n8n-Sicherheitslücken 2026: Warum ungepatchte Instanzen zum Einfallstor werden
Aktive n8n-CVEs und die CISA-Warnung 2026 treffen jede selbstgehostete Instanz. Was betroffen ist und wie Sie jetzt patchen.
SSO, Audit-Logs, Datenresidenz: ab welchem n8n-Plan Sicherheit beginnt, und wann Self-Hosting günstiger ist als Business oder Enterprise.

Wer für sein Unternehmen einen n8n-Plan auswählt, stößt schnell auf eine unangenehme Lücke: Der günstige Einstieg bietet weder Single Sign-on noch Audit-Logs, dabei ist genau das für viele IT-Verantwortliche im Mittelstand die eigentliche Kaufentscheidung. Nutzerbewertungen auf G2 und Capterra nennen diese fehlende Sicherheits-Parität zwischen Cloud- und Enterprise-Varianten regelmäßig als größten Kritikpunkt an n8n.
Dieser Beitrag zeigt anhand der aktuellen n8n-Preisseite und der n8n-Sicherheitsdokumentation, wo die Grenze zwischen Cloud-Einstieg, Business-Plan und Enterprise-Lizenz genau verläuft, und ab wann Self-Hosting mit voller Datenhoheit die wirtschaftlich sinnvollere Alternative wird.
n8n verkauft vier Preisstufen: Starter für 20 Euro und Pro für 50 Euro monatlich bei jährlicher Abrechnung, beide ohne jede Enterprise-Sicherheitsfunktion, während der Business-Plan ab 667 Euro im Monat SSO, SAML und LDAP freischaltet. Starter deckt 2.500 Workflow-Ausführungen im Monat ab, Pro 10.000, Business 40.000. Enterprise verhandelt n8n individuell, meist erst ab deutlich höherem Ausführungsvolumen oder zusätzlichen Sicherheitsauflagen.
Wichtig für die Budgetplanung: Business lässt sich sowohl in der n8n-Cloud als auch selbst gehostet betreiben, Starter und Pro dagegen ausschließlich als Cloud-Abo.
Audit-Logging, Log-Streaming in ein SIEM-System, die Anbindung externer Secret-Manager wie HashiCorp Vault oder Azure Key Vault und instanzweit erzwungenes Zwei-Faktor-Verfahren bleiben ausschließlich der Enterprise-Stufe vorbehalten. Der Business-Plan bringt zwar SSO mit, aber keines dieser vier Features. n8n bewahrt die Audit-Log-Historie mindestens zwölf Monate auf, die letzten drei Monate stehen sofort zur Auswertung bereit.
Für KMU mit Kunden aus regulierten Branchen wie Gesundheitswesen oder öffentlichem Sektor ist das eine harte Grenze: Ein lückenloser Prüfpfad für Datenzugriffe existiert vertraglich erst mit Enterprise, nicht schon mit dem deutlich günstigeren Business-Plan.
n8n Cloud speichert Kundendaten nach eigenen Angaben ausschließlich auf Azure-Servern in Frankfurt innerhalb der EU und verschlüsselt sie dort mit AES-256 nach FIPS-140-2, wie die n8n-Sicherheitsseite bestätigt. Die Verbindung selbst läuft über TLS-Zertifikate von Cloudflare. n8n richtet sein Sicherheitsprogramm an SOC 2 aus und veröffentlicht einen SOC-3-Bericht.
Self-Hosting verschiebt die Datenresidenz vollständig in die eigene Hand: Standort, Betrieb und Verschlüsselung im Ruhezustand liegen dann beim Unternehmen selbst, etwa auf einem Server im eigenen Rechenzentrum in Deutschland. Das ist Chance und Pflicht zugleich: keine Abhängigkeit von einem einzelnen Cloud-Standort, aber auch keine automatische Verschlüsselung ohne eigenes Zutun.
Die Sicherheits-Grenze bei n8n verläuft nicht zwischen Cloud und Self-Hosting, sondern zwischen den Lizenzstufen Starter/Pro, Business und Enterprise, wie die folgende Übersicht nach Kriterien zeigt:
Ab etwa 20.000 Workflow-Ausführungen im Monat kippt die Kostenrechnung nach mehreren unabhängigen n8n-Kostenanalysen zugunsten von Self-Hosting, weil die nutzungsabhängige Cloud-Gebühr entfällt und nur noch Serverkosten sowie Betriebsaufwand bleiben.
In der NordFlux-Beratungspraxis rund um n8n zeigt sich das regelmäßig bei Handwerksbetrieben und kommunalen Einrichtungen: Sobald mehrere Abteilungen parallel automatisierte Workflows nutzen, übersteigt das Ausführungsvolumen schnell die günstigeren Cloud-Kontingente. Eine selbst gehostete n8n-Instanz mit externem Secrets-Management und eigenem Reverse-Proxy bringt dann SSO und Datenhoheit, ohne die volle Enterprise-Lizenzgebühr zu zahlen.
Wer weder Zeit noch Personal für den laufenden Betrieb hat, bleibt trotzdem besser bei Cloud oder Enterprise-Support. Wer die Entscheidung zusätzlich an Governance und internen Rollout koppeln will, sollte das im Rahmen einer KI-Beratung klären, bevor der Plan feststeht.
Ab dem Business-Plan für 667 Euro im Monat bei jährlicher Abrechnung, verfügbar sowohl in der Cloud als auch selbst gehostet.
Nein. Audit-Logging, Log-Streaming und instanzweit erzwungenes 2FA sind laut n8n ausschließlich der Enterprise-Lizenz vorbehalten, der Business-Plan bringt nur SSO mit.
Auf Azure-Servern in Frankfurt innerhalb der EU, verschlüsselt mit AES-256. Bei Self-Hosting bestimmt das Unternehmen selbst den Serverstandort.
Nicht automatisch, aber es verschafft volle Kontrolle über Serverstandort und Verschlüsselung, was die eigene Nachweisführung deutlich erleichtert.
Erfahrungsgemäß ab rund 20.000 Workflow-Ausführungen im Monat, wenn die nutzungsabhängige Cloud-Gebühr die Betriebskosten einer eigenen Instanz übersteigt.
NordFlux baut Organisationen digitale Mitarbeiter: Automatisierungen und KI-Agenten, die wiederkehrende Arbeit abnehmen. Sie behalten die Kontrolle.
Aktive n8n-CVEs und die CISA-Warnung 2026 treffen jede selbstgehostete Instanz. Was betroffen ist und wie Sie jetzt patchen.
n8n kann DSGVO-konform laufen, ist es aber nicht automatisch. Was Cloud und Self-Hosting unterscheidet und wo Workflows Daten verlieren.
In der kostenlosen Erstanalyse besprechen wir Ihren Fall direkt. Unverbindlich.