Im Mai 2026 wurde die weltweit genutzte Lernplattform Canvas des Lieferanten Instructure von einem groß angelegten Angriff getroffen (zugeschrieben der Gruppe ShinyHunters). Weltweit standen potenziell die Daten von Hunderten Millionen Studierenden, Lehrenden und Mitarbeitenden auf dem Spiel, verteilt auf Tausende Bildungseinrichtungen. In den Niederlanden bestätigten sieben Universitäten, betroffen zu sein. Der Vorfall zeigt erneut: Die größte Abhängigkeit ist manchmal eine Plattform, die du nicht selbst betreibst.
Was geschah
Der Angriff fand im Mai 2026 statt und traf Instructure, das Unternehmen hinter Canvas. Das ist die Lernplattform, die viele Hochschulen für Kurse, Noten und die Kommunikation mit Studierenden nutzen. Weil so viele Einrichtungen auf derselben Plattform laufen, hatte ein einziger Einbruch sofort internationale Reichweite.
Für die betroffenen Universitäten bedeutete das, dass über Canvas laufende Daten in die Hände der Angreifer gelangt sein könnten. Welche Daten genau, unterscheidet sich je Einrichtung, doch bei einer Lernplattform geht es schnell um Namen, E-Mail-Adressen, Studien- und Kursinformationen und interne Kommunikation.
Nach der DSGVO ist dies eine meldepflichtige Datenpanne: Die betroffenen Einrichtungen mussten sie an die Aufsichtsbehörde melden und Betroffene informieren. Weil der Auftragsverarbeiter (Instructure) die Quelle des Lecks war, hängt viel von den Vereinbarungen im Auftragsverarbeitungsvertrag ab und von der Frage, wer wofür verantwortlich ist.
Konzentrationsrisiko: eine Plattform, ein Ziel
Zentrale Cloud-Dienste erleichtern das Leben: ein System, überall zugänglich, immer aktuell. Aber genau diese Zentralisierung macht eine solche Plattform zu einem attraktiven Ziel. Wer einmal hineinkommt, hat auf einen Schlag Zugriff auf die Daten Tausender Organisationen. Genau deshalb richten sich Angreifer auf große Lieferanten statt auf einzelne Einrichtungen. Dasselbe Muster zeigte sich beim Angriff auf den Gesundheitslieferanten ChipSoft, bei dem ein System einen großen Teil der niederländischen Krankenhäuser traf.
Für das Bildungswesen ist das besonders relevant. Universitäten und Hochschulen teilen oft dieselben Kernanwendungen (Lernplattform, Studierendenverwaltung, E-Mail), sodass ein Angriff auf einen Lieferanten den ganzen Sektor zugleich trifft. Die Abhängigkeit ist groß, die Ausweichmöglichkeiten sind begrenzt.
Die Lektion für Awareness-Verantwortliche: Du kannst nicht alles Risiko bei deinem Lieferanten beseitigen, aber du kannst deine Organisation auf das Szenario vorbereiten, dass ein zentraler Dienst übernommen wird. Wer weiß, was zu tun ist, begrenzt den Schaden.
Beginne mit der Risikoanalyse: arbeite die ganze CIA-Triade durch
Die Vorbereitung auf einen Ausfall beginnt nicht mit einem Notfallplan, sondern mit einer Risikoanalyse. Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit (die CIA-Triade) helfen dir, je System zu bestimmen, welche Anforderungen gelten und welche Maßnahmen dazu passen. Arbeite alle drei bewusst durch, statt nur auf die Folgen eines Lecks zu schauen. Du willst den Unterschied zwischen diesen drei Zielen und den DSGVO-Begriffen klar haben? Lies den Unterschied zwischen der CIA-Triade und der DSGVO.
Verfügbarkeit: Wie schlimm ist es, wenn diese Plattform einen Tag oder eine Woche ausfällt? Muss die Verfügbarkeit hoch sein, sind stärkere Maßnahmen nötig. Frage dich, ob ein Ausweichen auf eine alternative Plattform möglich ist, ob du ein aktuelles Backup außerhalb der Plattform hast und ob du die Daten von der Plattform trennen kannst. Mit einem eigenen Export oder einer Kopie kommst du bei einem Ausfall schneller mit deinen Kursen, der Notenverwaltung oder Dienstleistungen weiter.
Integrität: Kannst du darauf vertrauen, dass die Daten nicht manipuliert wurden? Nach einem Einbruch musst du feststellen können, ob Noten, Akten und Einschreibungen noch stimmen. Ohne Prüfmöglichkeit weißt du nicht, ob du dich auf die Daten verlassen kannst, und das kann nach der Wiederherstellung genauso lähmend sein wie der Ausfall selbst.
Vertraulichkeit: Welche Daten sind so sensibel, dass eine Offenlegung den größten Schaden verursacht? Indem du deine Daten klassifizierst, weißt du, was zusätzlichen Schutz braucht und was nach einem Leck zuerst Aufmerksamkeit erfordert. Diese Unterscheidung triffst du vorab, wie in Datenklassifizierung und dem Need-to-know-Prinzip beschrieben.
Indem du alle drei zusammen durchgehst, vermeidest du, dich nur auf die Verfügbarkeit zu konzentrieren und Integrität oder Vertraulichkeit zu vergessen. Awareness heißt hier, dass auch nicht-technische Kolleginnen und Kollegen mitdenken: Sie wissen am besten, welches ausfallende System ihre Arbeit lahmlegt und welche Daten in ihrem Prozess entscheidend sind.
Die gefährlichste Phase beginnt nach dem Datenleck
Wie bei anderen großen Pannen ist der Diebstahl selbst nicht das größte Risiko für die Nutzer. Das Folge-Phishing ist es. Mit Namen, E-Mail-Adressen und dem Wissen, dass jemand Studierender oder Mitarbeiter an einer bestimmten Universität ist, können Kriminelle äußerst glaubwürdige Nachrichten verschicken. Das ist derselbe Mechanismus, der auch nach dem Odido-Datenleck zu einer Welle gefälschter Nachrichten führte.
Rechne nach einer Bildungspanne mit Wellen gefälschter Mails: 'prüfe, ob deine Daten geleakt wurden', 'melde dich erneut über diesen Link bei Canvas an' oder 'deine Einschreibung läuft ab, bestätige jetzt'. Gerade weil die Nachricht breit bekannt ist, greifen Kriminelle sie sofort auf.
Studierende sind dabei eine verwundbare Gruppe: jung, beschäftigt und an viele digitale Nachrichten ihrer Einrichtung gewöhnt. Awareness muss sich daher nicht nur an die Mitarbeitenden richten, sondern auch an die Art, wie die Einrichtung mit Studierenden kommuniziert.
Was ein Auftragsverarbeitungsvertrag damit zu tun hat
Wenn ein Lieferant deine Daten verarbeitet, bleibt deine Organisation nach der DSGVO meist der Verantwortliche. Das heißt, du musst vorab in einem Auftragsverarbeitungsvertrag festlegen: Welche Sicherheitsmaßnahmen ergreift der Lieferant, wie und wie schnell meldet er einen Vorfall, und wer informiert die Betroffenen?
Beim Canvas-Vorfall wurde deutlich, wie wichtig diese Vereinbarungen sind. Je schneller und klarer ein Auftragsverarbeiter kommuniziert, desto schneller kann die Einrichtung melden und ihre Leute warnen. Awareness und Einkauf treffen sich hier: Wer Verträge schließt, bestimmt mit, wie gut du später reagieren kannst.
Für Awareness-Verantwortliche ist das eine Chance, das Gespräch zu erweitern: Lieferantenrisiko ist nicht nur ein technisches oder juristisches Thema, sondern auch eine Frage von Verhalten und Kommunikation.
So verankerst du das in deinem Awareness-Programm
Nutze den Canvas-Vorfall, um zwei Dinge zugleich zu setzen: die Abhängigkeit von zentralen Cloud-Plattformen und die Bedeutung von Wachsamkeit in der Zeit nach einem Datenleck.
Stimme deine Kampagne auf die Zielgruppen ab, die wirklich zählen: Einkauf und Beauftragte, die Verträge verwalten, plus die Kommunikationskanäle zu Studierenden oder Kunden.
- Zielgruppe und Rhythmus: Gib Einkauf und Datenschutzbeauftragten ein Modul zu Auftragsverarbeitungsverträgen und Meldevereinbarungen; gib Kommunikations- und Frontoffice-Teams ein Drehbuch für Phishing nach einer Panne.
- Beginne mit der Risikoanalyse: Bestimme je Kernsystem die Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit und lege Ausweich- und Backup-Maßnahmen für Systeme fest, deren Verfügbarkeit hoch sein muss.
- Lege vorab fest, welche Nachrichten du verschickst und welche nicht (z. B. nie einen Login-Link in einer Mail), damit gefälschte Nachrichten schneller auffallen.
- Übe das Szenario, dass eine zentrale Plattform ausfällt oder übernommen wird: Wie kommunizierst du, und wie machst du vorübergehend auf einer getrennten Kopie der Daten weiter?
- Willst du das verankern? Sieh dir an, wie das mit einem Security-Awareness-Programm funktioniert.
Verwandte Artikel
- Der ChipSoft-Angriff: Lieferantenrisiko im Awareness-Programm
- Der Unterschied zwischen der CIA-Triade und der DSGVO
- Das Odido-Datenleck: ein Anruf, 6 Millionen Menschen
- Häufige Datenpannen in Organisationen
FAQ
Warum traf ein Angriff so viele Universitäten auf einmal?
Weil viele Einrichtungen dieselbe zentrale Lernplattform (Canvas von Instructure) nutzen. Ein Einbruch bei diesem einen Lieferanten gibt auf einen Schlag Zugriff auf die Daten Tausender Organisationen weltweit. Das ist Konzentrationsrisiko: eine zentrale Plattform bedeutet ein zentrales Ziel.
Was ist das größte Risiko für Studierende und Mitarbeitende nach diesem Datenleck?
Nicht der Diebstahl selbst, sondern das Folge-Phishing. Mit Namen, E-Mail-Adressen und dem Wissen, dass jemand mit einer bestimmten Universität verbunden ist, können Kriminelle glaubwürdige gefälschte Mails verschicken, etwa 'prüfe, ob du geleakt wurdest' oder 'melde dich erneut über diesen Link an'. Davor muss man gezielt warnen.
Wie bereitet man eine Organisation auf den Ausfall einer zentralen Plattform vor?
Beginne mit einer Risikoanalyse nach der CIA-Triade (Vertraulichkeit, Integrität, Verfügbarkeit). Muss die Verfügbarkeit hoch sein, dann ergreife passende Maßnahmen: Prüfe, ob ein Ausweichen auf eine andere Plattform möglich ist, ob du ein aktuelles Backup außerhalb der Plattform hast und ob du die Daten von der Plattform trennen kannst, damit du mit einem eigenen Export schnell weiterarbeiten kannst. Arbeite danach auch Integrität (stimmen die Daten noch?) und Vertraulichkeit (was ist am sensibelsten?) durch und übe das Ausweichszenario vorab.
Wer ist verantwortlich, wenn der Lieferant das Leck verursacht?
Nach der DSGVO bleibt deine Organisation meist der Verantwortliche, auch wenn der Lieferant (der Auftragsverarbeiter) das Leck verursacht. Deshalb legst du vorab in einem Auftragsverarbeitungsvertrag fest, welche Sicherheit der Lieferant bietet, wie schnell er Vorfälle meldet und wer die Betroffenen informiert.