Canvas-Leak: 275 Millionen Datensätze offengelegt

Rund 275 Millionen Nutzer weltweit sind betroffen – darunter auch zahlreiche europäische Hochschulen. Der Vorfall ist Teil einer beunruhigenden Entwicklung: Cyberkriminelle umgehen zunehmend selbst mehrstufige Authentifizierungsverfahren.

Da Kriminelle immer häufiger Wege finden, digitale Identitäten zu stehlen, ist der Schutz mobiler Endgeräte für das Online-Banking und private Daten wichtiger denn je. Dieser kostenlose PDF-Ratgeber zeigt 5 einfache Schritte, die jeder sofort umsetzen kann, um sein Smartphone gegen Hacker abzusichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt kostenlos sichern

Hacker erbeuten Terabyte an sensiblen Daten

Anfang Mai 2026 schlug die Hackergruppe ShinyHunters zu. Sie erbeutete rund 3,65 Terabyte an Daten aus dem Lernmanagementsystem Canvas. Die Angreifer verschafften sich Zugriff auf Namen, E-Mail-Adressen, Studentenausweisnummern und private Nachrichten innerhalb der Plattform.

Betroffen sind rund 8.809 Bildungseinrichtungen – von Grundschulen über Universitäten bis zu Online-Lernplattformen. In den USA bestätigte die University of Pennsylvania, dass Daten von über 300.000 Nutzern gestohlen wurden. Auch die Wake County Public School System und Charlotte-Mecklenburg Schools meldeten Vorfälle.

International sind unter anderem die University of Auckland, die Victoria University of Wellington sowie mehrere niederländische Hochschulen wie die Universität Amsterdam und die Erasmus-Universität Rotterdam betroffen. Sie prüfen derzeit das Ausmaß der Datenexposition.

Instructure hat technische Gegenmaßnahmen eingeleitet. Ersten Untersuchungen zufolge blieben sensible Zugangsdaten wie Passwörter, Geburtsdaten und Finanzinformationen verschont. Dennoch warnen Sicherheitsexperten: Die schiere Menge an Kontaktdaten und privaten Nachrichten bietet ideale Voraussetzungen für gezielte Phishing-Kampagnen und Identitätsdiebstahl im großen Stil.

Browser-Schwachstelle: Microsoft Edge speichert Passwörter im Klartext

Parallel zu den Cloud-Vorfällen erschüttern schwerwiegende Sicherheitslücken in lokaler Software die Branche. Anfang Mai 2026 entdeckten Forscher einen grundlegenden Designfehler im Microsoft Edge: Der Browser speichert alle gespeicherten Passwörter beim Start unverschlüsselt im Arbeitsspeicher (RAM).

Microsoft selbst bezeichnet dies als „Designentscheidung". Die Konsequenz ist jedoch alarmierend: Jede Schadsoftware, die auf den Systemspeicher zugreifen kann, erbeutet den gesamten Passwort-Tresor – ohne Verschlüsselung knacken oder Browser-Sperren umgehen zu müssen.

Kritische Lücke in Palo-Alto-Firewalls

Eine weitere akute Bedrohung betrifft Netzwerksicherheitssysteme von Palo Alto Networks. Der Hersteller warnte vor einer kritischen Zero-Day-Lücke (CVE-2026-0300) im PAN-OS User-ID Authentication Portal. Der Pufferüberlauf-Fehler mit einem CVSS-Score von 9,3 erlaubt nicht authentifizierten Angreifern, Code mit Root-Rechten auf PA-Series- und VM-Series-Firewalls auszuführen.

Marktforscher von Shadowserver identifizierten über 5.800 Firewalls, die aktuell im Internet exponiert sind. Erste aktive Angriffe wurden bereits registriert. Patches sollen erst am 13. Mai 2026 verfügbar sein. Die US-Cybersicherheitsbehörde CISA hat die Lücke in ihren Katalog bekannter Schwachstellen aufgenommen und fordert Administratoren auf, die betroffenen Portale zu deaktivieren oder den Zugriff auf vertrauenswürdige Zonen zu beschränken.

CloudZ-Kampagne: SMS-TAN wird zum Sicherheitsrisiko

Während Unternehmen ihre Authentifizierungsverfahren verschärfen, passen Kriminelle ihre Methoden an. Die seit Januar 2026 aktive CloudZ-Kampagne nutzt einen Remote-Access-Trojaner namens Pheno, um die Microsoft-Phone-Link-Funktion auszubeuten.

Die Angreifer kompromittieren Arbeitsplatzrechner über gefälschte Software-Updates. Von dort aus fangen sie SMS-basierte Einmalpasswörter direkt vom synchronisierten Smartphone ab – ohne jemals physischen Zugriff auf das Mobilgerät zu haben. Branchenberichten zufolge wurden bereits über 13.000 Organisationen in 26 Ländern angegriffen.

Staatliche Akteure setzen auf Täuschung

Die iranische Gruppe MuddyWater treibt die Täuschung auf die Spitze. Laut Forschern von Rapid7 gibt sich die Gruppe über Microsoft Teams als Verwaltungspersonal aus. Sie überredet Mitarbeiter zur Herausgabe von Zugangsdaten oder zur Installation von Fernwartungstools wie AnyDesk.

Um ihre wahren Absichten – Langzeitspionage und Datendiebstahl – zu verschleiern, setzen die Angreifer eine Attrappe der Chaos-Ransomware ein. Anders als bei typischen Erpressungsangriffen werden keine Dateien verschlüsselt. Ziel ist es, Sicherheitsteams in die Irre zu führen: Sie sollen den Vorfall als gescheiterten kriminellen Erpressungsversuch einstufen, nicht als staatlich gesteuerte Geheimdienstoperation.

Ähnliche Täuschungsmanöver beobachtet das FBI im Finanzsektor. Die Behörde warnte Anfang Mai vor einer Welle von „Behördenimitierungs-Betrügen". Angreifer nutzen KI-generierte Stimmklone und gefälschte offizielle Telefonnummern, um Opfer zu Überweisungen oder Preisgabe von Identitätsdaten zu bewegen. 2025 stiegen die Verluste durch diese Betrugsform um 97 Prozent auf rund 798 Millionen US-Dollar bei 34.000 gemeldeten Fällen.

Analyse: Das Ende der einfachen Passwort-Ära

Die aktuelle Welle von Sicherheitsvorfällen offenbart eine grundlegende Schwäche moderner digitaler Identitätssysteme. Die Kombination aus plattformweiten Datenlecks wie dem Canvas-Vorfall und lokalen Software-Schwachstellen wie dem Edge-RAM-Problem schafft ein Umfeld, in dem persönliche Daten ständig gefährdet sind.

Der deutsche Verfassungsschutz warnte kürzlich, dass die Schäden durch Sabotage und Spionage mit 289 Milliarden Euro einen Rekordwert erreicht haben.

Branchenanalysten fordern einen Paradigmenwechsel: Der Fokus der Cyberabwehr müsse vom Schutz statischer Passwörter zur Sicherung der gesamten Authentifizierungssitzung verlagert werden. Der Aufstieg der „Agentic AI" bringe zudem neue Risiken. CISA und die „Five Eyes"-Partner aus Großbritannien, Kanada, Australien und Neuseeland veröffentlichten einen gemeinsamen Sicherheitsleitfaden für KI-Agenten. Sie identifizierten fünf Kernrisikobereiche: Berechtigungen, Design, Verhalten, Struktur und Rechenschaftspflicht.

Die Abhängigkeit von SMS-basierter Multi-Faktor-Authentifizierung steht zunehmend in der Kritik. Kampagnen wie CloudZ zeigen, wie leicht diese Codes über Desktop-Synchronisationstools abgefangen werden können. Sicherheitsexperten fordern den Umstieg auf hardwarebasierte Sicherheitsschlüssel oder biometrische Authentifizierung.

Angesichts der zunehmenden Unsicherheit bei klassischen Passwörtern suchen immer mehr Nutzer nach stabilen Alternativen. Dieser kostenlose Report erklärt die neue Passkey-Technologie, mit der Sie sich künftig sicher und ganz ohne Passwort-Stress bei Diensten wie Microsoft oder Amazon anmelden können. Passkey-Report jetzt kostenlos herunterladen

Ausblick: Härtung der Infrastruktur

Die Reaktion auf diese Bedrohungen wird zentralisierter und proaktiver. CISA startete die Initiative „CI Fortify", die kritische Infrastrukturen auf geopolitische Cyberkonflikte vorbereiten soll. Das Programm betont die Isolierung von Betriebstechnologie-Netzwerken und die Entwicklung schneller Wiederherstellungsfähigkeiten.

Für IT-Abteilungen steht die Behebung der Palo-Alto-Netzwerke- und Linux-Sicherheitslücken im Vordergrund. Die Linux-Kernel-Lücke (CVE-2026-31431), die mit KI-basierten Analysetools entdeckt wurde, ermöglicht Root-Rechte-Erweiterungen und wird aktiv ausgenutzt. Administratoren sollten Kernel-Updates auf allen betroffenen Distributionen sofort einspielen.

Bis zum Patch-Datum am 13. Mai für die Palo-Alto-Zero-Day-Lücke sind Unternehmen aufgefordert, temporäre Workarounds zu implementieren – etwa die Beschränkung des Zugriffs auf Authentifizierungsportale auf interne VPNs. Im Bildungssektor werden die Folgen des Canvas-Leaks voraussichtlich noch Monate anhalten, wenn sekundäre Phishing-Angriffe auf Studenten und Lehrkräfte einsetzen. Der langfristige Trend ist klar: Die Ära des einfachen Passworts geht zu Ende.

de | wissenschaft | 69286924 |