Fehler, Datenschutzverletzungen, Nachrichten

Ein aktiv ausgenutzter cPanel-Fehler setzt Millionen von Websites der Gefahr einer Übernahme aus

von Pieter Arntz | 1. Mai 2026
kompromittierte Server

Sicherheitsforscher warnen vor einer neu entdeckten Sicherheitslücke in der weit verbreiteten Webserver-Verwaltungssoftware cPanel und WebHost Manager (WHM). 

Es handelt sich hierbei um eine kritische Sicherheitslücke in cPanel/WHM, die aktiv ausgenutzt wird und es Angreifern ermöglicht, ohne Anmeldedaten Administratorzugriff auf die Benutzeroberfläche zu erlangen und möglicherweise die Kontrolle über Server und alle darauf gehosteten Websites zu übernehmen.

Die Sicherheitslücke mit der Kennung CVE-2026-41940 wurde von der Cybersecurity and Infrastructure Security Agency (CISA) in den Katalog der bekanntermaßen ausgenutzten Sicherheitslücken aufgenommen, was bedeutet, dass es Hinweise darauf gibt, dass sie bei realen Angriffen genutzt wird.

Da cPanel/WHM weltweit von über einer MillionWebsites genutzt wird, darunter Banken und Gesundheitsorganisationen, sind die potenziellen Auswirkungen enorm. Einfach ausgedrückt kann dieser Fehler wie ein Schlüssel zur Hintertür für einen großen Teil der Hosting-Infrastruktur im Internet wirken.

cPanel veröffentlichte am 28. April 2026 Sicherheitspatches und forderte alle Kunden und Hosting-Anbieter nachdrücklich auf, die Aktualisierung durchzuführen. Demnach sind alle unterstützten Versionen ab 11.40 betroffen, einschließlich DNSOnly und WP Squared.

Hosting-Anbieter wie Namecheap, HostGator und KnownHost haben den Zugriff auf cPanel-Oberflächen während der Fehlerbehebung vorübergehend gesperrt, da sie dies als kritische Sicherheitslücke bei der Authentifizierung einstuften und von Exploit-Versuchen berichteten, die bis Ende Februar 2026 zurückreichen.

Wie man sicher bleibt

Zwar liegt es in der Verantwortung der Hosting-Anbieter und Website-Betreiber, Sicherheitslücken so schnell wie möglich zu schließen, doch gibt es Möglichkeiten, das Risiko zu verringern, falls eine von Ihnen genutzte Website kompromittiert wird.

Wie immer sollten Sie die Daten, die Sie an Websites weitergeben, auf das absolut Notwendige beschränken. Daten, die diese nicht haben, können auch nicht gestohlen werden.

Wenn Sie bei einem Online-Händler bestellen, aktivieren Sie nicht das Kontrollkästchen zum Speichern Ihrer Kartendaten für zukünftige Einkäufe, da diese dann auf dem Server gespeichert werden.

Wenn es die Möglichkeit gibt, als Gast zu bezahlen, nutze sie. Dadurch werden weniger personenbezogene Daten mit einem Konto verknüpft.

Verwenden Sie Passwörter nicht mehrfach. Wenn eine Website gehackt wird, führt die Verwendung derselben Zugangsdaten an mehreren Stellen dazu, dass mehrere Konten gleichzeitig kompromittiert werden. Ein Passwort-Manager kann Ihnen dabei helfen, komplexe, einzigartige Passphrasen zu erstellen und diese für Sie zu speichern.

Bezahlen Sie nach Möglichkeit mit Kreditkarte. In vielen Regionen bietet Ihnen dies einen besseren Schutz vor Betrug.

Personal Data Remover

Ihre Daten stehen wahrscheinlich bereits zum Verkauf. 

Wenn eine Website, der Sie vertrauen, gehackt wird

Wenn Sie glauben,von einer Datenpanne betroffen zu sein, ergreifen Sie bitte folgende Maßnahmen:

  • Befolgen Sie die Anweisungen des Unternehmens.Jeder Verstoß ist anders, daher sollten Sie sich beim Unternehmen erkundigen, was passiert ist, und die spezifischen Anweisungen befolgen, die es Ihnen gibt.
  • Ändern Sie Ihr Passwort. Sie können ein gestohlenes Passwort für Diebe unbrauchbar machen, indem Sie es ändern. Wählen Sie ein sicheres Passwort, das Sie für nichts anderes verwenden. Besser noch: Lassen Sie einen Passwort-Manager ein Passwort für Sie auswählen.
  • Aktivieren Siedie Zwei-Faktor-Authentifizierung (2FA).Verwenden Sie nach Möglichkeit einen FIDO2-kompatiblen Hardware-Schlüssel, Laptop oder ein Smartphone als zweiten Faktor. Einige Formen der 2FA können genauso leicht wie ein Passwort gehackt werden, aber eine 2FA, die auf einem FIDO2-Gerät basiert, kann nicht gehackt werden.
  • Hüten Sie sich vor Betrügern.Die Diebe könnten Sie unter dem Deckmantel der gehackten Plattform kontaktieren. Überprüfen Sie auf der offiziellen Website, ob diese die Opfer kontaktiert, und überprüfen Sie die Identität aller Personen, die Sie über einen anderen Kommunikationskanal kontaktieren.
  • Nehmen Sie sich Zeit. Phishing-Angriffe geben sich oft als Personen oder Marken aus, die Sie kennen, und verwenden Themen, die dringende Aufmerksamkeit erfordern, wie verpasste Lieferungen, Kontosperrungen und Sicherheitswarnungen.
  • Speichern Sie Ihre Kartendaten nicht. Es ist zwar bequemer, wenn Websites Ihre Kartendaten speichern, aber das Risiko steigt, wenn ein Händler Opfer eines Datenlecks wird.
  • Richten Sieeine Identitätsüberwachung ein, die Sie benachrichtigt, wenn Ihrepersönlichen Datenillegal online gehandelt werden, und Ihnen dabei hilft, die Folgen zu bewältigen.

Was wissen Cyberkriminelle über Sie?

Verwenden Sie den kostenlosen Digital Footprint Scan Malwarebytes, um zu überprüfen, ob Ihre persönlichen Daten online offengelegt wurden.

Über den Autor

Pieter Arntz

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.

NEUESTE ARTIKEL

Wanzen
Microsoft-Logo

Patch Tuesday im Mai 2026: keine Zero-Day-Schwachstellen, aber viel zu beheben

Mai 13, 2026

Der „Patch Tuesday“ im Mai ist vielleicht nicht das große Update, das viele erwartet haben, aber es gibt dennoch zahlreiche wichtige Korrekturen, die man nicht ignorieren sollte.

Nachrichten
Claude-Logo

Gefälschte Suchergebnisse zu „Claude“ locken Mac in eine ClickFix-Attacke

Mai 12, 2026

Forscher haben eine ClickFix-Kampagne entdeckt, bei der gefälschte Claude-Einrichtungsanleitungen verwendet werden, um Mac dazu zu verleiten, sich selbst zu infizieren.

Nachrichten
Eine Gruppe junger Menschen, die glücklich aussehen

Gestohlene Canvas-Daten wurden nach hacker „zurückgegeben“, so Instructure

Mai 12, 2026

Instructure gibt an, dass die gestohlenen Canvas-Daten, von denen Millionen von Studierenden und Mitarbeitern betroffen waren, „zurückgegeben“ worden seien. So funktionieren Datenschutzverletzungen aber nicht.

Verwandte Artikel

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug