Die Chefin eines mittelständischen Großhandels erzählte mir kürzlich begeistert von ihrem neuen Automatisierungs-Tool: „Endlich können meine Mitarbeiter selbst Workflows bauen, ohne dass sie programmieren müssen!“ Zwei Wochen später: Panik. Die eingesetzte Plattform n8n steht wegen kritischer Sicherheitslücken in den Schlagzeilen. Über 100.000 Server weltweit sind betroffen. Die Bewertung: 10,0 von 10 Punkten – schlimmer geht es nicht.
Was ist passiert? Und warum sollten Sie als Unternehmer davon wissen, auch wenn Sie selbst kein n8n einsetzen? Dieser Vorfall zeigt exemplarisch, warum „moderne“ Software nicht automatisch sicher ist – und warum die vermeintlich einfache „Do-it-yourself“-Digitalisierung schnell zum Risiko wird.
Was ist n8n – und warum ist es so populär?
n8n ist eine sogenannte No-Code-Automatisierungsplattform. Vereinfacht gesagt: Software, mit der auch Menschen ohne Programmierkenntnisse komplexe Abläufe erstellen können. Per Drag-and-Drop verbinden Sie verschiedene Programme miteinander – etwa Ihr E-Mail-Postfach mit der Buchhaltungssoftware, Ihren Webshop mit dem Warenwirtschaftssystem oder Kundendaten mit einer KI-Anwendung.
Das deutsche Startup n8n hat in den letzten Jahren einen beeindruckenden Aufstieg hingelegt. Mit über 100 Millionen Downloads und einer Bewertung von 2,5 Milliarden US-Dollar gehört die Plattform zu den beliebtesten Automatisierungswerkzeugen weltweit. Besonders im Mittelstand erfreut sich n8n großer Beliebtheit: Endlich kann die Buchhaltung selbst einen Workflow bauen, ohne die teure IT-Abteilung zu bemühen.
Genau diese Popularität macht die aktuelle Sicherheitskrise so brisant.
„Ni8mare“: Eine Sicherheitslücke mit Maximalwertung
Anfang Januar 2026 veröffentlichte die Sicherheitsfirma Cyera Details zu einer kritischen Schwachstelle in n8n. Der dramatische Name „Ni8mare“ (eine Wortspielerei aus „n8n“ und „Nightmare“, also Alptraum) ist dabei kein Marketing-Gag, sondern durchaus gerechtfertigt. Die Schwachstelle trägt die offizielle Bezeichnung CVE-2026-21858 und erhielt eine CVSS-Bewertung von 10,0 – die maximal mögliche Einstufung.
Was bedeutet das konkret? Angreifer können ohne Benutzername und Passwort auf n8n-Server zugreifen, beliebige Dateien auslesen und im schlimmsten Fall die komplette Kontrolle über das System übernehmen. Besonders perfide: Die Schwachstelle lässt sich über harmlos wirkende Webformulare ausnutzen. Ein Bewerbungsformular auf der Unternehmenswebsite, ein Kontaktformular für Kundenanfragen – alles potenzielle Einfallstore.
Noch kritischer wird es, wenn man bedenkt, was typischerweise in n8n gespeichert ist: API-Zugänge zu Cloud-Diensten, Datenbank-Passwörter, OAuth-Token für Microsoft 365 oder Google Workspace, Zugangsdaten zu Bezahlsystemen. n8n ist oft der zentrale Knotenpunkt der digitalen Infrastruktur – und damit ein goldenes Ziel für Cyberkriminelle.
Das eigentliche Problem: Verkettung macht’s möglich
Die Situation verschlimmert sich, wenn man die Sicherheitslücke nicht isoliert betrachtet. Neben „Ni8mare“ wurden drei weitere kritische Schwachstellen in n8n entdeckt. Besonders brisant: CVE-2025-68613, „nur“ mit 8,8 Punkten bewertet. In Kombination mit „Ni8mare“ ermöglicht sie Remote Code Execution – also die vollständige Fernsteuerung des betroffenen Servers.
Ein Proof-of-Concept-Exploit, also eine Anleitung wie der Angriff funktioniert, ist bereits öffentlich verfügbar. Das senkt die Hürde für Angreifer dramatisch. Man muss kein Hacker-Genie mehr sein, um die Schwachstelle auszunutzen.
Nach Schätzungen der Internet-Überwachungsorganisation Shadowserver waren Mitte Januar noch knapp 60.000 verwundbare n8n-Instanzen online erreichbar. Allein in Deutschland und Europa über 21.000 Server. Viele davon gehören mittelständischen Unternehmen, die n8n für ihre Automatisierung einsetzen.
Was KMUs aus diesem Vorfall lernen sollten
„Betrifft mich nicht, wir nutzen kein n8n“ – das mag sein. Aber der Vorfall illustriert drei fundamentale Probleme, die viele Unternehmen betreffen:
Problem 1: No-Code ist nicht automatisch sicher. Die einfache Bedienung suggeriert, dass auch die Sicherheit „einfach“ ist. Das Gegenteil ist der Fall. Hinter der grafischen Oberfläche läuft komplexe Software mit potenziellen Sicherheitslücken. In unserem Beratungsalltag erleben wir immer wieder: Ein Mitarbeiter richtet in bester Absicht eine Automatisierung ein, vergisst aber grundlegende Sicherheitsaspekte. Das Formular auf der Website hat keine Zugangsbeschränkung, sensible Daten werden unverschlüsselt übertragen, oder – wie bei n8n – die Software selbst hat eine Lücke.
Problem 2: Updates bleiben liegen. n8n hat die Sicherheitslücken bereits im November 2025 gefixt – in Version 1.121.0. Trotzdem waren Wochen später noch zehntausende verwundbare Systeme online. Warum? Weil niemand das Update eingespielt hat. Bei einem Handwerksbetrieb mit 15 Mitarbeitern gibt es oft keine IT-Abteilung, die sich um solche Updates kümmert. Der Geschäftsführer weiß vielleicht nicht einmal, dass n8n läuft – irgendein Mitarbeiter hatte es mal eingerichtet.
Problem 3: Zentrale Systeme werden unterschätzt. n8n verbindet oft ein Dutzend verschiedene Programme und Dienste. Fällt n8n in die falschen Hände, haben Angreifer Zugriff auf die komplette digitale Infrastruktur. Das ist wie ein Generalschlüssel für alle Türen im Unternehmen. Viele Unternehmer unterschätzen, welche zentrale Rolle solche Automatisierungstools spielen – bis es zu spät ist.
Was Unternehmen konkret tun sollten
Wenn Sie n8n einsetzen: Aktualisieren Sie umgehend auf Version 2.0.0 oder neuer. Der Support für ältere 1.x-Versionen endet am 15. März 2026. Danach gibt es keine Sicherheitsupdates mehr – ein kalkulierbares Risiko wird zur tickenden Zeitbombe.
Falls Sie nicht sicher sind, ob n8n in Ihrem Unternehmen läuft: Fragen Sie nach. Bei mittelständischen Betrieben entdecken wir in unseren IT-Sicherheitsanalysen regelmäßig Software, von der der Geschäftsführer nichts wusste. Der Vertriebsmitarbeiter hatte „mal schnell“ eine Automatisierung gebaut, läuft seit zwei Jahren problemlos – und steht jetzt auf keinem Wartungsplan.
Generell gilt: Automatisierungstools gehören nicht in die Hände von Laien – zumindest nicht ohne professionelle Begleitung. Die Einrichtung mag einfach sein, aber Sicherheitsaspekte, Datenschutz-Compliance (DSGVO!) und regelmäßige Wartung erfordern Expertise.
Warum Managed Services hier den Unterschied machen
In unserem Managed Services Portfolio für kleine und mittlere Unternehmen gehört das Management von Unternehmensanwendungen zum Standard-Repertoire. Das bedeutet konkret: Wir überwachen, welche Software im Einsatz ist. Wir halten die Systeme aktuell. Und wir schlagen Alarm, wenn kritische Sicherheitslücken wie „Ni8mare“ auftauchen.
Ein Beispiel aus der Praxis: Ein Onlinehändler für Autozubehör mit 12 Mitarbeitern nutzte n8n, um Bestellungen automatisch zwischen Webshop und Warenwirtschaft zu synchronisieren. Als die Sicherheitslücke bekannt wurde, haben wir innerhalb von 24 Stunden das Update eingespielt und zusätzlich die Netzwerkzugänge überprüft. Der Geschäftsführer bekam eine kurze Info-Mail – und konnte sich weiter um sein Kerngeschäft kümmern.
Ohne Managed Services? Der Händler hätte vermutlich erst Wochen später von der Lücke erfahren – wenn überhaupt. In der Zwischenzeit wäre sein System potenziell verwundbar gewesen. Bei einem Angriff hätten Kriminelle Zugriff auf Kundendaten, Lieferanteninformationen und Zahlungsdaten gehabt. Der Schaden: Nicht nur finanziell, sondern auch reputativ verheerend.
Der Blick nach vorne: No-Code braucht professionelle Begleitung
No-Code- und Low-Code-Plattformen sind gekommen, um zu bleiben. Sie demokratisieren die Digitalisierung und ermöglichen es auch kleinen Unternehmen ohne große IT-Abteilung, Prozesse zu automatisieren. Das ist grundsätzlich positiv.
Aber: Die vermeintliche Einfachheit verleitet dazu, Sicherheitsaspekte zu vernachlässigen. Die grafische Oberfläche täuscht darüber hinweg, dass darunter hochkomplexe Software läuft – mit allen Risiken, die Software eben mit sich bringt.
Die Lehre aus dem „Ni8mare“-Vorfall: Digitalisierung ja, aber bitte mit professioneller Begleitung. Das muss nicht zwingend eine eigene IT-Abteilung sein. Managed Services bieten gerade für kleine und mittlere Unternehmen eine kosteneffiziente Alternative: Expertise on demand, proaktive Überwachung und schnelle Reaktion, wenn es brennt.
Denn eines ist sicher: Die nächste kritische Sicherheitslücke kommt bestimmt. Die Frage ist nur, ob Sie darauf vorbereitet sind – oder ob sie zum Alptraum wird.
Kostenlose IT-Security-Erstberatung: Möchten Sie wissen, welche Automatisierungstools in Ihrem Unternehmen laufen und ob diese sicher konfiguriert sind? Wir analysieren Ihre aktuelle Situation und zeigen konkrete Optimierungspotenziale auf – ohne Fachchinesisch, dafür mit klaren Handlungsempfehlungen. Kontakt
