Die als CVE-2026-41940 registrierte Schwachstelle ermöglicht Angreifern die vollständige Übernahme betroffener Server – und wird bereits aktiv ausgenutzt.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen: Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Leitfaden für Unternehmen jetzt gratis herunterladen
Mit einem CVSS-Wert von 9,8 (von maximal 10) stuften Sicherheitsexperten die Lücke als kritisch ein. Sie erlaubt es Angreifern, die Anmeldeprozesse des cpsrvd-Dienstes zu umgehen. Ein manipulierte Anfrage mit CRLF-Injection (Wagenrücklauf-Zeilenumbruch) genügt, um die Sitzungsverwaltung zu überlisten.
Forscher von Rapid7 und Shodan identifizierten rund 1,5 Millionen cPanel-Instanzen, die über das Internet erreichbar sind. Betroffen sind alle unterstützten Versionen ab cPanel 11.40 sowie die WP-Squared-Plattform.
Angreifer waren Monate vor den Entwicklern informiert
Die US-amerikanische Cybersicherheitsbehörde CISA nahm den Fehler Ende April in ihren Katalog bekannter ausgenutzter Schwachstellen auf. Besonders brisant: Der Hosting-Anbieter KnownHost beobachtete erste Exploit-Versuche bereits am 23. Februar – lange vor der offiziellen Veröffentlichung des Sicherheitsupdates.
Große Hosting-Anbieter wie Namecheap und HostGator haben inzwischen Notfall-Updates eingespielt. Namecheap sperrte vorsorglich die Ports 2083 und 2087, bis die vollständige Bereinigung der Infrastruktur abgeschlossen war.
Die Zeit zwischen Entdeckung und Angriff schrumpft auf Stunden
Der schnelle Angriff auf cPanel ist kein Einzelfall. Der FortiGuard Labs Global Threat Landscape Report 2026 zeigt: Die durchschnittliche Zeitspanne zwischen Bekanntwerden einer Lücke und ihrem ersten aktiven Exploit (Time-to-Exploit) ist auf 24 bis 48 Stunden gesunken. In manchen Fällen vergehen nur Stunden.
Die Ursache: die Industrialisierung der Cyberkriminalität. Angreifer nutzen KI-gestützte Werkzeuge wie WormGPT, FraudGPT oder HexStrike AI, um Schwachstellen automatisiert zu finden und Phishing-Kampagnen zu erstellen. Diese Tools senken die Einstiegshürde für weniger erfahrene Täter drastisch.
Die Zahlen belegen den Trend: 7.831 bestätigte Ransomware-Opfer im Jahr 2025 – ein Anstieg von fast 390 Prozent im Vergleich zu früheren Jahren. Die aktivsten Gruppen – Qilin, Akira und Safepay – haben ihre Taktiken verfeinert und zielen gezielt auf Fertigung, Einzelhandel und Unternehmensdienstleistungen.
KI-gestützte Abwehr geht in die öffentliche Beta
Die Sicherheitsbranche schlägt zurück. Am 30. April 2026 startete Anthropic die öffentliche Beta von „Claude Security“ für Unternehmenskunden. Das Tool scannt automatisch Software-Repositories nach Schwachstellen, bewertet deren Schwere und generiert funktionsfähige Patches.
Claude Security basiert auf dem Modell Claude Opus 4.7 und arbeitet ohne komplexe API-Integrationen. Partnerschaften mit CrowdStrike, Microsoft Security, Palo Alto Networks, SentinelOne und TrendAI sollen die automatisierten Patches in bestehende Sicherheitssysteme einbinden.
Doch die schnelle Hinwendung zu KI-gestützter Sicherheit birgt auch Risiken. Oracle warnte seine Kunden, dass Modelle wie Anthropics „Mythos“ die Kosten für das Auffinden von Schwachstellen drastisch gesenkt hätten. Der Konzern empfahl ein Upgrade auf Oracle Database 26ai, um von cloudbasierten automatischen Patch-Umgebungen zu profitieren.
Deutschland verschärft Regeln für vernetzte Produkte
Die Politik reagiert. Das Bundeskabinett verabschiedete am 30. April 2026 die Umsetzung des Cyber Resilience Act (CRA). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird zur zentralen Marktüberwachungs- und Meldebehörde für vernetzte Produkte.
Ab September 2026 müssen Unternehmen aktiv ausgenutzte Schwachstellen melden. Das BSI erhält dafür 95 neue Stellen in diesem Jahr, bis 2029 sollen 141 zusätzliche Mitarbeiter folgen. Zehn Millionen Euro sind für ein „Cyber Resilience Lab“ eingeplant, das Unternehmen bei der Umstellung unterstützen soll.
Systemische Schwachstelle in der digitalen Lieferkette
Die Häufung der Krisen – cPanel, die Linux-Kernel-Lücke CVE-2026-31431 („Copy Fail“) und der ConnectWise ScreenConnect-Exploit CVE-2026-32202 – offenbart eine systemische Schwachstelle. Der Linux-Fehler, der unprivilegierten Nutzern Root-Zugriff auf Distributionen wie Ubuntu und Red Hat ermöglicht, schlummerte acht Jahre im Kernel. Ein winziges Exploit-Skript von nur 732 Byte reichte aus, um ihn auszunutzen.
Plattformen wie Bluekit bieten inzwischen „Phishing-as-a-Service“ an – mit KI-Assistenten und Vorlagen für Dienste wie Outlook und GitHub. Microsoft registrierte allein im ersten Quartal 2026 8,3 Milliarden E-Mail-Phishing-Bedrohungen, darunter einen Anstieg von 146 Prozent bei QR-Code-basierten Angriffen.
Rekord-Schäden durch Phishing zeigen, dass technische Filter allein nicht ausreichen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich durch gezielte Awareness-Kampagnen wirksam vor den psychologischen Tricks der Hacker schützen kann. Anti-Phishing-Paket kostenlos anfordern
Ausblick: Das Rennen zwischen Angriff und Abwehr
Für IT-Abteilungen wird die Reduzierung der Time-to-Patch zur Überlebensfrage. Millionen cPanel-Administratoren müssen die Sicherheitsupdates vom 28. April umgehend einspielen. Besonders gefährdet sind Betreiber von On-Premises-Installationen, die nicht von automatischen Cloud-Updates profitieren.
Der Erfolg von Werkzeugen wie Claude Security wird zeigen, ob KI in der Verteidigung skalierbar ist. Doch die jüngste Signal-Phishing-Kampagne, bei der rund 300 Konten deutscher Politiker und Militärangehöriger kompromittiert wurden, beweist: Die menschliche Komponente bleibt die größte Schwachstelle – und Technologie allein wird sie nicht schließen können.
