Warum gerade über 8.600 deutsche Server betroffen sind
Stell dir vor, ein zentraler Baustein deiner Automatisierung, der überall bei Workflows, API-Verknüpfungen und sogar KI-Orchestrierung sitzt, hat eine Schwachstelle, über die Angreifer vollen Serverzugriff bekommen. Ohne Passwörter, ohne extra Anmeldung, einfach so. Genau das trifft die Ni8mare-Sicherheitslücke in n8n, der beliebten Open-Source-Workflow-Plattform. Die Lücke ist real, sie ist ernst, und sie betrifft auch Hunderte deutsche Server.
Was ist passiert? Die Ni8mare-Lücke im Detail
Die Sicherheitslücke, offiziell als CVE-2026-21858 bezeichnet und von Forschern unter dem Namen Ni8mare veröffentlicht, stellt einen der schwerwiegendsten Softwarefehler des Jahres dar:
Was ist n8n?
n8n ist eine Open-Source-Plattform, mit der Unternehmen komplexe Automatisierungs-Workflows zwischen Tools, APIs und Services erstellen können, oft ganz ohne klassische Programmierung. Gerade im KI-Umfeld hat n8n wegen seiner Flexibilität stark an Bedeutung gewonnen.
Was steckt hinter Ni8mare?
Ni8mare ist eine kritische Remote-Code-Execution-Schwachstelle (RCE), die es einem unauthentifizierten Angreifer ermöglicht, beliebige Dateien auf einem n8n-Server auszulesen und im weiteren Verlauf vollständige Kontrolle über die betroffene Instanz zu erlangen, ganz ohne Login oder gültige Zugangsdaten. Ursache ist eine fehlende Validierung von Content-Type-Headern bei Formular- und Webhook-Anfragen, wodurch sogenannte Content-Type-Confusion-Angriffe möglich werden.
Was bedeutet das in der Praxis?
Angreifer können:
- Serverdateien auslesen – etwa Konfigurationen, Datenbanken oder Schlüssel.
- Administrator-Sitzungen fälschen und so legitimen Zugriff vortäuschen.
- beliebigen Code ausführen und die Kontrolle über das System übernehmen.
Damit droht nicht nur Datenverlust, sondern auch die Ausweitung des Angriffs auf andere Systeme im Netzwerk.
Wie groß ist das Problem auch in Deutschland?
Die Shadowserver Foundation hat umfangreiche Scans durchgeführt und festgestellt, dass weltweit rund 59.000 n8n-Server im Internet erreichbar und anfällig sind. Deutschland ist davon mit etwa 8.600 Servern betroffen. Einige dieser Systeme wurden bereits gepatcht oder vom Netz genommen, doch viele laufen weiterhin ohne Schutz.
Was bedeutet das für Admins und Sicherheitsteams?
Die gute Nachricht: Ein Patch existiert bereits. n8n hat die Schwachstelle am 18. November 2025 in Version 1.121.0 behoben.
Dein To-Do:
✔️ Unverzüglich auf n8n 1.121.0 oder neuer upgraden.
✔️ Internet-exponierte Instanzen hinter Firewalls schützen.
✔️ Workflows auditieren und ungewöhnliche Zugriffe überwachen.
✔️ API-Keys und Token rotieren, wenn ein Server zuvor erreichbar war.
Administrator:innen sollten außerdem prüfen, ob andere kürzlich veröffentlichte n8n-Schwachstellen (wie weitere CVEs, die das BSI/CERT-Bund identifiziert hat) ihre Systeme betreffen und entsprechend reagieren.
Warum Ni8mare ein Weckruf ist
Ni8mare ist keine theoretische Sicherheitslücke, sie ist real, aktiv im Umlauf und brandgefährlich. Besonders Organisationen, die n8n im produktiven Einsatz haben, müssen jetzt handeln:
Ignoriere dieses Risiko nicht. Automatisierungsplattformen wie n8n verknüpfen Daten, Services und – im KI-Kontext – oft sensible Geschäftsprozesse. Eine Kompromittierung kann ein Einfallstor in die gesamte Infrastruktur werden.
Patch sofort, überwache deine Instanzen und nimm Automatisierungssicherheit genauso ernst wie andere IT-Security-Bereiche.
Hinweis: Dieser Artikel enthält Inhalte, die mit Unterstützung eines KI-Systems erstellt wurden. Die Inhalte wurden anschließend von einem Menschen mit Hinweis: Dieser Artikel enthält Inhalte, die mit Unterstützung eines KI-Systems erstellt wurden. Die Inhalte wurden anschließend von einem Menschen mit ❤️ überprüft und bearbeitet, um Qualität und Richtigkeit sicherzustellen.