IT-Sicherheit von Klaus Kastler

Kritische Linux-Sicherheitslücke CVE-2026-31431: Was KMU jetzt wissen müssen

Eine neue kritische Sicherheitslücke im Linux-Kernel betrifft Millionen von Servern weltweit – auch viele die KMU täglich nutzen. Was steckt dahinter, sind Sie betroffen und was müssen Sie tun?

Kritische Linux-Sicherheitslücke CVE-2026-31431: Was KMU jetzt wissen müssen

Seit dieser Woche ist eine Sicherheitslücke öffentlich bekannt, die IT-Sicherheitsexperten weltweit aufhorchen lässt: CVE-2026-31431, auch bekannt unter dem Namen „Copy Fail”. Betroffen ist der Linux-Kernel – also das Herzstück von Millionen Servern, Cloud-Systemen und Hosting-Umgebungen.

Was das für Sie als Unternehmer bedeutet, ob Sie betroffen sind und was jetzt zu tun ist – hier die wichtigsten Antworten.

Was ist diese Sicherheitslücke überhaupt?

Linux ist kein Betriebssystem das man auf dem Laptop sieht, aber es läuft im Hintergrund auf einem Großteil aller Webserver, Cloud-Plattformen und Hosting-Umgebungen. Auch Ihr Website-Hosting, Ihr E-Mail-Server oder Ihre Cloud-Speicherlösung betreibt sehr wahrscheinlich Linux.

CVE-2026-31431 ist eine sogenannte Privilege Escalation-Lücke. Das bedeutet: Ein Angreifer der sich bereits Zugang zu einem System verschafft hat – zum Beispiel über ein kompromittiertes Passwort oder eine andere Schwachstelle – kann sich damit automatisch zum „Administrator” (Root) hochstufen und bekommt damit die volle Kontrolle über das System.

Die Besonderheit: Der Angriff ist erschreckend einfach. Er braucht kein Spezialwissen, keine Netzwerkverbindung von außen und funktioniert auf Standard-Konfigurationen. Der komplette Exploit-Code passt auf eine halbe Seite.

Seit wann besteht das Problem?

Die Lücke existiert in Linux-Kerneln die seit 2017 gebaut wurden. Betroffen sind unter anderem:

  • Ubuntu 24.04 LTS
  • Amazon Linux 2023
  • Red Hat Enterprise Linux 10.1
  • SUSE Linux 16

Und grundsätzlich alle gängigen Linux-Distributionen aus dem Zeitraum 2017 bis zum aktuellen Patch.

Bin ich als KMU betroffen?

Wahrscheinlich indirekt – und das ist der entscheidende Punkt.

Die meisten kleinen Unternehmen betreiben keine eigenen Server mehr. Aber fast jedes KMU nutzt Dienste die auf Linux-Servern laufen:

  • Website-Hosting (fast immer Linux)
  • Cloud-Speicher wie Nextcloud, ownCloud oder ähnliche Lösungen
  • E-Mail-Server die selbst oder vom Hoster betrieben werden
  • VPS oder Root-Server für eigene Anwendungen
  • Kubernetes und CI/CD-Pipelines in modernen Entwicklungsumgebungen

Für Sie als Unternehmer bedeutet das: Sie selbst müssen nichts am eigenen Laptop tun. Aber Sie sollten wissen ob Ihre Dienstleister und Hoster die Systeme bereits gepatcht haben.

Was kann schlimmstenfalls passieren?

Wenn ein Angreifer diese Lücke auf einem Server ausnutzt auf dem Ihre Daten liegen, hat er im schlimmsten Fall:

  • vollen Zugriff auf alle gespeicherten Dateien
  • die Möglichkeit Daten zu stehlen, zu verschlüsseln oder zu löschen
  • Zugang zu Zugangsdaten anderer Benutzer auf demselben System

Auf Shared-Hosting-Umgebungen – wo sich viele Kunden einen Server teilen – ist das Risiko besonders relevant.

Was muss jetzt getan werden?

Wenn Sie einen eigenen Linux-Server oder VPS betreiben:

Führen Sie sofort ein Kernel-Update durch. Auf Ubuntu/Debian genügt:

sudo apt update && sudo apt upgrade

Anschließend ist ein Neustart des Servers erforderlich damit der neue Kernel aktiv wird. Als sofortige Übergangslösung kann das betroffene Kernel-Modul algif_aead deaktiviert werden.

Wenn Ihr Server von einem Dienstleister betrieben wird:

Fragen Sie aktiv nach. Ein kurzes E-Mail reicht: „Ist CVE-2026-31431 auf unseren Systemen bereits gepatcht?” Jeder seriöse Hoster wird das bereits in Bearbeitung haben oder Ihnen eine klare Aussage geben können.

Wenn Sie Managed Hosting oder Cloud-Dienste nutzen:

Große Anbieter wie AWS, Azure, Google Cloud oder Hetzner patchen solche Lücken in der Regel sehr schnell – oft innerhalb von Stunden nach Bekanntwerden. Prüfen Sie die Statusseite Ihres Anbieters oder fragen Sie nach.

Was macht itweso für unsere Kunden?

Wir haben sofort nach Bekanntwerden der Lücke alle von uns betreuten Systeme geprüft und entsprechende Updates eingespielt. Kunden mit Managed-Server-Betreuung wurden bereits informiert.

Wenn Sie unsicher sind ob Ihre Systeme betroffen sind oder Sie generell Fragen zur IT-Sicherheit haben – sprechen Sie uns an. Ein kurzes Gespräch klärt meist mehr als stundenlange Recherche.

Das Wichtigste in Kürze

  • CVE-2026-31431 betrifft Linux-Server die seit 2017 im Einsatz sind
  • Ein Angreifer mit lokalem Zugang kann die volle Systemkontrolle übernehmen
  • Lösung: Kernel-Update und Neustart des Servers
  • Als KMU: Ihren Hoster oder IT-Dienstleister aktiv ansprechen
  • Eigene Server sofort aktualisieren
Anrufen Anfrage senden