Die US-Behörde für Cybersicherheit (CISA) hat eine kritische Schwachstelle im Linux-Kernel in ihren Katalog bekannter Sicherheitslücken aufgenommen. Der Fehler mit der Bezeichnung CVE-2026-31431 – getauft auf den Namen „Copy Fail“ – ermöglicht Angreifern mit lokalem Zugriff, uneingeschränkte Root-Rechte zu erlangen. Patches sind verfügbar, doch der Fall entfacht eine grundsätzliche Debatte: Darf KI Sicherheitslücken finden – und wer erklärt sie richtig?
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen. Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Guide jetzt kostenlos herunterladen
Neun Jahre alt – und jetzt erst entdeckt
Die Schwachstelle wurde von Sicherheitsforschern der Firma Theori aufgespürt. Sie nutzten KI-gestützte Werkzeuge, um den Linux-Kernel nach jahrealten Fehlern zu durchforsten. Der Kern des Problems: Ein grundlegender Fehler in der Art, wie der Kernel bestimmte Kopiervorgänge abwickelt. Angreifer können diesen Fehler ausnutzen, um Speicherbereiche zu überschreiben und so ihre Benutzerrechte auszuweiten. Besonders brisant: Der Fehler existiert Berichten zufolge bereits seit 2017 im Kernel-Code.
Doch die Entdeckung verlief nicht ohne Reibung. Theori geriet in die Kritik wegen seiner Offenlegungspraxis. Branchenbeobachter bemängelten, dass der erste Blogbeitrag des Unternehmens stark KI-generiert wirkte – mit unklaren technischen Erklärungen. Das wirft Fragen auf: Darf man KI für die Entdeckung nutzen, aber nicht für die verständliche Aufbereitung? Die Sicherheitsbranche diskutiert nun über Qualitätsstandards bei der Meldung kritischer Lücken.
Aktive Angriffe bestätigt
Die CISA hat den Fehler in ihren Katalog aufgenommen, weil es Hinweise auf aktive Ausnutzung durch Angreifer gibt. Unternehmen müssen daher priorisiert handeln. Da die Lücke fast ein Jahrzehnt im Kernel schlummerte, sind unzählige Linux-Distributionen betroffen – von alten bis zu modernen Systemen.
Patchen im Akkord: Android und Apache ebenfalls betroffen
Die Dringlichkeit rund um „Copy Fail“ fällt in eine phase intensiver Sicherheitsupdates für grundlegende Softwarekomponenten. Anfang Mai 2026 veröffentlichte Google einen Patch für eine kritische Lücke im Android-System (CVE-2026-0073). Der Fehler im Debug-Dienst adbd ermöglicht Code-Ausführung ohne Benutzerinteraktion – besonders gefährlich, auch wenn Google keine aktiven Angriffe bestätigte.
Parallel dazu brachte die Apache Software Foundation Version 2.4.67 des Apache HTTP Servers heraus. Sie schließt fünf Sicherheitslücken. Die schwerwiegendste (CVE-2026-23918) ist ein Double-Free-Fehler in der HTTP/2-Implementierung, der ebenfalls Code-Ausführung erlaubt. Millionen Server mit Version 2.4.66 sind verwundbar. Sicherheitsexperten drängen auf sofortige Updates.
Diese geballten Meldungen zeigen: Selbst bestgepflegte Open-Source-Projekte wie der Linux-Kernel können jahrelang schwere Fehler beherbergen, bis neue Analysemethoden sie ans Licht bringen.
Datenlecks bei Sicherheitsfirmen und Bildungstechnologie
Während Infrastruktur-Schwachstellen die technische Landschaft prägten, meldeten mehrere Großunternehmen Sicherheitsvorfälle. Trellix – entstanden aus der Fusion von McAfee Enterprise und FireEye – bestätigte am 4. Mai 2026 einen unbefugten Zugriff auf eines seiner Quellcode-Repositories. Zwar gibt es keine Hinweise auf Missbrauch oder öffentliche Veröffentlichung, doch Forensiker und Strafverfolgungsbehörden wurden eingeschaltet.
Dies folgt auf einen ähnlichen Vorfall bei Checkmarx, das einen Datenleck von 96 GB aus seinem GitHub-Repository einräumte. Der Vorfall stand im Zusammenhang mit einem Supply-Chain-Angriff Ende März.
Besonders besorgniserregend: Der Bildungssoftware-Anbieter Instructure – Betreiber des Lernmanagementsystems Canvas – untersucht derzeit einen Einbruch, den die Hackergruppe ShinyHunters für sich beansprucht. Die Gruppe droht, Daten von Millionen Nutzern aus 9.000 Schools zu veröffentlichen, falls ihre Forderungen nicht erfüllt werden.
Die Angriffsmuster zeigen: Kriminelle zielen zunehmend auf Quellcode-Repositories und Bildungsplattformen – Hebel, die Zugang zu breiten Nutzerbasen oder sensiblen geistigen Eigentum verschaffen.
Deutsche Unternehmen zwischen Zuversicht und Realität
Die aktuelle Bedrohungslage trifft auf eine gemischte Vorbereitung in der Wirtschaft. Der Schwarz Digits Cyber Security Report 2026 befragte über 1.000 Unternehmen: Rund 20 Prozent wurden bereits Opfer eines Angriffs. Dennoch bewerten 65 Prozent ihre Abwehr positiv. Ein alarmierender Befund: 75 Prozent der befragten Firmen führen keine Sicherheitsaudits bei ihren Lieferanten durch.
Ein Bericht von Beazley zeigt hohes Vertrauen deutscher Führungskräfte: 80 Prozent glauben, gut vorbereitet zu sein, 75 Prozent erwarten eine vollständige finanzielle Erholung nach einem Angriff. Doch diese Zuversicht trügt. Ein World Economic Forum Report vom Mai 2026 in Zusammenarbeit mit KPMG ergab: 94 Prozent der Cybersicherheitsverantwortlichen sehen KI als Haupttreiber der sich verändernden Bedrohungslage. Zwar nutzen 77 Prozent der Organisationen KI für ihre eigene Verteidigung – doch Angreifer verwenden dieselbe Technologie, um überzeugendere Phishing-Kampagnen zu entwickeln und Schwachstellen wie „Copy Fail“ zu entdecken.
Regulatorische Entwicklungen: Haftung und neue Gesetze
Während technische Lücken durch Patches geschlossen werden, verändert sich auch die rechtliche Landschaft. Anfang Mai 2026 wurde ein Mitglied der berüchtigten Conti-Ransomware-Gruppe verurteilt: Der Lette Deniss Zolotarjovs erhielt 102 Monate Haft. Die Gruppe hatte Schäden von über 56 Millionen Euro verursacht und unter anderem gestohlene Gesundheitsdaten von Kindern zur Erpressung genutzt.
Auf EU-Ebene prüft die Europäische Kommission derzeit die Auswirkungen neuer Hochleistungs-KI-Modelle wie Anthropics „Mythos“. EU-Beamte befürchten, dass diese Modelle Code-Schwachstellen noch effizienter finden könnten – mit potenziellen Risiken für die Stabilität des Bankensektors. Die Umsetzung des EU AI Acts bleibt indes holprig. Zwar wurden Vereinbarungen getroffen, Hochrisiko-Verpflichtungen für bestimmte Produkte bis 2027/2028 zu verschieben – doch verpasst man die aktuellen „Digital Omnibus“-Fristen, könnten strenge Auflagen bereits im August 2026 greifen.
Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen auf den AI Act vorbereitet? Dieser kostenlose Leitfaden verschafft Ihnen den Überblick über Fristen und Risikoklassen, den Ihre IT-Abteilung jetzt dringend braucht. EU-KI-Verordnung: Jetzt kostenloses E-Book sichern
Für Unternehmen mit Linux-Infrastruktur zählt jetzt nur eines: CVE-2026-31431 schließen. Die Kombination aus jahrealtern Code und modernen KI-Entdeckungswerkzeugen hat eine neue Ära der Dringlichkeit für Systemadministratoren eingeläutet.
