Automatisierung hat eine hinterhältige Eigenschaft: Sobald sie einmal funktioniert, verschwindet sie aus dem Kopf. Der Workflow, der jede Bestellung brav in die Buchhaltung schiebt, läuft seit Monaten ohne Murren – also fasst ihn keiner mehr an. Genau das ist der Moment, in dem es interessant wird. Die jüngsten n8n-Releases sind ein guter Anlass, diese „läuft ja“-Haltung einmal zu hinterfragen, denn sie bringen genau das, was man in einer Ankündigung am liebsten überliest: keine spektakulären Funktionen, sondern Sicherheit und Stabilität.

Kurz zur Einordnung, falls n8n kein Begriff ist: Es ist ein Werkzeug, mit dem man Anwendungen verbindet und wiederkehrende Abläufe automatisiert. Eine Formularanfrage landet automatisch im CRM, eine Rechnung wird weitergeleitet, Daten wandern zwischen zwei Systemen hin und her. Viele Mittelständler betreiben n8n self-hosted, also auf der eigenen Infrastruktur. Das ist die datenschutzfreundliche Variante, weil nichts das Haus verlässt. Der Preis dafür: Wartung und Sicherheit liegen ebenfalls im eigenen Haus.

Und da sind wir beim Kern. Bis in den frühen Sommer 2026 hat n8n mehrere Releases der 2.x-Reihe ausgeliefert, und der Schwerpunkt lag klar auf Instandhaltung statt Feuerwerk: Sicherheits-Patches in mitgelieferten Bibliotheken, stabilere Kernfunktionen rund um Editor, OAuth und das saubere Herunterfahren laufender Prozesse, dazu Korrekturen für eine ganze Reihe von Integrationen. Klingt unaufregend. Ist im Produktivbetrieb aber Gold wert.

Der Grund liegt in einem Detail, das man von außen nicht sieht. Ein Automatisierungswerkzeug ist nie ein einzelnes Programm, sondern ein Stapel aus vielen fremden Bausteinen – Software-Bibliotheken, Schnittstellen, Abhängigkeiten. Die werden von anderen Leuten weiterentwickelt, und sie enthalten von Zeit zu Zeit Sicherheitslücken. Wird eine solche Lücke gefunden und geschlossen, steht der Fix in einem neuen Release. Spielt man das Release nicht ein, bleibt die Lücke offen – im eigenen Netz, unter der eigenen Verantwortung. Das Tückische daran: Man merkt nichts. Der Workflow läuft ja weiter. Sicherheit ist genau die Sorte Problem, die sich still aufbaut, bis sie plötzlich sehr laut wird.

Ein Bild dazu: Ein kleiner Onlinehändler betreibt eine self-hosted n8n-Instanz, die Bestellungen automatisch in Buchhaltung und Versand überträgt. Der Ablauf läuft seit einem Jahr klaglos, also rührt ihn niemand an. In dieser Zeit sind mehrere Sicherheits-Patches erschienen, von denen keiner eingespielt wurde. Das Risiko ist nicht theoretisch: Über eine verwundbare Abhängigkeit könnte jemand an Systeme gelangen, in denen Bestell- und Kundendaten liegen. Die Automatisierung, die eigentlich Arbeit spart, wird so zum offenen Fenster. Ein bisschen Pflege hätte das verhindert.

Wie diese Pflege aussieht, ist erfreulich unspektakulär. Vor jedem Update ein Backup der Instanz und der Workflows. Das Update zuerst in einer Testumgebung einspielen, nicht direkt in der Produktion. Einen typischen Workflow einmal durchlaufen lassen und prüfen, ob alles noch tut, was es soll. Und erst dann in den Echtbetrieb übernehmen. Backup, Update, Test, Ausrollen – vier Schritte, die zusammen selten mehr als eine ruhige halbe Stunde kosten und die zwei häufigsten Katastrophen verhindern: den verpassten Sicherheits-Patch und das Update, das im Stillen etwas kaputt macht. Der eigentliche Trick ist nicht die Technik, sondern der Kalender: Updates gehören zu einem festen, wiederkehrenden Termin, nicht zur Reaktion auf einen Vorfall.

Was ich davon halte: Der wichtigste Satz in dieser ganzen Geschichte ist zugleich der unbequemste – wer selbst betreibt, muss selbst warten. Self-hosting wird im Mittelstand gern als reiner Datenschutz-Gewinn verkauft, und das ist es auch. Aber es kommt mit einer Rechnung, die niemand gern liest: der laufenden Betriebsverantwortung. Das ist kein Argument gegen self-hosted Automatisierung, im Gegenteil. Es ist ein Argument dafür, sie von Anfang an ehrlich zu planen – mit einer klaren Zuständigkeit, einem Update-Rhythmus und dem Wissen, welche Version gerade läuft. Eine Automatisierung ist kein Möbelstück, das man einmal aufstellt. Sie ist eher wie ein Firmenwagen: extrem nützlich, solange jemand ab und zu zur Inspektion fährt. Die n8n-Updates sind nur der freundliche Zettel an der Windschutzscheibe, der daran erinnert, dass die nächste Inspektion fällig ist.

Quellen: n8n Docs — Release Notes 2.x · n8n GitHub Releases · n8n Blog — Introducing n8n 2.0 · n8n Docs — v2.0 Breaking Changes