Cyberangriffe auf Rekordniveau: Hightech-Kriminelle im Visier der Behörden

Im Zentrum der Angriffe: Bildungseinrichtungen, Unternehmen und Privatnutzer.

Canvas-Leak: 275 Millionen Datensätze betroffen

Der Bildungssektor erlebte Anfang Mai einen der schwersten Cyberangriffe seiner Geschichte. Am 6. Mai bestätigte Instructure, Anbieter des weltweit verbreiteten Lernmanagementsystems Canvas, einen massiven Sicherheitsvorfall. Die Hackergruppe ShinyHunters bekannte sich zu der Tat und behauptet, rund 275 Millionen Datensätze erbeutet zu haben.

Betroffen sind Schüler, Lehrer und Verwaltungsmitarbeiter von knapp 15.000 Bildungseinrichtungen weltweit – darunter renommierte Universitäten wie Harvard, Oxford und Cambridge. Instructure hat zwar Sicherheitsschlüssel ausgetauscht, der Betrieb läuft weiter. Doch das Ausmaß ist gewaltig: Auch Hochschulen in Australien und Neuseeland, etwa die University of Sydney und die University of Auckland, prüfen derzeit den Schaden. Ersten Erkenntnissen zufolge wurden Namen, E-Mail-Adressen und private Nachrichten abgegriffen – Finanzdaten und Passwörter sollen nicht betroffen sein.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Fast zeitgleich traf es die Videoplattform Vimeo. Rund 119.200 Nutzer sind betroffen. Die Angreifer nutzten eine Sicherheitslücke beim Analyse-Dienstleister Anodot. Auch hier bekannte sich ShinyHunters zu dem Angriff, nachdem ein Lösegeld-Forderung unbeantwortet blieb. Vimeo hat die Zusammenarbeit mit Anodot beendet und Strafanzeige gestellt.

Neue Malware zielt auf Krypto-Wallets

Doch nicht nur Unternehmen sind im Visier. Sicherheitsforscher entdeckten im Mai NWHStealer – eine Schadsoftware, die speziell auf digitale Geldbörsen abzielt. Die Tarnung: vermeintliche Software-Cracks oder Spieltrainer, die über die JavaScript-Laufzeitumgebung Bun verteilt werden. Einmal aktiv, kopiert der Schädling Browserdaten und Kryptowallet-Informationen auf fremde Server.

Parallel dazu läuft seit Februar eine Kampagne namens „ClickFix“ gegen macOS-Nutzer. Die Masche: Nutzer, die nach Systemlösungen suchen, landen auf manipulierten Webseiten und werden aufgefordert, Terminal-Befehle auszuführen. Die Folge: Infostealer kompromittieren iCloud-Daten und kapern beliebte Krypto-Apps wie Ledger und Trezor.

Großangriff auf Unternehmen: 13.000 Firmen in 26 Ländern

Besonders perfide: Microsoft meldete Mitte April eine großangelegte Phishing-Kampagne gegen 13.000 Unternehmen in 26 Ländern. Die Täter nutzten täuschend echte HTML-Vorlagen – etwa eine gefälschte „Verhaltensrichtlinie“ – um selbst mehrstufige Authentifizierung (MFA) zu umgehen. Das Ziel: Echtzeit-Diebstahl von Anmeldedaten und Sitzungstokens. Besonders betroffen: das Gesundheitswesen und der Finanzsektor, auf die mehr als ein Drittel der Angriffe entfiel.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen. Ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Leitfaden jetzt gratis herunterladen

Behörden schalten in den Krisenmodus

Die rasante Entwicklung zwingt die US-Sicherheitsbehörde CISA zum Umdenken. Aktuell prüft sie eine drastische Verkürzung der Frist zur Behebung kritischer Sicherheitslücken – von 14 Tagen auf nur noch 72 Stunden. Der Grund: Künstliche Intelligenz beschleunigt die Ausnutzung von Schwachstellen massiv.

Anfang Mai startete CISA zudem die Initiative „CI Fortify“. Kritische Infrastrukturbetreiber sollen Netzwerktrennungen und manuelle Wiederherstellungsübungen trainieren – für den Fall eines kompletten Internetausfalls oder der Kompromittierung von Drittanbietern.

Das FBI warnt derweil vor einer Welle von Bank-Spoofing-Angriffen. Kriminelle nutzen KI-generierte Stimmen und manipulierte Telefonnummern, um sich als Bankmitarbeiter oder Bundesbeamte auszugeben. In einem bekannten Fall verlor ein Kunde 40.000 Euro, nachdem er überredet wurde, Geld auf ein angebliches Sicherheitskonto zu überweisen. Branchendaten aus dem Jahr 2025 zeigen: Die Verluste durch Autoritätsimitation stiegen auf 798 Millionen Euro – ein Anstieg von knapp zehn Prozent.

Die Industrialisierung der Cyberkriminalität

Die aktuelle Angriffswelle bestätigt einen Trend, den Europol in seiner Lagebeurteilung für 2026 beschreibt: Cyberkriminelle agieren zunehmend wie professionelle Unternehmen. Sie nutzen spezialisierte Dienstleister für Erstzugriff, Datenanalyse und Geldwäsche.

Ein Beispiel: Die iranische Hackergruppe MuddyWater tarnte sich als Ransomware-Bande, um Spionage zu verschleiern. Unter dem Deckmantel der Chaos-Erpressergruppe stahlen die Angreifer sensible Daten aus den USA und Westeuropa – ohne jemals Dateien zu verschlüsseln. Diese „False-Flag“-Taktik erschwert die Zuordnung und erlaubt es staatlichen Akteuren, als gewöhnliche Kriminelle aufzutreten.

Auch Lieferketten bleiben eine Achillesferse. Ein Angriff auf den Softwareanbieter DAEMON Tools ab dem 8. April zeigt, wie gezielt vorgegangen wird: Trojanisierte Installer wurden über die offizielle Website verteilt. Zwar infizierte die Malware tausende Systeme, doch ein sekundärer Remote Access Trojan (RAT) wurde nur auf wenige hochkarätige Ziele in Regierung und Wissenschaft ausgespielt.

Ausblick: Der Druck auf Unternehmen wächst

Die digitale Verwundbarkeit zeigte sich bereits am 5. Mai, als die .de-Domain-Registrierungsstelle durch einen technischen Fehler bei einem Sicherheitsupdate vorübergehend lahmgelegt wurde – kein Hackerangriff, aber ein Beleg für die Fragilität des Systems.

Für Unternehmen rückt die Sicherung der Software-Lieferkette in den Fokus. Die von CISA vorgeschlagenen 72-Stunden-Patching-Zyklen dürften zum neuen Standard werden. Mit über 120 aktiven Ransomware-Groups im vergangenen Jahr und der Kombination aus KI-gestützter Sozialmanipulation und industrialisiertem Datendiebstahl wird der Druck auf IT-Abteilungen weiter steigen.

Ein erster Härtetest steht bereits bevor: Am 13. Mai veröffentlicht Palo Alto Networks kritische Sicherheitsupdates für seine Firewalls. Die Fähigkeit, von der Erkennung zur Behebung in Stunden statt Wochen zu kommen, könnte über das operative Überleben vieler Unternehmen entscheiden.

de | wissenschaft | 69286665 |