Der Datenleck-Vorfall bei Instructure/Canvas, der in letzter Zeit die Berichterstattung zum Thema Cybersicherheit dominiert hat, hat eine neue Phase erreicht.
Millionen von Studierenden wurden persönliche Daten gestohlen; die Erpressergruppe ShinyHunters bekannte sich zu dem Datenleck und übte zusätzlichen Druck aus, um ihre Lösegeldforderungen durchzusetzen, indem sie Canvas-Nutzer direkt kontaktierte.
Das scheint sich ausgezahlt zu haben. Auf der Instructure-Webseite zum jüngsten Datenleck heißt es in einem Status-Update vom 11. Mai 2026:
„Wir wissen, dass die Sorge um eine mögliche Veröffentlichung von Daten im Zusammenhang mit diesem Vorfall für viele Kunden nach wie vor im Vordergrund steht. Wir verstehen, wie beunruhigend solche Situationen sein können, und der Schutz unserer Community hat für uns weiterhin oberste Priorität.“
„In Anbetracht dieser Verantwortung hat Instructure eine Einigung mit dem an diesem Vorfall beteiligten unbefugten Akteur erzielt.“
Das bedeutet, dass Instructure ShinyHunters bezahlt hat. Zumindest ein Teil dieses Geldes wird mit ziemlicher Sicherheit zur Finanzierung künftiger Cyberkriminalitätsoperationen verwendet werden. Ob Unternehmen jemals Lösegeldforderungen oder Erpressungsforderungen zahlen sollten, ist nach wie vor umstritten, und das ist keine Debatte, die ich hier erneut entfachen möchte.
Was ich nicht verstehe, ist der nächste Satz in dem Update:
„Die Daten wurden an uns zurückgesendet.“
Das mag zwar beruhigend klingen, doch in der Cybersicherheit sind Daten nicht mit einem ausgeliehenen Laptop oder einem verlegten Ordner zu vergleichen. Einmal kopiert, können sie immer wieder kopiert werden.
Das ist von Bedeutung, da es bei dem Vorfall nicht nur um einen vorübergehenden Zugriff ging. Laut Instructure betraf der unbefugte Zugriff Benutzernamen, E-Mail-Adressen, Kursnamen, Anmeldedaten und Nachrichten.
Daten können nicht einfach „zurückgegeben“ werden
Wenn ein Unternehmen also angibt, die Daten seien „zurückgegeben“ worden und es seien„Löschprotokolle“ vorgelegt worden, lautet die eigentliche Frage nicht, ob die Angreifer noch im Besitz der Originaldateien sind. Es geht vielmehr darum, ob Kopien angefertigt wurden, ob diese Kopien weitergegeben wurden und an wen. Im Grunde genommen geht es also darum, ob die Folgegefahren des Datenlecks tatsächlich beseitigt wurden. Auch wenn diese Art von Cyberkriminellen in der Regel auf Vertrauen setzt, verfügen digitale Daten nicht über eine garantierte Rückruf-Funktion.
Die gute Nachricht ist, dass laut Instructure keine Passwörter, Geburtsdaten, behördliche Identifikationsnummern oder Finanzdaten betroffen waren. Doch Namen, E-Mail-Adressen, Kursdaten und private Nachrichten reichen immer noch aus, um gezielte Phishing-Angriffe und Social-Engineering-Taktiken zu ermöglichen – auch lange nachdem die Schlagzeilen verblasst sind.
Für Schüler und Familien gelten nach wie vor die praktischen Tipps aus unserem ursprünglichenBlog:
- Passwörter für Canvas zurücksetzen
- Aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung
- Behalten Sie die finanziellen und kreditbezogenen Aktivitäten im Auge, wenn die Kinder älter werden
- Seien Sie vorsichtig bei sehr personalisierten Phishing-Versuchen, die sich auf echte Schulen, Kurse oder Lehrkräfte beziehen
Dein Name, deine Adresse und deine Telefonnummer stehen wahrscheinlich schon zum Verkauf.
Datenbroker sammeln Ihre persönlichen Daten und verkaufen sie an jeden, der bereit ist, dafür zu zahlen. Malwarebytes Personal Data Remover diese DatenPersonal Data Remover , sorgt dafür, dass Ihre Informationen gelöscht werden, und überwacht anschließend, dass dies auch so bleibt.
