Thought Leadership
Hacker dringen bei Instructure ein. Betroffen sind Namen und IDs von Millionen Canvas-Nutzern. Das Unternehmen hat Gegenmaßnahmen eingeleitet.
Instructure, der Entwickler hinter dem weltweit verbreiteten Learning Management System (LMS) Canvas, hat einen schwerwiegenden Cybersecurity-Vorfall bestätigt. Nach Angaben des Unternehmens gelang es einem kriminellen Akteur, unbefugten Zugriff auf interne Systeme zu erlangen und sensible Informationen von Schülern, Studierenden und Lehrkräften einzusehen oder zu exfiltrieren. Da Canvas von Millionen von Nutzern an Schulen und Universitäten weltweit verwendet wird, hat der Vorfall erhebliche Auswirkungen auf den Bildungssektor.
Forensische Untersuchung nach unbefugtem Systemzugriff
Steve Proud, Chief Information Security Officer (CISO) bei Instructure, erklärte in einer offiziellen Pressemitteilung, dass das Unternehmen unmittelbar nach Entdeckung des Eindringens externe Forensik-Experten hinzugezogen habe. Ziel der laufenden Untersuchung ist es, das genaue Ausmaß des Vorfalls zu bestimmen und die Methode des Angreifers zu identifizieren. Obwohl der Vorfall laut Proud bereits am vergangenen Samstag eingegämmt werden konnte, dauern die Analysen der Log-Dateien und Systemzugriffe an.
Instructure arbeitet derzeit daran, die betroffenen Institutionen individuell zu informieren. Der Fokus liegt dabei auf der Transparenz gegenüber den Bildungseinrichtungen, die Canvas zur Verwaltung von Kursinhalten, Noten und der Kommunikation zwischen Lehrkräften und Lernenden nutzen.
Exfiltrierte Informationen: Namen und Identifikationsnummern
Erste Untersuchungsergebnisse von Instructure zeigen, dass die Angreifer Zugriff auf spezifische identifizierbare Benutzerinformationen hatten. Zu den betroffenen Datenkategorien gehören:
- Vollständige Namen von Schülern, Studierenden und Lehrkräften
- E-Mail-Adressen
- Individuelle Schüler-Identifikationsnummern (Student ID numbers)
- Innerhalb der Plattform versendete Nachrichten
Das Unternehmen betonte jedoch ausdrücklich, dass es nach derzeitigem Kenntnisstand keine Beweise für den Abfluss von Passwörtern, Geburtsdaten, staatlichen Identifikationsmerkmalen (wie Sozialversicherungsnummern) oder Finanzinformationen gibt. Sollten sich im Laufe der weiteren forensischen Analyse neue Erkenntnisse ergeben, die diese Einschätzung ändern, hat Instructure eine sofortige Benachrichtigung der betroffenen Parteien zugesagt.
Technische Gegenmaßnahmen und Re-Autorisierung für Endnutzer
Um den Schaden zu begrenzen und die Integrität der Plattform wiederherzustellen, hat die IT-Sicherheitsabteilung von Instructure umfassende technische Maßnahmen ergriffen. Dazu gehört der Entzug privilegierter Anmeldedaten und der Widerruf von Zugriffs-Token (Access Tokens), die mit den betroffenen Systemen in Verbindung standen. Zudem wurden Sicherheitspatches auf alle relevanten Plattformen aufgespielt, um bekannte Schwachstellen zu schließen.
Ein wesentlicher Teil der Sicherheitsstrategie ist die vorsorgliche Neuausstellung bestimmter kryptografischer Schlüssel. Laut CISO Steve Proud gab es zwar keine direkten Beweise für einen Missbrauch dieser speziellen Schlüssel, dennoch entschied sich das Unternehmen für diesen Schritt, um zukünftige Risiken zu minimieren. Für die Endnutzer bedeutet dies, dass sie den Zugriff auf bestimmte integrierte Tools und Drittanbieter-Anwendungen innerhalb von Canvas neu autorisieren müssen. Gleichzeitig wurde die Überwachung (Monitoring) über alle Cloud-Umgebungen und Server-Infrastrukturen hinweg massiv verstärkt.
Bildungswesen als wachsendes Ziel für Cyberkriminelle
Der Angriff auf Instructure reiht sich in eine Serie von Vorfällen ein, bei denen Entwickler von Bildungssoftware ins Visier von Hackern geraten sind. Diese Unternehmen verwalten enorme Mengen an personenbezogenen Daten, was sie zu attraktiven Zielen für Erpressung und Identitätsdiebstahl macht.
Bereits im Januar 2025 gab der Anbieter PowerSchool bekannt, Opfer einer Erpressung geworden zu sein, nachdem persönliche Daten von Millionen Schülern gestohlen worden waren. In diesem Zusammenhang wurde kürzlich ein 19-jähriger Student aus Massachusetts zu einer vierjährigen Haftstrafe verurteilt. Im März 2026 meldete zudem Infinite Campus einen Angriff auf seine Salesforce-Instanz, bei dem Kontaktinformationen von Schulmitarbeitern entwendet wurden.
Diese Häufung zeigt, dass die Sicherheitsanforderungen an Learning Management Systeme im Jahr 2026 steigen. Da Identifikationsnummern von Schülern oft als sekundärer Faktor für andere Dienste genutzt werden, stellt deren Diebstahl ein langfristiges Risiko für Phishing-Kampagnen und Identitätsbetrug dar.
Instructure hat angekündigt, die Öffentlichkeit und die betroffenen Bildungseinrichtungen über weitere Fortschritte der Untersuchung auf dem Laufenden zu halten. Nutzer werden derzeit dazu angehalten, auf verdächtige E-Mails zu achten, die sich auf den Vorfall beziehen könnten, da Hacker gestohlene E-Mail-Adressen häufig für gezielte Nachfolgeangriffe nutzen.
