Cybercrime

cPanel Ransomware Angriff

Kritische Schwachstelle CVE-2026-41940 gefährdet Websites

[Wenn Sie aktuell von einer Ransomware-Attacke betroffen sind, stehen wir Ihnen jederzeit telefonisch zur Verfügung. Wir übernehmen die Koordination eines Incident Response Teams und begleiten Sie in allen Aspekten der Schadensbewältigung.]

„To recover your files, kindly send 0.1 BTC…“ – Wenn dieser Satz plötzlich anstelle Ihrer Website erscheint, sind Sie höchstwahrscheinlich Opfer eines aktuellen, großangelegten CyberCrime-Vorfalls. Eine kritische Sicherheitslücke in den Administrations-Oberflächen cPanel und WHM (Web Host Manager) wird derzeit aktiv ausgenutzt, um Server zu kompromittieren und Ransomware-Forderungen zu platzieren.

In Österreich sind zahlreiche Unternehmen, Agenturen und Online-Shops betroffen, deren Hosting auf cPanel basiert. Die Situation ist ernst, da die Schwachstelle CVE-2026-41940 Angreifern unter Umständen den administrativen Zugriff ermöglicht. Für Betroffene stellen sich nun dringende Fragen: Wie konnte das passieren? Welche Daten sind abgeflossen? Und welche rechtlichen Pflichten entstehen gegenüber Kunden und der Datenschutzbehörde?

ATB.LAW unterstützt betroffene Unternehmen bei der rechtlichen und strategischen Bewältigung dieses Vorfalls – von der Beweissicherung bis zum Krypto-Asset-Tracing.

cPanel/WHM führt zu Ransomware-Angriffen auf Websites - ATB.LAW unterstützt Betroffene

Was ist passiert? Die Hintergründe zur cPanel-Schwachstelle

Seit Ende April 2026 häufen sich Berichte über manipulierte Websites. Den Kern des Problems bildet eine Schwachstelle in cPanel & WHM, die als CVE-2026-41940 identifiziert wurde. Es handelt sich dabei um eine Sicherheitslücke im Bereich des Authentifizierungs-Managements (Authentication Bypass), die es Unbefugten ermöglicht, administrative Privilegien zu erlangen.

Laut Warnungen des BSI und von CERT.at ist die Lage kritisch, da bereits Exploits im Umlauf sind. Betroffene Systeme zeigen oft eine identische Ransomnote: Die Angreifer fordern die Zahlung von 0,1 BTC an eine spezifische Bitcoin-Adresse und verlangen die Veröffentlichung eines Codes auf Twitter (X).

Wer ist gefährdet?

Betroffen sind potenziell alle Instanzen von cPanel und WHM, die nicht unmittelbar nach Veröffentlichung der Sicherheits-Patches (Versionen ab 110.0.x, 118.0.x etc., je nach Release-Zweig) aktualisiert wurden. Dies betrifft:

  • KMU & Online-Shops, die Shared-Hosting-Pakete nutzen.

  • Web-Agenturen, die Reseller-Hosting für Kunden betreiben.

  • IT-Dienstleister, die Serverlandschaften via WHM verwalten.

  • Professionelle Anwender (Ärzte, Anwälte, Steuerberater), deren CMS-Systeme (z. B. WordPress) auf cPanel-Servern laufen.

Sofortmaßnahmen-Checkliste: Was Sie jetzt tun müssen

Wenn Ihre Website eine Ransomnote zeigt oder Ihr Hosting-Provider Sie über eine Kompromittierung informiert hat, ist besonnenes Handeln entscheidend. Ein vorschnelles Vorgehen kann die spätere Beweisführung und die Durchsetzung von Ansprüchen massiv erschweren.

  1. Nicht voreilig löschen: Löschen Sie die manipulierte Website oder den Server nicht sofort. Die Daten werden für die IT-Forensik benötigt.

  2. Beweissicherung: Dokumentieren Sie die Ransomnote, die genaue URL und die Bitcoin-Adresse per Screenshot (inkl. Zeitstempel).

  3. Logs sichern: Fordern Sie Ihren Hosting-Anbieter oder IT-Dienstleister umgehend auf, sämtliche Server-Logs (Zugriffslogs, Auth-Logs) zu sichern.

  4. Keine unüberlegten Zahlungen: Leisten Sie keine Zahlung ohne zuvor die rechtliche Zulässigkeit geprüft zu haben.

  5. Passwörter ändern: Sobald der Zugang wieder sicher ist, müssen alle Passwörter (WHM, cPanel, FTP, Datenbanken, CMS-Admin) geändert werden.

  6. Datenschutz-Prüfung: Analysieren Sie, ob Zugriff auf personenbezogene Kundendaten (Namen, E-Mails, Adressen, Zahlungsdaten) möglich war.

  7. Fachliche Hilfe: Kontaktieren Sie spezialisierte Anwälte und IT-Forensiker, um den Vorfall strukturiert aufzuarbeiten.

Die rechtliche Situation in Österreich: DSGVO und Haftung

Ein Cyberangriff ist in Österreich nicht nur ein technisches Problem, sondern löst eine Kette rechtlicher Verpflichtungen aus.

Datenschutzrechtliche Meldepflichten (DSGVO)

Sobald Sie Kenntnis davon haben, dass personenbezogene Daten durch den cPanel-Hack gefährdet sind (Verletzung des Schutzes personenbezogener Daten), tickt die Uhr. Gemäß Art. 33 DSGVO muss eine Meldung an die österreichische Datenschutzbehörde (DSB) grundsätzlich binnen 72 Stunden erfolgen. Bei hohem Risiko müssen zudem die betroffenen Personen (Kunden, Nutzer) informiert werden.

Haftungsfragen: Wer zahlt für den Schaden?

Hier wird es für Unternehmen und Agenturen komplex. Wenn eine Sicherheitslücke wie CVE-2026-41940 ausgenutzt wird, stellt sich die Frage der Verantwortlichkeit:

  • Hat der Hosting-Anbieter notwendige Sicherheitsupdates (Patches) rechtzeitig eingespielt?

  • Lag die Wartungspflicht bei einer Web-Agentur, die das Update versäumt hat?

  • Wurden vertraglich zugesicherte Sicherheitsstandards verletzt?

ATB.LAW prüft für Sie die Verträge mit IT-Dienstleistern und Hostern, um mögliche Schadenersatzansprüche wegen mangelhafter Wartung oder Verletzung von Schutzpflichten durchzusetzen.

Sollte man die 0,1 BTC zahlen?

Die Forderung von 0,1 BTC scheint im Vergleich zu großen Unternehmens-Ransomware-Fällen moderat. Dennoch warnt ATB.LAW vor voreiligen Transaktionen. Nach derzeitigem Stand (01.05.2026) ist von einer Zahlung abzuraten. Es besteht (derzeit) keine Möglichkeit mit den Erpressern in Kontakt zu treten und zu verhandeln und ergeben sich nicht zuletzt daraus auch erhebliche Compliance-Risiken.

Beweissicherung und Krypto-Asset-Tracing durch ATB.LAW

Bei einem cPanel Ransomware Angriff verschwimmen die Grenzen zwischen Technik und Recht. ATB.LAW fungiert hier als Schnittstelle. Wir sichern nicht nur die On-Chain-Beweise (die Bitcoin-Transaktionswege), sondern koordinieren auch die Zusammenarbeit mit IT-Forensikern zur Sicherung der Off-Chain-Beweise (Server-Logs).

Im Falle einer strafrechtlichen Verfolgung vertreten wir Ihre Interessen als Privatbeteiligte im Strafverfahren, um etwaige Ansprüche bereits dort geltend zu machen.

FAQ: Häufige Fragen zum cPanel-Hack

Meine Website zeigt die Ransomnote, aber ich habe ein Backup. Soll ich es einfach einspielen? Nur nach vorheriger Beweissicherung und Klärung der Einbruchslücke. Wenn die Schwachstelle CVE-2026-41940 nicht gepatcht ist, werden die Angreifer das Backup sofort erneut infizieren.

Muss ich den Hack anzeigen? Eine Strafanzeige ist für die Geltendmachung von Versicherungsleistungen (Cyberversicherung) oft zwingend erforderlich und hilft bei der Dokumentation gegenüber der Datenschutzbehörde.

Was passiert, wenn ich die 72-Stunden-Frist der DSGVO verpasse? Dies kann zu empfindlichen Geldbußen führen. Es ist ratsam, auch bei unklarer Faktenlage eine „vorsorgliche Meldung“ in Erwägung zu ziehen. ATB.LAW unterstützt Sie bei der rechtssicheren Formulierung dieser Meldungen.

Fazit: Schnelles Handeln ist das Gebot der Stunde

Der cPanel Ransomware Angriff über die Sicherheitslücke CVE-2026-41940 zeigt, wie verwundbar die digitale Infrastruktur selbst bei weit verbreiteter Software ist. Betroffene sollten den Vorfall weder ignorieren noch durch kopflose Aktionen (wie ungesichertes Löschen oder ungeprüftes Zahlen) verschlimmern.

Wenn Ihre Website betroffen ist, eine Ransomnote angezeigt wird oder Ihr Hosting-Anbieter einen möglichen cPanel-/WHM-Vorfall bestätigt hat, sollte rasch und strukturiert gehandelt werden. ATB.LAW unterstützt Betroffene bei CyberCrime-Vorfällen, Ransomware, Datenschutzfragen, Beweissicherung, Kommunikation mit Hosting-Anbietern und der Prüfung von Ansprüchen.

Betroffene können sich 24/7 an ATB.LAW wenden – wir stehen Ihnen jederzeit telefonisch zur Verfügung.

Linkedin-in Facebook-f