
KW 18/2026: Linux-Root-Exploit & Backup-Chaos
Wenn ich diese Woche die Security-Updates durchgehe, sehe ich ein Muster, das fast schon ironisch wirkt: Während Linux-Server über eine frisch ausgenutzte „Copy Fail“-Schwachstelle kompromittiert werden, kämpfen Windows-Systeme mit Update-bedingten Backup-Ausfällen – und in der Mitte hängt MOVEit Automation mit einer kritischen Authentifizierungs-Bypass-Lücke. Klingt nach einem wilden Mix? Vielleicht. Aber im Kern geht es bei allen drei Fällen um dasselbe Thema: Vertrauen in grundlegende Systemkomponenten, das aktuell kräftig erschüttert wird.
Linux unter Beschuss: Die „Copy Fail“-Lücke wird aktiv ausgenutzt
CISA hat diese Woche offiziell bestätigt, dass die als „Copy Fail“ bezeichnete Linux-Schwachstelle aktiv ausgenutzt wird. Kurz nachdem Sicherheitsforscher einen Proof of Concept veröffentlicht hatten, sind auch erste Angriffe beobachtet worden. Die Lücke ermöglicht es Angreifern, auf betroffenen Systemen Root-Rechte zu erlangen – also die vollständige Kontrolle. Laut BleepingComputer betrifft das zahlreiche Linux-Distributionen, insbesondere dort, wo Kernel- und Copy-Mechanismen nicht aktuell sind.
Technisch ist der Fehler interessant, weil er im Zusammenspiel von Nutzer- und Kernel-Speicherverwaltung entsteht. Ein unzureichender Copy-on-Write-Mechanismus kann dazu führen, dass privilegierte Speicherbereiche überschrieben werden – letztlich ein moderner Klassiker unter den Linux-Exploit-Szenarien. Dass Angreifer das nun praktisch nutzen, überrascht ehrlich gesagt niemanden, der länger in der Security arbeitet. Sobald ein Proof of Concept öffentlich wird, ist das Zeitfenster bis zu den ersten realen Angriffen extrem kurz. Genau das sehen wir hier.
Aus meiner Sicht besonders kritisch: Viele Administratoren unterschätzen, wie stark Serverlandschaften fragmentiert sind. Im Rechenzentrum stehen noch etliche Systeme, die aus Kompatibilitätsgründen auf Kerneln laufen, die man seit Jahren nicht mehr upgedatet hat. Wenn man da jetzt „Copy Fail“ hört, klingt das nicht nach einer fernen Gefahr, sondern nach einer konkreten Einladung für Angreifer. Meine klare Empfehlung: Jetzt patchen, Logs prüfen und gegebenenfalls auch nach Indicators of Compromise suchen – bevor man das Root-Passwort via Syslog erfährt.
MOVEit Automation: Kritische Authentifizierungs-Bypass-Lücke
Als wäre das für Administratoren nicht schon genug, hat Progress Software für MOVEit Automation eine besonders unangenehme Nachricht veröffentlicht: Eine Authentifizierungs-Bypass-Schwachstelle in der beliebten Managed-File-Transfer-Software erlaubt unberechtigtem Zugriff auf interne Prozesse. Im Klartext: Angreifer können sich unter Umständen ohne gültige Anmeldedaten in MOVEit-Automationsprozesse einklinken und Dateien manipulieren oder herausziehen.
Laut BleepingComputer ist bereits ein Patch verfügbar, und Progress ruft zur sofortigen Installation auf. Besonders spannend finde ich den Hintergrund: MOVEit stand schon 2023 im Fokus großflächiger Angriffe – damals wegen eines anderen Exploits in der MFT-Komponente. Dass man jetzt wieder an einem Auth-Bypass hängt, zeigt, wie verwundbar komplexe Automationssysteme sind. Es reicht nicht, sie einmal abzusichern; jede Aktualisierung, jeder Integrationspunkt mit Drittsoftware muss neu bewertet werden.
Was mich dabei immer wieder wundert: Wie viele Unternehmen MOVEit (oder ähnliche Lösungen) noch ohne klar definiertes Patch-Management betreiben. In der Aachener Region sehe ich häufig MFT-Setups, die in die Produktionskette eingebunden sind – etwa zwischen Automotive-Zulieferern und OEMs. Wenn da jemand unbemerkt Zugriff erhält, geht es schnell um mehr als nur „Datentransfer“. Wir reden über Lieferdaten, CAD-Dateien, manchmal sogar Produktionsparameter. Und wer glaubt, dass solche Systeme intern sicher hinter Firewalls laufen, hat die Realität der vernetzten Fertigung 2026 noch nicht ganz verstanden.
Die Ironie dabei: MOVEit wird eingesetzt, um Sicherheit und Nachvollziehbarkeit im Datei-Transfer zu schaffen – und genau dieses Sicherheitsniveau wird jetzt durch den Auth-Bypass unterlaufen. Ehrlich gesagt sollte das für jedes Team ein Warnsignal sein, die eigenen Automations- und MFT-Prozesse zu auditieren, bevor das nächste Zero-Day durch die Tür kommt.
Microsoft-Update blockiert Backup-Software
Der dritte Vorfall dieser Woche kommt von Microsoft – und er hat ebenfalls das Potenzial, für Kopfschmerzen in IT-Abteilungen zu sorgen. Nach den April-Updates 2026 melden zahlreiche Unternehmen Ausfälle bei Drittanbieter-Backupsoftware. Ursache ist der Treiber psmounterex.sys, der von vielen Backup-Lösungen verwendet wird, um Systemabbilder oder Volume-Snapshots bereitzustellen. Durch eine Sicherheitsänderung in Windows wird dieser Treiber jetzt blockiert. Resultat: Backups laufen fehlerhaft oder brechen komplett ab.
Microsoft hat die Ursache bestätigt und arbeitet an einer Lösung. In der Zwischenzeit sollen Administratoren prüfen, ob Workarounds oder Rollbacks erforderlich sind. What could possibly go wrong, wenn ausgerechnet das Update, das Sicherheit verbessern soll, die Datensicherung lahmlegt? Die Ironie ist schwer zu übersehen.
Aus technischer Sicht geht es hier um eine Änderung in der Kernel-Treiber-Signaturprüfung. Microsoft hat den Zugriff restriktiver gestaltet, um Schadsoftware einzudämmen, die sich über manipulierte Backuptreiber persistiert. An sich kein schlechter Ansatz – aber in der Praxis steht nun die Backup-Integrität auf der Kippe. Und wer schon einmal versucht hat, ein nicht funktionierendes Backup im Ernstfall wiederherzustellen, weiß, dass es da keine Second Chance gibt.
In NRW und besonders in der Aachener Region, wo viele Mittelständler auf Backup-Lösungen von Drittanbietern für Business Continuity setzen, ist das ein ernstes Thema. Ich kenne mehrere Unternehmen, die genau jetzt ihre Wiederherstellung testen sollten – nicht, weil sie Angst haben müssen, sondern weil Vertrauen in Backups immer überprüfbar sein muss.
Was jetzt zu tun ist
Aus diesen drei Vorfällen lassen sich klare Prioritäten ableiten. Erstens: Betriebssysteme patchen, sobald Sicherheitslücken wie „Copy Fail“ öffentlich werden. Es geht hier nicht um Komfort, sondern um Kompromittierungsprävention. Zweitens: MOVEit-Automation-Installationen müssen überprüft und sofort aktualisiert werden, gerade wenn sie öffentlich zugänglich sind oder Schnittstellen ins Produktionsnetz haben. Und drittens: Backup-Strategien überdenken. Wenn Updates Funktionsstörungen hervorrufen, braucht man getestete Notfallpläne, nicht nur Dokumentation auf Papier.
Ich sehe in der Praxis, dass viele Administratoren angesichts solcher Wochen versucht sind, Security-Prioritäten zu verschieben. Das ist gefährlich. Sicherheitsupdates zu verschieben, weil das Backup gerade nicht funktioniert, erhöht nur das Risiko eines Totalverlusts. Umgekehrt ist ein Backup ohne funktionierendes Recovery-Konzept ebenso sinnlos. Es braucht ein Konzept, das Patching, Monitoring und Wiederhertests integriert – kein Entweder-oder.
Für Unternehmen in Aachen, Eschweiler oder der Städteregion, die stark von vernetzten Infrastrukturen abhängen, gilt: Diese Themen sind keine Randnotizen. Ein Root-Exploit auf einem Linux-Server kann Produktionsdaten kompromittieren, eine MOVEit-Lücke kann vertrauliche Lieferketteninformationen offenlegen, und ein fehlerhaftes Backup kann verhindern, dass nach einem Cyberangriff wiederhergestellt wird. Das sind keine hypothetischen Probleme – sondern reale Schwachstellen in der täglichen Arbeit.
Mein Fazit
Diese Woche zeigt, wie eng technische Detailprobleme und strategische Sicherheitsentscheidungen zusammenhängen. Angreifer werden nicht kreativer – sie werden präziser. Sie nutzen das, was ohnehin da ist: ungestopfte Lücken, zu spät getestete Updates, schlecht überwachte Automationsprozesse. Die Verteidiger hingegen jonglieren zwischen Patch-Management, Betriebsverfügbarkeit und Compliance.
Die gute Nachricht: Jedes dieser Probleme ist technisch lösbar. Die schlechte: Es kostet Zeit und Disziplin. Security ist kein Sprint, sondern ein Dauerlauf – und wer sich auf „wird schon gutgehen“ verlässt, hat das Ziel schon verfehlt.
Wenn Sie sich fragen, ob Ihre Systeme von diesen Themen betroffen sind oder wie Sie stabile Update- und Backup-Prozesse etablieren können, sprechen Sie mich an. Ein ehrliches Security-Review kostet weniger, als ein einziger ungeplanter Ausfall im Produktionsbetrieb – und erspart Ihnen im Zweifel eine sehr unangenehme Woche wie diese.

Über den Autor
Ahmet Sanli
IT-Berater & Webentwickler mit Fokus auf IT-Security, Cloud-Infrastruktur und Digitalisierung. Ahmet berät Unternehmen in der Städteregion Aachen und deutschlandweit zu sicheren IT-Lösungen und schreibt wöchentlich über aktuelle Cyber-Bedrohungen und Schutzmaßnahmen.
Haben Sie Fragen zu diesem Thema?
Jetzt Kontakt aufnehmen