Anrufen Fernwartung WhatsApp
Pi-hole IT-Sicherheit Sicherheitslücke DNS-Sicherheit Kärnten

Pi-hole Sicherheitslücke: So schützen Sie Ihr System sofort

Thomas Kohlweiss 4 Min. Lesezeit

Kritische Pi-hole-Schwachstellen bedrohen ungesicherte Systeme. So erkennen und schließen Sie die Lücke sofort – jetzt in Kärnten beraten lassen.

Pi-hole Sicherheitslücke: So schützen Sie Ihr System sofort

Ihr Pi-hole blockiert seit Jahren zuverlässig Werbung und Tracker – aber genau diese Zuverlässigkeit macht viele Betreiber blind für ein aktuelles Risiko. Mehrere kritische Sicherheitslücken in der beliebten DNS-Filterlösung erlauben es Angreifern im schlimmsten Fall, die vollständige Kontrolle über das System zu übernehmen. Weil es sich um ein echtes Sicherheitsupdate handelt und nicht um eine kosmetische Anpassung, ist schnelles Handeln gefragt.

Was Sie in diesem Artikel erfahren:

  • Welche Schwachstellen konkret entdeckt wurden und wer sie behoben hat
  • Warum Ihr Risiko stark davon abhängt, wo und wie Sie Pi-hole betreiben
  • Woran Sie ein anstehendes Update erkennen
  • Die Schritt-für-Schritt-Anleitung für ein sicheres Update per Kommandozeile

Was ist passiert: Mehrere kritische Schwachstellen im Pi-hole entdeckt

In den letzten Monaten wurden im Open-Source-Werbeblocker Pi-hole mehrere Sicherheitslücken bekannt, von denen zwei besonders schwer wiegen. CVE-2026-39849 (CVSS 8.7) erlaubt es netzwerknahen Angreifern, über das Konfigurationsfeld dns.interface eigene Befehle einzuschleusen und darüber den DHCP-Server zu aktivieren – behoben in FTL 6.6.1, dem DNS-Resolver-Dienst von Pi-hole. Parallel dazu ermöglichte CVE-2026-35517 bis Core-Version 6.6 authentifizierten Nutzern eine vollständige Remote-Codeausführung durch einen manipulierten Zeilenumbruch in einem DNS-Konfigurationsfeld.

Die offiziellen Sicherheitshinweise auf GitHub listen zusätzlich eine lokale Rechteausweitung (CVE-2026-41489, CVSS 8.8), mit der ein bereits kompromittiertes System vom eingeschränkten pihole-Konto aus vollständig unter Root-Kontrolle gebracht werden kann. Auch bei Kärntner Betrieben, die Pi-hole zur Werbe- und Trackerfilterung im Firmennetz einsetzen, ist damit Handlungsbedarf gegeben.


Wer ist wirklich gefährdet – und wer nicht

Nicht jede Installation trägt das gleiche Risiko. Entscheidend ist, wo und wie Ihr Pi-hole im Netzwerk erreichbar ist:

  • Privatanwender im eigenen Heimnetz (geringes Risiko): Wer Pi-hole ausschließlich im isolierten Heim-WLAN ohne fremde Nutzer betreibt, ist weitgehend sicher – auch ohne gesetztes Admin-Passwort, weil die kritischste Lücke zusätzlich Netzwerkzugriff durch einen Angreifer voraussetzt.
  • Öffentliche Netzwerke (echtes Risiko): Wer Gästen etwa in einem Hotel oder Restaurant WLAN anbietet und den Datenverkehr darüber filtert, ist einem echten Risiko ausgesetzt – ähnlich wie beim Mitlesen von WLAN-Traffic durch Dritte im selben Netz, das eigene Schutzmaßnahmen braucht.
  • Internet-Freigabe (hohes Risiko): Ein Pi-hole sollte niemals direkt aus dem Internet erreichbar sein. Wer für den Fernzugriff dennoch Ports weiterleitet, sollte stattdessen auf eine sichere Selfhosting-Lösung ganz ohne Port-Forwarding umsteigen.

Wenn Sie unsicher sind, wie exponiert Ihr Netzwerk aktuell ist, hilft eine unabhängige Einschätzung: IT-Sicherheitscheck für Unternehmen in Kärnten zeigt, wo offene Türen im eigenen Netz lauern – nicht nur beim Pi-hole.


Woran Sie erkennen, ob Ihr Pi-hole betroffen ist

Ein Blick in die Weboberfläche genügt für die erste Einschätzung. Scrollen Sie dort ganz nach unten – sobald eine neuere Version verfügbar ist, zeigt Pi-hole automatisch eine Update-Meldung an. Sicher vor den hier beschriebenen Lücken sind Sie erst ab Core 6.6 in Kombination mit FTL 6.6.1 oder neuer.

Es lohnt sich, diese Prüfung nicht nur einmalig, sondern regelmäßig durchzuführen. Gerade bei Systemen, die einmal eingerichtet und danach kaum noch angefasst werden – etwa auf einem Raspberry Pi im Keller oder Serverschrank eines Kärntner Kleinbetriebs – bleiben Updates in der Praxis am längsten aus.


Schritt-für-Schritt: So aktualisieren Sie Pi-hole sicher

Das Update lässt sich nicht bequem per Klick in der Weboberfläche starten, sondern erfordert den Zugriff über die Kommandozeile:

  1. Verbindung herstellen: Öffnen Sie ein Terminal und verbinden Sie sich per SSH mit Ihrem Pi-hole-System, zum Beispiel bei einem Raspberry Pi mit ssh pi@<IP-Adresse>.
  2. Authentifizieren: Loggen Sie sich mit dem entsprechenden Passwort ein.
  3. Update starten: Führen Sie sudo pihole -up aus, um den Aktualisierungsprozess mit den nötigen Root-Rechten zu starten.
  4. Warten: Der Vorgang läuft automatisch ab und dauert je nach Systemleistung meist 3 bis 4 Minuten.
  5. Erfolg prüfen: Laden Sie die Weboberfläche nach Abschluss neu (Strg + R) – die Update-Meldung am unteren Rand sollte danach verschwunden sein.

Nutzen Sie parallel dazu die Gelegenheit, ein Admin-Passwort zu setzen, falls das bisher nicht geschehen ist – gerade in Kombination mit Netzwerkzugriff ist das laut CVE-2026-39849 die zweite notwendige Bedingung für einen erfolgreichen Angriff. Basic4web unterstützt auf Wunsch auch Kärntner Betriebe, die diesen Schritt nicht selbst durchführen möchten.


Fazit: Handeln Sie jetzt, bevor jemand anderes es tut

Die Schwachstellen im Pi-hole sind kein Grund für Panik, aber ein klarer Auftrag zum Handeln – vor allem für Betriebe, die Gäste-WLANs betreiben oder Systeme versehentlich aus dem Internet erreichbar gemacht haben. Ein Update in wenigen Minuten schließt die bekannten Lücken zuverlässig. Wenn Sie sich unsicher sind, ob Ihr Netzwerk insgesamt sauber abgesichert ist, nehmen Sie jetzt Kontakt auf – wir prüfen Ihre Situation und zeigen den nächsten Schritt für Unternehmen in Kärnten.

Häufige Fragen

Ist mein privates Pi-hole durch die aktuelle Sicherheitslücke gefährdet?

Wer Pi-hole ausschließlich im isolierten Heimnetzwerk ohne fremde Nutzer betreibt, ist weitgehend sicher – selbst ohne gesetztes Admin-Passwort. Die kritischste Schwachstelle setzt zusätzlich Netzwerkzugriff durch einen Angreifer voraus, der im reinen Privathaushalt in der Regel fehlt.

Wer ist von der Pi-hole-Sicherheitslücke am stärksten betroffen?

Am größten ist das Risiko bei Installationen in öffentlichen Netzwerken wie Hotel- oder Gäste-WLAN sowie bei Systemen, die direkt aus dem Internet erreichbar sind. Dort können netzwerknahe Angreifer die Lücke ohne Admin-Passwort ausnutzen und die Kontrolle übernehmen.

Woran erkenne ich, ob mein Pi-hole aktualisiert werden muss?

Ein Blick auf die Weboberfläche genügt: Scrollt man ganz nach unten, zeigt Pi-hole automatisch an, sobald eine neue Version verfügbar ist. Sicher vor den bekannten Lücken sind Sie erst ab Core-Version 6.6 mit FTL 6.6.1 oder neuer.

Wie lange dauert das Pi-hole-Update über die Kommandozeile?

Der Befehl sudo pihole -up läuft vollautomatisch ab und dauert je nach Systemleistung meist 3 bis 4 Minuten. Nach einem Neuladen der Weboberfläche im Browser sollte die Update-Meldung anschließend verschwunden sein.

Thomas Kohlweiss

Dipl.-Ing. Ing. · Basic4web Kärnten

IT-Experte für KMU – Internet, IT-Sicherheit, KI & Smart Home. 20+ Jahre Erfahrung.

Kostenlose Erstberatung

Fragen zu Pi-hole Sicherheitslücke?

Persönliche Beratung für Ihr Unternehmen in Kärnten – unverbindlich und kostenlos.

  • Antwort innerhalb 24 Stunden
  • Kein Callcenter – direkter Ansprechpartner
  • Erstberatung kostenlos & unverbindlich

Hilfe & Support

Nicht gefunden, wonach Sie suchen?

Falls die Angebote auf dieser Seite Ihre Frage nicht beantwortet haben, kontaktieren Sie uns direkt – wir helfen persönlich weiter.

Direkt erreichbar

Rückruf-Service

Wir rufen Sie zurück – teilen Sie uns Ihre Telefonnummer und die gewünschte Anrufzeit mit.

Rückruf anfordern

Erreichbar

Mo – Do:  08:00 – 18:00

Fr:         08:00 – 15:00