SAP: Kritische Sicherheitslücken bedrohen Unternehmensdaten

SAP schließt bei seinem Februar-Patch-Day zwei hochkritische Schwachstellen, die Angreifern die vollständige Kontrolle über Datenbanken ermöglichen könnten. Die als „HotNews“ eingestufte Code-Injection-Lücke in CRM und S/4HANA erfordert sofortiges Handeln.

Walldorf, 13. Februar 2026 – Der Softwarekonzern SAP hat am Dienstag, den 10. Februar, dringende Sicherheitsupdates für seine Unternehmenssoftware veröffentlicht. Im Fokus stehen mehrere kritische Lücken, die bei Ausnutzung zu einer vollständigen Kompromittierung sensibler Geschäftsdaten führen könnten. Sicherheitsexperten stufen die Lage als alarmierend ein und mahnen zu umgehenden Patches.

Zwei Schwachstellen mit maximaler Gefahrenstufe

Der planmäßige Patch-Day umfasste insgesamt 26 neue Sicherheitshinweise. Zwei davon wurden mit der höchsten Dringlichkeitsstufe „kritisch“ bewertet, sieben weitere als „hoch“. Die gefährlichste Lücke (CVE-2026-0488) erhielt einen CVSS-Score von 9,9 von 10 Punkten.

Diese Code-Injection-Schwachstelle im Scripting Editor von SAP CRM und S/4HANA ist besonders tückisch. Ein Angreifer mit einfachen Benutzerrechten könnte sie nutzen, um beliebige SQL-Befehle in die Datenbank einzuschleusen und auszuführen. Die Folge wäre die vollständige Übernahme der Datenbank – ein Worst-Case-Szenario für jedes Unternehmen.

Eine zweite kritische Lücke (CVE-2026-0509, CVSS 9.6) betrifft den SAP NetWeaver Application Server ABAP. Hier fehlt eine zentrale Autorisierungsprüfung. Das ermöglicht es Angreifern, über sogenannte Remote Function Calls (RFCs) tief in das System einzudringen und Berechtigungen zu eskalieren.

Angriffswege führen direkt zum Datenherz

Die Schwachstellen öffnen Tür und Tor für Cyberangriffe. Die Code-Injection-Lücke könnte über öffentlich erreichbare, webbasierte CRM-Schnittstellen ausgenutzt werden. Die RFC-Schwachstelle zielt auf die vertrauenswürdigen Integrationspfade zwischen SAP-Systemen ab – die Lebensadern vieler Unternehmen.

Die potenziellen Geschäftsrisiken sind immens. Ein erfolgreicher Angriff könnte zum Diebstahl von Kunden- und Finanzdaten, geistigem Eigentum oder Personaldaten führen. Das hätte nicht nur massive Reputationsschäden zur Folge, sondern auch hohe Strafen nach der Datenschutz-Grundverordnung (DSGVO). Denkbar sind auch Datenmanipulationen oder Ransomware-Angriffe, die den gesamten Betrieb lahmlegen.

Wenn Ihr Unternehmen jetzt schnell gegen solche SAP‑Angriffe vorsorgen will, hilft das kostenlose E‑Book „Cyber Security Awareness Trends“ mit praxisnahen Schutzmaßnahmen und Priorisierungs‑Tipps für IT‑Teams. Der Guide erklärt, wie Sie typische Angriffsflächen in ERP‑Systemen (z. B. webbasierte Schnittstellen, RFCs) erkennen, Phishing‑ und Ransomware‑Risiken mindern und ohne große Investitionen Sicherheit effektiv stärken. Jetzt kostenloses Cyber-Security-Guide herunterladen

Weitere Patches für BusinessObjects und NetWeaver

Neben den Top-Risiken adressiert der Patch-Day weitere gefährliche Lücken. Eine XML Signature Wrapping-Schwachstelle in NetWeaver (CVSS 8.8) könnte Angreifern das Fälschen von Identitäten ermöglichen.

Auch die SAP BusinessObjects Business Intelligence Platform ist betroffen. Zwei Denial-of-Service-Schwachstellen (DoS) könnten die gesamte BI-Plattform unbrauchbar machen und so kritische Reporting-Prozesse unterbrechen. Diese Angriffe könnten unauthentifiziert und aus der Ferne erfolgen.

Experten warnen vor neuem Angriffstrend

Sicherheitsforscher, darunter Teams der Onapsis Research Labs, die an der Entdeckung beteiligt waren, sehen einen klaren Trend. Angreifer konzentrieren sich zunehmend auf die Kernprozesse von ERP-Systemen – genau dort, wo die wertvollsten Unternehmensdaten liegen.

Die Behebung erfordert oft mehr als nur einen Patch. Häufig sind auch Anpassungen an Konfigurationen und Berechtigungsrollen nötig. Die aktuellen Updates sind ein erneuter Weckruf: Die Sicherheit von SAP-Systemen ist kein Projekt, sondern ein kontinuierlicher Prozess.

Dringende Handlungsempfehlungen für Kunden

SAP-Kunden müssen jetzt schnell und überlegt handeln. Sicherheitsteams sollten die veröffentlichten SAP Security Notes sofort prüfen und priorisieren. Die Patches für die „HotNews“- und „High Priority“-Lücken haben oberste Priorität.

Es wird empfohlen, Updates zunächst in einer Testumgebung zu validieren, um Betriebsstörungen zu vermeiden. Parallel sollten Unternehmen ihre Systemkonfigurationen überprüfen, unnötige Dienste deaktivieren und Berechtigungen nach dem Prinzip der geringsten Rechte anpassen. Eine kontinuierliche Überwachung auf verdächtige Aktivitäten bleibt essenziell.

Der nächste planmäßige SAP Patch Day ist für den 10. März 2026 angesetzt.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.