eBPF: Wie der Kernel programmierbar wurde

eBPF macht den Linux-Kernel sicher programmierbar, was neue Möglichkeiten in den Bereichen Networking, Security und Observability eröffnet hat.

Artikel verschenken

(Bild: Ulrike Weis / KI / heise medien)

11.02.2026, 15:00 Uhr

Lesezeit: 19 Min.

c't Magazin

Von

Max Schmidt
Kathrin Stoll

eBPF: Wie der Kernel programmierbar wurde
- Once upon a time
Wachsende Linux-Anforderungen und zweigeteilter Code
Netflix und Load Balancing
Kubernetes und weitere Tools
Fazit

eBPF – die Abkürzung steht für extended Berkley Packet Filter – ermöglicht es, stark kontrollierte Programme in einem sicheren, virtuellen Ausführungsraum direkt im Kernel auszuführen. Vorstellen kann man sich eBPF als eine strikt typisierte, sehr kleine Assembly-Sprache plus Runtime (alternativ auch als VM), die direkt im Linux-Kernel sitzt und es ermöglicht, kleine, kontrollierte Programme an sogenannte „Hook Points“ im Kernel anzuhängen. Diese Programme können Daten inspizieren, aggregieren, modifizieren oder Aktionen auslösen.

Teil von eBPF ist ein sogenannter Verifizierer (englisch Verifier), der die Programme vor ihrer Ausführung auf Korrektheit und Sicherheit prüft, sodass Endlosschleifen, Speicherfehler oder unerlaubte Zugriffe zuverlässig verhindert werden. Nach bestandener Prüfung wandelt ein Just-in-Time-Compiler (JIT-Compiler) die Programme in hochoptimierten Maschinencode um. Diese Funktionsweise macht es möglich, das Kernel- und Systemverhalten ohne Neustart zu erweitern und zu überwachen, ohne den gesamten Kernel neu kompilieren zu müssen oder fehleranfällige Kernel-Module nachzuladen.

Durch eBPF wurde der Linux-Kernel sicher programmierbar.
Das hat neue Möglichkeiten in den verschiedensten Bereichen der IT eröffnet, die prominenteste ist die Cloud.
eBPF wird von der IETF standardisiert, um eBPF-Programme künftig über den Linux-Kernel hinaus lauffähig zu machen.

Dadurch eignet es sich zum Beispiel für Echtzeitfehlerdiagnosen beim Streaminganbieter Netflix, für Load Balancing bei Meta und zur Abwehr von Angriffen bei Cloudflare. In modernen Kubernetes-gestützten Cloudinfrastrukturen sorgt eBPF für schnelles Routing und die Durchsetzung von Netzwerk-Policies und auf moderneren Androiden überwacht es den Datenverbrauch Ihrer Apps.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

, Copyxspace, stock.adobe.com / heise medien

USB-C: Warum Sie eigentlich immer das falsche Kabel anschließen

Das richtige Kabel für USB-C-Verbindungen zu finden, ist ein Glücksspiel: Das eine lädt zu langsam, beim anderen kriechen die Daten im Schneckentempo. Was tun?

Arbeitsagentur: Wenn die Anmeldung zur Arbeitslosigkeit am System scheitert

Wer Mitmenschen beim digitalen Behördengang unterstützen will, wird von arbeitsagentur.de in den Wahnsinn getrieben. Ein Leidensbericht.

Notstrom an die Gastherme: Wie es sicher geht und welche Fallstricke es gibt

Generator für die Therme? Oft scheitert es an Stromqualität, Netztrennung und Normen. Welche Technik nötig ist – und warum DIY riskant ist.

Der Wärmepumpen-Inverter: Darum regelt er selten unter 20 Prozent herunter

Der Inverter regelt die Kompressor-Drehzahl, um die Wärmeproduktion an den Bedarf anzupassen. Doch wie funktioniert das und warum kann er nicht auf 0 regeln?

Tschüss Big Tech: Vierzehn sichere E-Mail-Alternativen aus Europa im Vergleich

Gmail, iCloud, Outlook – die größten E-Mail-Anbieter sitzen in den USA. Mit diesen europäischen Alternativen erklären Sie Ihre digitale Unabhängigkeit.

KI-Grafik: Real gewordener OpenClaw-Bot arbeitet mit Schraubenschlüssel in der Hand am System.

OpenClaw im Selbstversuch: Erste Schritte mit dem Super-KI-Agenten

OpenClaw macht aus LLMs eigenständige Helfer: Sie senden Mails, schreiben Skripte und erledigen komplexe Aufgaben. Wir haben das in sicherer Umgebung probiert.