BSI warnt vor kritischen IT-Lücken in Mail-Servern und Linux-Kern

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm: Gleich mehrere schwere Sicherheitslücken in weit verbreiteter Software gefährden deutsche Unternehmen und Behörden. Besonders brisant: Ein Fehler in der Mailserver-Lösung SmarterMail ermöglicht Angreifern die vollständige Übernahme von Systemen.

Die gefährlichste Warnung betrifft SmarterMail von SmarterTools. Die als CVE-2025-52691 geführte Schwachstelle erhielt vom BSI die höchste Risikobewertung (CVSS 10.0) und gilt als “kritisch”. Angreifer könnten betroffene Mailserver ohne Authentifizierung komplett übernehmen. Das BSI drängt auf sofortige Installation der Hersteller-Patches – nicht nur aus Sicherheitsgründen, sondern auch zur Einhaltung der verschärften NIS-2-Compliance-Vorgaben, die 2026 vollständig gelten.

Linux-Kernel unter Beschuss: Systemabstürze drohen

Fast gleichzeitig warnte das BSI vor mehreren Schwachstellen im Linux-Kernel (CVE-2025-68751 bis 68753). Mit einem “hohen” Risikolevel (7.0) bewertet, ermöglichen diese vor allem Denial-of-Service-Angriffe. Betroffen sind zahlreiche Distributionen wie Debian Linux, Red Hat Enterprise Linux (RHEL) und SUSE Linux. Ein erfolgreicher Angriff könnte Systemabstürze verursachen und Geschäftsprozesse lahmlegen.

Passend zum Thema IT-Sicherheit: Warum sind 73% der deutschen Unternehmen nicht ausreichend gegen Cyberangriffe gewappnet? Der kostenlose Cyber‑Security-Report erklärt aktuelle Bedrohungen (inkl. Schwachstellen in Mail- und SSH-Software), zeigt Prioritäten für schnelles Patch-Management und liefert konkrete Sofortmaßnahmen für IT-Teams und Entscheider. Ideal für Geschäftsführer und IT-Verantwortliche, die NIS‑2‑Pflichten praktisch umsetzen wollen. Gratis Cyber-Security-Report herunterladen

Grundlegende Protokolle betroffen: OpenSSH und libssh

Während die SmarterMail-Lücke die akuteste Gefahr darstellt, betreffen die BSI-Updates für OpenSSH und libssh eine wesentlich größere Anzahl von Systemen weltweit. Diese Protokolle sind Grundpfeiler sicherer Kommunikation in praktisch jedem Rechenzentrum.

Am 6. Januar aktualisierte das BSI eine Warnung zu OpenSSH-Schwachstellen, die bereits Ende 2025 bekannt wurden. Betroffen sind UNIX- und Windows-Systeme sowie Enterprise-Produkte von IBM, Red Hat und Oracle. Obwohl das Risiko aktuell als “niedrig” eingestuft wird – vermutlich wegen komplexer Ausnutzbarkeit – ist jede Lücke in diesem ubiquitären Protokoll ein ernstzunehmendes Compliance-Risiko.

Ebenfalls betroffen ist die C-Bibliothek libssh, für die das BSI am 4. Januar eine aktualisierte Warnung veröffentlichte. Die als “mittel” eingestuften Schwachstellen (CVE-2025-4877, 5351, 5449) könnten Angreifern das Umgehen von Sicherheitsmaßnahmen oder Denial-of-Service-Angriffe ermöglichen. Betroffen sind neben großen Linux-Distributionen auch Storage-Lösungen von NetApp und Dell.

Warum diese Warnungen 2026 besonders relevant sind

Das Timing der Warnungen ist kein Zufall. Mit der vollständigen Umsetzung der NIS-2-Richtlinie in Deutschland, Österreich und der Schweiz stehen Unternehmen unter deutlich stärkerem Druck, auf BSI-Warnungen prompt zu reagieren. Verstöße gegen die Meldepflichten können jetzt empfindliche Strafen nach sich ziehen.

Sicherheitsexperten sehen in den aktuellen Meldungen ein beunruhigendes Muster: “Kritische” Lücken wie in SmarterMail machen zwar Schlagzeilen, aber die “mittel” und “niedrig” bewerteten Schwachstellen in Grundkomponenten wie OpenSSH stellen oft die größere logistische Herausforderung dar. Ein kleiner Fehler in einer allgegenwärtigen Software kann in Kombination mit anderen Schwachstellen zu einem großen Einfallstor werden.

Auffällig ist auch die gezielte Erwähnung von Enterprise-Storage- und Backup-Systemen in den BSI-Warnungen. Dies deutet auf einen Trend hin: Angreifer zielen vermehrt auf periphere Infrastruktur und Sicherungssysteme ab, um bei Ransomware-Angriffen zusätzlichen Druck aufzubauen.

Was IT-Abteilungen jetzt tun müssen

1. SmarterMail priorisieren: Falls im Einsatz, sofort patchen. Die CVSS-10.0-Bewertung deutet auf unmittelbare Ausnutzungsgefahr hin.
2. Linux-Systeme überprüfen: Kernel-Versionen mit der BSI-Liste vom 5. Januar abgleichen.
3. SSH-Komponenten aktualisieren: Neueste Patches für OpenSSH und libssh auf UNIX- und Windows-Servern einspielen.
4. CERT-Bund im Blick behalten: Weitere Warnungen erwarten – insbesondere zu “Samsung Exynos”-Schwachstellen (Risiko 8.8), die mobile Geräte und IoT-Flotten betreffen könnten.

Die intensive Warnaktivität des BSI in der ersten Januarwoche 2026 signalisiert einen rigorosen Start ins neue Jahr. Sicherheitsteams sollten mit weiteren “Aufräumarbeiten” rechnen, während Hersteller Patches für Ende 2025 entdeckte Schwachstellen fertigstellen. In Zeiten verschärfter Compliance-Anforderungen wird proaktives Patch-Management zum entscheidenden Wettbewerbsfaktor – und zur Überlebensfrage für IT-Infrastrukturen.

PS: IT-Sicherheit stärken ohne teure Neueinstellungen — geht das? Ja: Das kostenlose E‑Book bietet praxiserprobte Maßnahmen, Priorisierungspläne für Patching, Awareness-Checklisten und eine Umsetzungs-Roadmap für KMU und Behörden. So reduzieren Sie akute Risiken (z. B. SmarterMail, OpenSSH) und erfüllen zugleich NIS‑2‑Meldepflichten. Ideal für Ihre nächsten Schritte im Incident‑Response-Plan. Jetzt kostenlosen Cyber-Security-Guide anfordern