERPA eröffnet Einzelpersonen kein direktes Klagerecht gegen Unternehmen, so dass die Berufung auf staatliche Verbraucherschutzgesetze und Fahrlässigkeitstheorien verlagert wird. Die Verantwortung von Instructure für die XSS-Lücke, die zwischen den beiden Einbrüchen offen blieb, wird wahrscheinlich im Mittelpunkt dieser Verfahren stehen.
Für europäische Institutionen, die Canvas verwenden, kommen die Verpflichtungen der DSGVO hinzu. Die persönlichen Daten europäischer Nutzer , E-Mail-Adressen, Logins, Nachrichten , fallen unter die Verordnung, die eine Meldung an die Aufsichtsbehörden innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung vorschreibt.
Ein Deal mit Kriminellen, keine Garantien für die Nutzer.
Instructure kündigte an, das Falcon EDR-Tool von CrowdStrike in seinem gesamten Netzwerk einzusetzen, kompromittierte Token und Zugangsschlüssel zu widerrufen, interne Schlüssel zu rotieren und die Mechanismen zur Erstellung von Token einzuschränken. Die von Canvas getrennte Parchment-Plattform war nicht betroffen, da ein Scan, der auf die Kompromittierungsindikatoren des Vorfalls abzielte, dort keine ungewöhnlichen Aktivitäten ergab.
Die Zahlung für bereits exfiltrierte Daten schaltet das Risiko nicht aus. Ein Sprecher des FBI warnte gegenüber The Record, dass eine Nachricht von ShinyHunters “ nicht notwendigerweise bedeutet, dass Ihre persönlichen Daten kompromittiert wurden „, und riet dringend davon ab, Geld zu bezahlen oder auf Anfragen zu reagieren. Einrichtungen und Nutzer sollten davon ausgehen, dass die exfiltrierten Daten unabhängig von der Vereinbarung zwischen Instructure und seinen Erpressern zirkulieren können.
Eine Vereinbarung mit einer kriminellen Gruppe bindet weder die eigenen Mitglieder noch Dritte, an die Kopien vor der angeblichen Vernichtung weitergegeben worden sein könnten. Dies ist die Lehre aus dem vorherigen Fall PowerSchool. In einer Zeit, in der die Rate der Lösegeldzahlungen einen historischen Tiefstand erreicht, wirkt die Entscheidung von Instructure wie ein Gegensignal. Wie Cliff Steinhauer (National Cybersecurity Alliance) in Inside Higher Ed formulierte,verstärkt diese Art der Zahlung „die wirtschaftliche Anreizstruktur hinter der Cyber-Erpressung “ und birgt das Risiko, “ die Zahlung als Strategie zur Reaktion auf Vorfälle zu normalisieren, wovon Strafverfolgungsbehörden konsequent abraten, da sie neue Angriffe anheizt“.
Kurzfristig spielt sich die Warnung also auf Seiten der Institute ab, nicht bei Instructure. Die konkrete Gegenmaßnahme besteht in einigen wenigen Schritten: Versenden Sie unverzüglich personalisierte Phishing-Benachrichtigungen an Studierende, Lehrkräfte und Verwaltungspersonal, in denen Sie angeben, welche Daten offengelegt wurden und auf welche Identitätsdiebstähle Sie achten müssen: gefälschte Nachrichten von der Verwaltung, betrügerische Links zum Zurücksetzen von Passwörtern, Aufforderungen zur Nachahmung von Finanzdienstleistungen im Zusammenhang mit Studiengebühren. Mitarbeiter, deren E-Mail-Adressen in dem Leak auftauchen, sollten ihre Konten auf verdächtige Aktivitäten überprüfen und ihre Multifaktor-Authentifizierung verstärken. Mit der Zahlung konnte Instructure zwar die Medienakte schließen, nicht aber die Datenakte: Die kommenden Monate und nicht die Bestätigung der Vernichtung von ShinyHunters werden zeigen, ob das Leck wirklich eingedämmt wurde.
Quellen
- Instructure: Security Incident Update & FAQs.
- BleepingComputer: Instructure erreicht ‚Vereinbarung‘ mit ShinyHunters, den Datenverlust zu stoppen.
- BleepingComputer: Instructure bestätigt, dass Hacker Canvas Flaw verwendet haben, um Portals zu deface...
- The Record: Instructure pays ransom after Canvas incident as Congress announces investigation.
- The Hacker News: Instructure Reaches Ransom Agreement with ShinyHunters to Stop 3.65TB Canvas Leak.
- DataBreaches: PowerSchool bezahlte eine Hacker-Erpressungsforderung, aber jetzt werden Schulbezirkskunden ohnehin erpresst.
- Higher Ed Dive: Canvas-Eigentümer erreicht ‚Vereinbarung‘ mit Bedrohungsakteuren nach Datenpanne.
- KrebsOnSecurity: Please Don’t Feed the Scattered Lapsus ShinyHunters.
- Inside Higher Ed: Instructure Pays Ransom to Canvas Hackers
