Der Betreiber der weltweit verbreiteten E-Learning-Plattform Canvas hat offenbar Lösegeld an die Hackergruppe ShinyHunters gezahlt. Instructure, das Unternehmen hinter Canvas, bestätigte am 11. Mai 2026 eine Einigung mit den Angreifern. Man habe eine digitale Bestätigung erhalten, dass die gestohlenen Daten vernichtet wurden. Wie viel Geld geflossen ist, gibt Instructure nicht bekannt.

Was ist passiert?

Der Angriff verlief in zwei Wellen. Am 29. April 2026 erkannte Instructure erstmals unbefugten Zugriff auf seine Canvas-Umgebung und sperrte den Eindringling nach eigenen Angaben umgehend aus. Für kurze Zeit schien die Lage unter Kontrolle.
Am 7. Mai schlugen ShinyHunters erneut zu: Die Gruppe verunstaltete die Login-Seiten von rund 330 Bildungseinrichtungen weltweit mit Erpressungsbotschaften, die direkt an Studierende, Lehrkräfte und Eltern gerichtet waren. Damit eskalierte die Gruppe bewusst vom stillen Datendiebstahl zur öffentlichkeitswirksamen Druckstrategie. Instructure musste Canvas in einen Wartungsmodus versetzen und die Plattform vorübergehend abschalten. Besonders bitter: Der Zeitpunkt traf viele Universitäten mitten in Abschlussprüfungen und Abiturvorbereitungen.
Das Einfallstor war in beiden Fällen dieselbe Schwachstelle: eine Sicherheitslücke im Bereich der kostenlosen Free-For-Teacher-Konten, genauer gesagt im Support-Ticket-System dieser Umgebung. Instructure hat diese Konten inzwischen gesperrt.

Welche Daten wurden gestohlen?

ShinyHunters behauptet, rund 3,65 Terabyte Daten von etwa 275 Millionen Nutzern aus fast 9.000 Bildungseinrichtungen weltweit erbeutet zu haben. Instructure bestätigt den Abfluss von Namen, E-Mail-Adressen, Studierenden-IDs, Kursnamen, Einschreibungsinformationen sowie privaten Nachrichten zwischen Lehrenden und Studierenden. Keine Hinweise gibt es laut Unternehmen auf gestohlene Passwörter, Geburtsdaten oder Finanzinformationen.
Betroffen sind weltweit bekannte Einrichtungen wie Harvard, Columbia, Stanford, Georgetown und Rutgers, aber auch europäische Hochschulen. In Deutschland sind nach bisherigem Kenntnisstand mindestens die European School of Management and Technology (ESMT) in Berlin sowie die Barenboim-Said-Akademie betroffen.

Kein Einzelfall bei Instructure

Es ist nicht der erste schwerwiegende Vorfall beim Canvas-Betreiber. Im September 2025 drang ShinyHunters bereits in Instructures Salesforce-Umgebung ein. Instructure betont, es handele sich dabei um einen separaten Vorfall, der andere Systeme betraf.
Auch im breiteren Bildungssektor reiht sich der Angriff in eine besorgniserregende Serie ein: Anfang 2025 war der Anbieter PowerSchool Opfer einer Erpressung, bei der Daten von Millionen Schülerinnen und Schülern gestohlen wurden. Im März 2026 meldete Infinite Campus einen Angriff auf seine Salesforce-Instanz.