Canvas-LMS-Datenleck: Welche Daten betroffen sind und warum 275 Millionen unbestätigt bleiben

Diese Trennung ist entscheidend: Die Datenkategorien stammen aus Instructures bisheriger Darstellung und übereinstimmenden Berichten, die Gesamtzahl dagegen aus einer bislang nicht offiziell bestätigten Angreiferbehauptung ^[4][15].

Diese Datenkategorien werden genannt

Die bisher öffentlich genannten Daten sind vor allem Identifikations- und Kommunikationsdaten. Instructure beschrieb die betroffenen Informationen laut BleepingComputer als Namen, E-Mail-Adressen, Student-ID-Nummern sowie Nachrichten zwischen Nutzern ^[4]. Weitere Berichte nennen denselben Kernumfang ^[5][6].

Dazu zählen nach aktuellem Stand insbesondere:

• Namen von Nutzern ^[4][6]
• E-Mail-Adressen ^[4][6]
• Student-ID-Nummern ^[4][6]
• Nachrichten zwischen Canvas-Nutzern ^[4][6]

Was nach aktuellem Stand nicht betroffen sein soll

SecurityPointBreak berichtet unter Berufung auf Instructure, das Unternehmen habe bislang keine Hinweise gefunden, dass Passwörter, Geburtsdaten, staatliche Kennungen oder Finanzinformationen betroffen seien ^[6]. Daily.dev fasst die bisherige Darstellung ähnlich zusammen: Passwörter, Finanzdaten und staatliche Identifikatoren seien nach aktuellem Stand nicht involviert ^[11].

Das ist trotzdem kein endgültiger Abschlussbericht. Instructure formulierte die Angaben im Rahmen einer laufenden Untersuchung; auch mehrere Berichte verweisen darauf, dass die Prüfung des Vorfalls noch andauert ^[3][4].

Wie viele Nutzer könnten betroffen sein?

Die Zahl von 275 Millionen ist der auffälligste, aber auch der unsicherste Teil der Meldung. ShinyHunters behauptet, 3,65 TB Daten entwendet zu haben; nach Darstellung der Gruppe könnten rund 275 Millionen Studierende, Lehrkräfte und weitere Mitarbeitende an fast 9.000 Bildungseinrichtungen betroffen sein ^[6][14][15].

Diese Angaben sollten als unbestätigte Angreiferbehauptung gelesen werden. SecurityWeek berichtet ausdrücklich, dass Instructure keine Details dazu veröffentlicht habe, wie viele Institutionen und Nutzer betroffen sind ^[15]. Solange Instructure oder unabhängige Untersuchungen diese Größenordnung nicht bestätigen, ist die 275-Millionen-Zahl keine verlässliche Betroffenenzählung.

Warum die genannten Daten trotzdem sensibel sind

Auch ohne bestätigten Abfluss von Passwörtern oder Finanzdaten können Namen, E-Mail-Adressen, Student-IDs und Nachrichteninhalte missbraucht werden. E-Mail-Adressen liefern einen direkten Kontaktkanal, Student-IDs können eine Zugehörigkeit zu einer Einrichtung plausibel wirken lassen, und Nachrichten zwischen Nutzern können Kontext enthalten, der Betrugs- oder Phishing-Versuche glaubwürdiger macht ^[4][6][9].

Für Canvas-Nutzer bedeutet das: Unerwartete E-Mails, Kontoprüfungsaufforderungen oder Nachrichten mit Bezug auf Schule, Hochschule oder Kurskontext sollten besonders vorsichtig geprüft werden. Öffnen Sie Canvas möglichst über bekannte Lesezeichen oder die offizielle Adresse Ihrer Einrichtung, nicht über Links aus unerwarteten Nachrichten.

Was Betroffene jetzt prüfen sollten

Wer Canvas über eine Schule, Hochschule oder andere Organisation nutzt, sollte vor allem die Mitteilungen der eigenen Einrichtung beobachten. Aus den öffentlich kursierenden Gesamtzahlen lässt sich derzeit nicht sicher ableiten, ob ein einzelnes Konto oder eine bestimmte Institution betroffen ist; Instructure spricht allgemein von Nutzern bei betroffenen Einrichtungen ^[4][15].

Sinnvolle nächste Schritte sind:

• Mitteilungen der eigenen Schule, Hochschule oder IT-Abteilung prüfen.
• Verdächtige E-Mails oder Nachrichten nicht über eingebettete Links beantworten.
• Aufforderungen zur Kontoänderung nur über bekannte, offizielle Zugänge nachvollziehen.
• Eine Passwortänderung dann priorisieren, wenn die eigene Einrichtung sie verlangt oder wenn dasselbe Passwort auch anderswo genutzt wurde; öffentlich gemeldet sind Passwörter nach bisherigem Stand aber nicht als betroffen ^[6][11].

Fazit

Gesichert ist nach der bisherigen Quellenlage ein Canvas-/Instructure-Datenvorfall mit offengelegten Nutzerdaten wie Namen, E-Mail-Adressen, Student-ID-Nummern und Nachrichten zwischen Nutzern ^[4][6]. Nicht gesichert ist die von ShinyHunters genannte Größenordnung von 3,65 TB, 275 Millionen Personen und fast 9.000 Einrichtungen; diese Zahlen bleiben unbestätigt, solange Instructure oder unabhängige Untersuchungen sie nicht verifizieren ^[6][15].