Beiträge

Veröffentlicht am

Aktuelle Patches

Top 10 der SAP Security Notes für Mai2026.

READ MORE

1. Score 9.6   (Hot News)

Nummer: 3733064

[CVE-2026-34263] Fehlende Authentifizierungsprüfung in SAP-Commerce-Cloud-Konfiguration

In SAP Commerce Cloud wurde eine kritische Sicherheitslücke entdeckt, die auf eine Fehlkonfiguration des Spring Security-Frameworks zurückzuführen ist. Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern, über einen manipulierten Konfigurations-Upload eine Code-Injection durchzuführen. Dies führt im schlimmsten Fall dazu, dass der Angreifer die vollständige Kontrolle über den Server erlangt, was erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der gesamten E-Commerce-Plattform hat. Um dieses Sicherheitsrisiko zu beheben, sollten Administratoren die entsprechenden Patches und Updates sofort einspielen.

READ MORE

2. Score 9.6   (Hot News)

Nummer: 3724838

[CVE-2026-34260] SQL-Injection-Schwachstelle in SAP S/4HANA (SAP Enterprise Search für ABAP)

In der SAP Enterprise Search für ABAP, einer Komponente von SAP S/4HANA, wurde eine Sicherheitslücke entdeckt, die authentifizierten Angreifern eine SQL-Injection ermöglicht. Diese Schwachstelle entsteht, weil die Anwendung Benutzereingaben direkt in SQL-Abfragen verkettet, ohne diese zuvor ausreichend zu validieren oder zu bereinigen. Ein Angreifer kann diese ungesicherten Eingaben ausnutzen, um schädliche SQL-Anweisungen in die Abfragen einzuschleusen und an die zugrunde liegende Datenbank zu übermitteln. Nach erfolgreicher Ausnutzung ist der Angreifer in der Lage, unberechtigten Zugriff auf vertrauliche Datenbankinformationen zu erlangen. Zudem besteht die Gefahr, dass die Anwendung durch die eingeschleusten Befehle zum Absturz gebracht wird. Dies hat erhebliche negative Auswirkungen auf die Vertraulichkeit der Daten und die Verfügbarkeit des Systems, während die Integrität der Daten nicht direkt beeinträchtigt wird.

READ MORE

3. Score 8.2   (High priority)

Nummer: 3732471

[CVE-2026-34259] OS-Command-Injection-Schwachstelle in SAP Forecasting and Replenishment

In SAP Forecasting and Replenishment (F&R) wurde eine kritische Schwachstelle im Zusammenhang mit der Ausführung von Betriebssystembefehlen (OS Command Execution) festgestellt. Diese Lücke ermöglicht es einem authentifizierten Angreifer, der bereits über administrative Berechtigungen verfügt, eine eigentlich nicht remote-fähige Funktion für bösartige Zwecke zu missbrauchen. Durch diese missbräuchliche Nutzung kann der Angreifer beliebige Betriebssystembefehle ausführen. Dies gestattet ihm, sensible Systemdaten unbefugt auszulesen oder zu manipulieren, sowie das gesamte System vollständig herunterzufahren. Im Ergebnis führt die erfolgreiche Ausnutzung zu einer vollständigen Kompromittierung der Vertraulichkeit, Integrität und Verfügbarkeit des gesamten F&R-Systems. Die betroffenen Systeme sollten umgehend aktualisiert werden, um diesen Angriffsvektor zu schließen.

READ MORE

4. Score 6.5   (Medium Priority)

Nummer: 3730019

[CVE-2026-40135] BS-Command-Injection-Schwachstelle in SAP NetWeaver Application Server für ABAP und ABAP-Plattform

Eine neu entdeckte Sicherheitslücke betrifft den SAP NetWeaver Application Server für ABAP sowie die ABAP-Plattform. Es handelt sich um eine BS-Command-Injection-Schwachstelle, die besonders brisant ist. Ein Angreifer, der bereits über administrative Rechte verfügt, kann diese Lücke ausnutzen, um manipulierte Shell-Befehle direkt auf dem Server abzusetzen. Das kritische Element hierbei ist die Fähigkeit des Angreifers, den Protokollierungsmechanismus zu umgehen. Infolgedessen können schädliche Betriebssystembefehle völlig unbemerkt und ohne Spur in den Logs ausgeführt werden. Dies bedroht unmittelbar die Integrität und die Verfügbarkeit der betroffenen Anwendung. Wichtig zu wissen ist, dass laut SAP die Vertraulichkeit der Daten durch diese spezifische Lücke nicht gefährdet ist. Betreiber sollten dennoch umgehend Patches einspielen, um die Systemintegrität sicherzustellen.

READ MORE

5. Score 6.3   (Medium Priority)

Nummer: 3718083

[CVE-2026-40133] Fehlende Berechtigungsprüfung in SAP-S/4HANA-Konditionspflege

Auch die SAP-S/4HANA-Konditionspflege weist eine Sicherheitslücke auf, die auf eine fehlende Berechtigungsprüfung zurückzuführen ist. Diese Schwachstelle ermöglicht es einem authentifizierten Angreifer, unbefugten Zugriff auf Konditionstabellensätze zu erlangen. Dadurch können diese Sätze unrechtmäßig eingesehen und sogar modifiziert werden. Obwohl die direkten Auswirkungen auf die Vertraulichkeit und Integrität der Daten laut SAP als gering eingestuft werden, besteht ein weiteres Risiko: Die Schwachstelle kann rechtmäßige Benutzer am Zugriff auf die Datensätze hindern. Dies beeinträchtigt die Verfügbarkeit der Anwendung in geringem Maße. Betreiber sollten die entsprechenden Patches und Updates zeitnah einspielen, um die Systemsicherheit und den reibungslosen Ablauf zu gewährleisten.

READ MORE

6. Score 6.1   (Medium Priority)

Nummer: 3727717

[CVE-2026-40137] Cross-Site-Scripting-Schwachstelle (XSS) in Business-Server-Pages-Anwendung (TAF_APPLAUNCHER)

In einer neu entdeckten Sicherheitslücke in der SAP-Komponente TAF_APPLAUNCHER innerhalb von Business Server Pages (BSP) liegt ein beträchtliches Risiko. Ein nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um gezielt manipulierte Links zu erstellen. Wenn ein Opfer, ob angemeldet oder nicht, auf einen dieser Links klickt, wird dessen Browser automatisch auf eine externe, vom Angreifer kontrollierte Website umgeleitet. Auf dieser schädlichen Seite könnte der Angreifer potenziell vertrauliche Informationen, die im Browser des Opfers gespeichert sind, auslesen oder manipulieren. Während dies ein begrenztes Risiko für die Vertraulichkeit und Integrität der Anwendung darstellt, ist die Verfügbarkeit der Anwendung keineswegs gefährdet. Betreiber sollten die entsprechenden Patches zeitnah einspielen.

READ MORE

7. Score 5.4   (Medium Priority)

Nummer: 3721959

[CVE-2026-40132] Fehlende Berechtigungsprüfung in SAP Strategic Enterprise Management (BSP-Applikation „Balanced Scorecard Wizard“)

Eine Sicherheitslücke im SAP Strategic Enterprise Management (SEM), genauer gesagt im Scorecard Wizard innerhalb der Business Server Pages (BSP), resultiert aus einer fehlenden Berechtigungsprüfung. Dies ermöglicht es einem bereits authentifizierten Angreifer, unbefugt auf geschützte Informationen zuzugreifen. Über diesen Informationszugriff hinaus kann die Schwachstelle ausgenutzt werden, um Standardeinstellungen zu modifizieren und Wertefelder zu manipulieren. Dies führt zu einer Verfälschung von Risikobewertungen und kann dazu führen, dass eingeschätzte Risikostufen fälschlicherweise herabgestuft werden. Aufgrund dieser Manipulationsmöglichkeiten sind die Vertraulichkeit und Integrität der Daten in geringem Maße beeinträchtigt, während die Verfügbarkeit der Anwendung unbeeinflusst bleibt.

READ MORE

8. Score 4.8   (Medium Priority)

Nummer: 3716450

[CVE-2025-68161] Mögliche fehlerhafte Zertifikatsvalidierung in SAP Commerce Cloud (Apache Log4j)

Ein bekanntes Sicherheitsrisiko (CVE-2025-68161) im Zusammenhang mit veralteten Apache Log4j-Komponenten betrifft auch SAP Commerce Cloud. Die Schwachstelle liegt konkret im SocketAppender von Log4j Core, wo eine korrekte TLS-Hostnamensverifikation fehlt. Dies ermöglicht es nicht authentifizierten Angreifern, sich über das Netzwerk zwischen den Protokollserver und den Client zu schalten. Im Rahmen eines Man-in-the-Middle-Angriffs können so sensible Protokolldaten während der Übertragung abgefangen, mitgelesen oder sogar umgeleitet werden. Zwar stuft SAP die Auswirkungen auf Vertraulichkeit und Integrität nur als gering ein und schließt eine Beeinträchtigung der Verfügbarkeit aus, doch sollten Admins den entsprechenden Patch einspielen, um diesen Angriffsvektor zu schließen.

READ MORE

9. Score 4.7   (Medium Priority)

Nummer: 3728690

[CVE-2026-27682] Reflected-Cross-Site-Scripting-Schwachstelle (XSS) in SAP NetWeaver Application Server ABAP (Anwendungen auf Basis von Business Server Pages)

Im SAP NetWeaver Application Server ABAP wurde eine Reflected-Cross-Site-Scripting-Schwachstelle (XSS) innerhalb von Anwendungen identifiziert, die auf Business Server Pages (BSP) basieren. Ein nicht authentifizierter Angreifer kann diese Lücke ausnutzen, indem er eine speziell präparierte URL erstellt, die einen ungesicherten Parameter verwendet, um schädliche Skripte einzubetten. Sobald ein Opfer diesen manipulierten Link aufruft, wird der injizierte Code während der Generierung der Webseite verarbeitet und direkt im Browserkontext des Nutzers ausgeführt. Dies ermöglicht es dem Angreifer potenziell, auf sensible Informationen zuzugreifen oder Daten unbefugt zu modifizieren. Während die Vertraulichkeit und die Integrität der Anwendung durch diesen Angriff beeinträchtigt werden, hat die Schwachstelle keine Auswirkungen auf die allgemeine Verfügbarkeit des Systems.

10. Score 4.7   (Medium Priority)

Nummer: 3726583

[CVE-2026-34258] Content-Spoofing-Schwachstelle in SAPUI5 (Such-UI)

SAPUI5 (Such-UI) ermöglicht es einem nicht authentifizierten Angreifer, bestimmte URL-Parameter auf der Such-UI zu manipulieren, um schädlichen Inhalt einzuschließen. Eine erfolgreiche Ausnutzung kann Opferbenutzer dazu führen, dass sie auf eine von der Anwendung gerenderte, vom Angreifer gesteuerte Seite klicken und darauf zugreifen können. Diese Schwachstelle hat geringe Auswirkungen auf die Vertraulichkeit ohne Auswirkungen auf die Integrität und Verfügbarkeit der Anwendung.

READ MORE

>> Weitere Security Notes, 8 mit der Priorität Medium und 2 mit Low Priority  https://me.sap.com/securitynotes

Das regelmäßige Einspielen von Security-Patches ist aus drei Gründen unverzichtbar:

  • Schutz vor Totalausfall & Sabotage: Wie die aktuellen Meldungen zu Denial-of-Service (DoS) zeigen, können Angreifer Systeme gezielt lahmlegen. Ohne Patches riskieren Unternehmen kostspielige Stillstände der gesamten Produktion oder des Vertriebs.

  • Prävention von Datendiebstahl: Schwachstellen wie SQL-Injections oder XML-Manipulationen sind offene Türen für Industriespionage. Einmal im System, können Angreifer unbemerkt sensible Geschäftsgeheimnisse oder Kundendaten absaugen.

  • Compliance & Haftung: Gesetzliche Anforderungen (wie die DSGVO) und interne Audits fordern ein angemessenes Sicherheitsniveau. Wer bekannte Lücken offen lässt, handelt grob fahrlässig und riskiert nicht nur Bußgelder, sondern auch einen massiven Reputationsverlust.

Veröffentlicht am

Deep-Dive: Dirty Frag — Warum Angreifer jetzt jeden SAP Linux-Server „rooten“ können

Am 7. Mai 2026 hat Hyunwoo Kim (@v4bel), ein Security-Forscher, den Nachfolger von Copy Fail veröffentlicht: Dirty Frag (auch „Copy Fail 2“). Das Ergebnis: Ein unprivilegierter lokaler Benutzer kann auf den meisten Linux-Distributionen innerhalb einer Kommandozeile root-Privilegien erlangen.

Working PoC. Deterministisch. 99% Erfolgsrate. Kein Race Condition nötig. Kein Kernel-Panic bei Fehlschlag.

Was ist Dirty Frag?

Dirty Frag kombiniert zwei Page-Cache-Schreib-Primitiven im Linux-Kernel: eine im xfrm-ESP (IPsec) Subsystem (CVE-2026-43284) und eine im RxRPC-Subsystem (CVE-2026-43500). Beide flaws ermöglichen die Manipulation von Page-Cache-Memory, die nicht ausschließlich vom Kernel besessen wird — was zur Korruption sensibler Dateien und letztlich zu Privileg-Eskalation führt.

Der Unterschied zu Copy Fail: Dirty Frag funktioniert unabhängig davon, ob das algif_aead-Modul aktiviert ist. Das heißt: Systeme, die bereits gegen Copy Fail gehärtet wurden, sind trotzdem anfällig.

Warum funktioniert es überall?

Die genial-bösartige Architektur: Die beiden Exploits decken gegenseitig die Blindstellen ab.

  • Das ESP-Exploit benötigt die Berechtigung zum Erstellen von User-Namespaces. Ubuntu blockiert das standardmäßig mit AppArmor.
  • Das RxRPC-Exploit benötigt keine Namespace-Berechtigungen — aber das rxrpc.ko-Modul ist auf den meisten Distributionen nicht vorinstalliert. Ubuntu lädt es standardmäßig.

Chain die beiden zusammen, und fast jede Distribution hat mindestens einen Pfad offen.

Wer ist betroffen?

Bestätigt betroffen: Ubuntu 24.04.4, RHEL 8/9/10, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 8/9/10, Fedora 44, SUSE Virtualization (alle Versionen), OpenShift 4.

Die betroffene Code-Logik im ESP-Subsystem existiert seit Januar 2017. RxRPC seit Juni 2023. Das bedeutet: Die meisten produktiven Linux-Server sind prinzipiell verwundbar.

Was bedeutet das für SAP-Systeme?

RHEL und SUSE Linux Enterprise sind die beiden primären Betriebssysteme für SAP-Produktivumgebungen. SAP HANA, S/4HANA, NetWeaver — alles läuft auf Linux. Und auf diesen Servern gibt es regelmäßig mehrere lokale Benutzer: SAP-Service-Accounts, Monitoring-Tools, Backup-Agenten, CI/CD-Pipelines für ABAP-Transporte.

Jeder dieser lokalen Benutzer kann Dirty Frag ausführen und sich zu root hocharbeiten.

Die Angriffssequenz ist denkbar einfach:

  1. Angreifer erlangt lokalen Zugang (SSH-Credential-Phishing, kompromittierter Service-Account, Schwachstelle in einer Web-App wie GLPI)
  2. Dirty Frag PoC wird ausgeführt — ein Command, öffentlich verfügbar
  3. Root-Zugriff auf den SAP-Server
  4. Ab hier: SAP-Systemdateien manipulieren, Berechtigungen ändern, Backdoors einbauen, Daten exfiltrieren

Microsoft hat bereits limitierte In-the-Wild-Aktivitäten beobachtet: Angreifer erlangen SSH-Zugriff, laden ein ELF-Binary namens ./update hoch, und eskalieren sofort mit su — ein Muster, das auf Dirty Frag hindeutet. Nach der Eskalation manipulieren sie LDAP-Authentifizierungsdateien, inspizieren PHP-Session-Dateien, und löschen Spuren.

Patches?

Der xfrm-ESP-Bug (CVE-2026-43284) wurde im Linux-Kernel mainline gepatcht (Commit f4c50a4034e6). Für das RxRPC-Problem (CVE-2026-43500) gibt es bisher keinen Patch.

Red Hat klassifiziert die Vulnerabilität als „Important“ (nicht Critical) und arbeitet an beschleunigten Fixes für RHEL 8/9/10 sowie OpenShift 4. SUSE hat bestätigt, dass alle SUSE-Virtualization-Versionen betroffen sind, und arbeitet an Kernel-Updates.

Ein komplettes Version-Matrix ist noch nicht verfügbar.

Was kann sofort gemacht werden?

Bis Patches verfügbar sind, empfehlen alle Distributionen, die betroffenen Kernel-Module zu blocklisten:

printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf
rmmod esp4 esp6 rxrpc 2>/dev/null; true

Aber: Das Blocklisten von esp4/esp6 bricht IPsec-Funktionalität. Und rxrpc bricht AFS-Client-Konnektivität. Wer IPsec für SAP-Site-to-Site-VPNs oder verschlüsselte Systemlandschaften nutzt, muss die Auswirkung evaluieren.

Alternative für RHEL: Unprivilegierte User-Namespaces deaktivieren (user.max_user_namespaces=0). Das blockt nur die ESP-Variante — RxRPC bleibt offen. Und rootless Container, Flatpak, und sandboxed Browser funktionieren nicht mehr.

Warum das relevant ist

Dirty Frag gehört zu einer Bug-Klasse, die mit Dirty Pipe (2022) begann: deterministische Logik-Bugs im Kernel, die keine Timing-Fenster brauchen, keine Race Conditions, und keine komplexe Exploit-Infrastruktur. Ein Local-User mit Shell-Zugriff reicht.

Für SAP-Systeme auf RHEL oder SUSE bedeutet das: Jeder kompromittierte Service-Account ist ein Root-Account. Jedes phishige SSH-Passwort ist ein System-Kompromittierung. Und das nicht theoretisch — der PoC ist öffentlich, die Attack Pattern sind dokumentiert, und erste In-the-Wild-Fälle sind bestätigt.

Das ist kein „wir prüfen das beim nächsten Patch-Day“-Problem. Es ist ein „welche SAP-Server haben heute noch die Module geladen“-Problem.

Veröffentlicht am

Deep-Dive: Wie Angreifer vier offizielle SAP-npm-Pakete infiziert haben

Am 29. April 2026 hat eine unbekannte Angriffsgruppe vier npm-Pakete kompromittiert, die offiziell zum SAP-Ökosystem gehören. Die infizierten Versionen waren zwischen zwei und vier Stunden lang auf npm verfügbar. Wer in diesem Zeitfenster npm install ausgeführt hat, hat Schadsoftware auf seinem System.

Was infiziert wurde

Die betroffenen Pakete sind zentrale Bausteine des SAP Cloud Application Programming Model (CAP) — dem Standardframework für custom Development auf SAP BTP, S/4HANA Side-by-Side Extensions und Fiori-Backends:

  • mbt@1.2.48 (MTA Build Tool)
  • @cap-js/db-service@2.10.1
  • @cap-js/postgres@2.2.2
  • @cap-js/sqlite@2.2.2

Das Besondere: Der eigentliche Paketcode ist sauber. Die normalen Dateien der infizierten Versionen stimmen Byte-für-Byte mit den vorherigen, sauberen Versionen überein. Die Kompromittierung versteckt sich in zwei hinzugefügten Dateien: setup.mjs und execution.js, sowie einem preinstall-Hook in der package.json.

Das bedeutet: Die Malware wird automatisch ausgeführt, wenn jemand npm install ausführt — noch bevor die Installation abgeschlossen ist.

Wer dahintersteckt

Die Malware bezeichnet sich selbst als „Mini Shai-Hulud“ — eine Anspielung auf den sandwüstenbasierenden Wurm aus Dune. Sie ist Teil einer größeren Kampagne, die seit Ende 2025 npm-Pakete unterschiedlicher Anbieter infiziert. Die aktuellen Angriffsmuster gleichen denen der „TeamPCP“-Gruppe, die bereits mehrere supply chain Angriffe auf CI/CD-Infrastrukturen durchgeführt hat.

SAP hat am 30. April die Security Note 3747787 veröffentlicht und saubere Versionen aller vier Pakete nachgeliefert.

Wie die Angreifer an die npm-Token gekommen sind

Der wahrscheinlichste Einstiegspunkt ist ein CircleCI-PR-Build des SAP-Repositories cloud-mta-build-tool. Am 29. April wurde ein kurzlebiges Draft-PR mit dem Titel „feat: ci speedup“ geöffnet — und innerhalb weniger Minuten wieder geschlossen. Der Branch wurde später force-pushed, sodass der GitHub-Diff leer ist.

CircleCI hat aber die Build-Logs behalten. Der PR-Build zeigte, dass während des Build-Prozesses Secrets verfügbar waren — darunter CLOUD_MTA_BOT_NPM_TOKENCLOUD_MTA_BOT_GITHUB_TOKEN, OIDC-Tokens, Docker Hub-Zugänge und Cloud Foundry-Credentials. In den Logs tauchen auch Octokit-Warnungen für POST https://api.github.com/user/repos auf. Das entspricht genau dem GitHub-Exfiltrationsverhalten der Malware.

Der Schluss: Jemand hat einen PR gegen das SAP-Repository erstellt, in dem der CircleCI-Build mit den echten Release-Tokens lief. Die Malware im PR-Code hat die Tokens extrahiert und mit dem NPM-Token die infizierten Pakete unter dem offiziellen SAP-Account auf npm veröffentlicht.

Was die Malware macht

Die erste Stage, setup.mjs, lädt die Bun-JavaScript-Runtime (Version 1.3.13) von GitHub herunter und führt damit execution.js aus. Warum Bun? Es umgeht Monitoring-Tools, die auf Node.js-Prozesse überwachen.

execution.js ist ein 11,7 MB großer, verschleierter Credential Stealer und Propagationsframework. Er sammelt:

  • GitHub-Tokens (inklusive gh auth token)
  • npm-Tokens aus .npmrc
  • AWS STS-Identitäten, Secrets Manager, SSM-Parameter
  • Azure Key Vault-Zugänge und Secret-Werte
  • GCP Secret Manager
  • Kubernetes Service Account Tokens
  • GitHub Actions Secrets (dafür wird der Runner.Worker-Prozess im Speicher gelesen und maskierte Secrets extrahiert)
  • Claude-Config, VPN-Configs, Signal-Config, sogar Electrum-Wallets

Die Daten werden mit AES-256-GCM verschlüsselt, der Schlüssel mit einem eingebetteten RSA-4096-Public-Key verpackt, und über öffentliche GitHub-Repositories exfiltriert — erstellt unter dem Konto des Opfers. Die Repos haben zufällige Dune-bezogene Namen und die Beschreibung: „A Mini Shai-Hulud has Appeared“.

Aktuell sind über 1.100 derartige Repos identifizierbar.

Was das für SAP-Kunden bedeutet

CAP ist das de-facto Framework für fast alles Custom auf SAP BTP. Side-by-Side Extensions, Fiori-Backends, Integration-Flows, MTAs — all das nutzt @cap-js/*-Pakete, häufig mit lockeren Version-Ranges und vielen transitive Dependencies.

Das direkte Risiko besteht, wenn Entwickler oder CI/CD-Pipelines am 29. April zwischen 09:55 und 15:40 UTC eines der vier Pakete mit der infizierten Version installiert haben. Die Folge: Das System ist kompromittiert, die Tokens sind weg, und die Malware hat versucht, sich auf alle Repositories zu verbreiten, auf die der Token Zugriff hatte.

Wie man prüft, ob man betroffen ist

Die betroffenen Versionsnummern sind bekannt. Ein Scan der package-lock.json-Dateien auf die vier konkreten Versionen reicht als erster Check. Zusätzlich sollten GitHub-Konten der Entwickler auf unbefugte öffentliche Repositories überprüft werden.

SAP hat die Security Note 3747787 veröffentlicht. Die sauberen Paketversionen überschreiben die infizierten.

Warum das relevant ist

Dieser Angriff zeigt ein Muster, das über SAP hinausgeht: Supply-Chain-Kompromittierungen über CI/CD-Tokens werden zur Norm. Der Unterschied zu klassischen SAP-Security-Themen wie Berechtigungen oder Patches ist, dass dieses Risiko nicht im SAP-System selbst liegt. Es liegt in der Entwicklungsumgebung, im Build-Prozess, im npm-Token.

Keine SIEM-Korrelationsregel wird einen kompromittierten preinstall-Hook erkennen. Kein SAP-Basis-Admin wird einen npm-Token prüfen. Und niemand hat daran gedacht, dass ein PR-Build mit echten Release-Tokens laufen könnte.

Das ist kein SAP-Problem. Es ist ein Software-Supply-Chain-Problem. Aber weil die infizierten Pakete offiziell zum SAP-Ökosystem gehören, trifft es SAP-Kunden direkt.

Veröffentlicht am

Aktuelle Patches

Top 10 der SAP Security Notes für April 2026.

1. Score 9.9   (Hot News)

Nummer: 3719353 

[CVE-2026-27681] SQL-Injection-Schwachstelle in SAP Business Planning and Consolidation und SAP Business Warehouse

Ein authentifizierter Benutzer kann infolge mangelhafter Berechtigungsprüfungen in SAP Business Planning and Consolidation sowie SAP Business Warehouse Datenbankdaten mittels gezielter SQL-Anweisungen lesen, bearbeiten oder löschen. Die Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Systems sind dabei erheblich.

READ MORE

2. Score 7.1   (High priority)

Nummer: 3731908

[CVE-2026-34256] Fehlende Berechtigungsprüfung in SAP ERP und SAP S/4HANA (Private Cloud und On-Premise)

In SAP ERP sowie SAP S/4HANA (Private Cloud und On-Premise) ermöglicht eine fehlende Berechtigungsprüfung authentifizierten Angreifern, durch Ausführen eines bestimmten ABAP-Reports beliebige achtstellige ausführbare ABAP-Reports unbefugt zu überschreiben. Falls der betroffene Report danach aufgerufen wird, steht dessen eigentliche Funktion eventuell nicht mehr zur Verfügung. Eine erfolgreiche Ausnutzung beeinträchtigt die Verfügbarkeit sowie die Integrität des spezifischen Reports, wohingegen die Vertraulichkeit unberührt bleibt.

READ MORE

3. Score 6.5   (Medium Priority)

Nummer: 3680767

[CVE-2026-34264] Schwachstelle mit Blick auf Offenlegung von Informationen in SAP Human Capital Management für SAP S/4HANA

Bestimmte Rückmeldungen des Systems bei Berechtigungsprüfungen in SAP Human Capital Management für SAP S/4HANA erlauben es authentifizierten Benutzern mit geringen Privilegien, Inhalte außerhalb ihres Befugnisbereichs zu erraten und aufzulisten. Infolgedessen werden sensible Daten offengelegt, was die Vertraulichkeit stark beeinträchtigt, während Integrität und Verfügbarkeit unberührt bleiben.

READ MORE

4. Score 6.5   (Medium Priority)

Nummer: 3715177

[CVE-2026-27678] – Fehlende Berechtigungsprüfung in SAP-S/4HANA-Backend-OData-Service („Referenzstrukturen verwalten“)

Untergeordnete Entitäten lassen sich über exponierte OData-Services ohne entsprechende Befugnis aktualisieren oder löschen, weil im SAP-S/4HANA-Backend-OData-Service („Referenzstrukturen verwalten“) Berechtigungsprüfungen fehlen. Diese Schwachstelle beeinträchtigt die Integrität massiv, hat jedoch keinen Einfluss auf die Vertraulichkeit und Verfügbarkeit.

READ MORE

5. Score 6.5   (Medium Priority)

Nummer: 3715097

[CVE-2026-27677] – Fehlende Berechtigungsprüfung in SAP-S/4HANA-OData-Service („Referenzequipment pflegen“)

Einem Angreifer ist es möglich, untergeordnete Entitäten ohne die nötige Befugnis über OData-Services zu aktualisieren oder zu löschen, da im SAP-S/4HANA-OData-Service („Referenzequipment pflegen“) entsprechende Prüfungen fehlen. Die Integrität wird durch diese Schwachstelle erheblich beeinträchtigt, während keine Auswirkungen auf die Vertraulichkeit und Verfügbarkeit bestehen.

READ MORE

6. Score 6.5   (Medium Priority)

Nummer: 3696239

[CVE-2025-64775] Denial-of-Service-Schwachstelle in SAP-BusinessObjects-Business-Intelligence-Plattform

In dem SAP-S/4HANA-OData-Service („Referenzequipment pflegen“) lassen sich untergeordnete Entitäten unbefugt über OData-Services aktualisieren und löschen, da keine Berechtigungsprüfungen stattfinden. Dies beeinträchtigt die Integrität in hohem Maße, wirkt sich jedoch nicht auf die Vertraulichkeit oder Verfügbarkeit aus.

READ MORE

7. Score 6.5   (Medium Priority)

Nummer: 3705094

[CVE-2026-34261] Fehlende Berechtigungsprüfung in SAP Business Analytics und SAP Content Management

Unbefugte Aufrufe bestimmter Remote-Funktionsbausteine sind für authentifizierte Benutzer in SAP Business Analytics und SAP Content Management möglich, da keine ausreichenden Berechtigungsprüfungen stattfinden. Dies kann den Zugriff auf sensible Informationen über die zugewiesenen Rechte hinaus ermöglichen. Die Integrität und Verfügbarkeit bleiben gewahrt, während die Vertraulichkeit beeinträchtigt wird.

READ MORE

8. Score 6.5   (Medium Priority)

Nummer: 3716767

[CVE-2026-27679] Fehlende Berechtigungsprüfung in SAP-S/4HANA-Frontend-OData-Service („Referenzstrukturen verwalten“)

Über den SAP-S/4HANA-Frontend-OData-Service („Referenzstrukturen verwalten“) können Angreifer mangels Berechtigungsprüfungen untergeordnete Entitäten unbefugt aktualisieren oder löschen. Während die Integrität hierdurch stark beeinträchtigt wird, bleiben Vertraulichkeit und Verfügbarkeit unberührt.

READ MORE

9. Score 6.1   (Medium Priority)

Nummer: 3692004

[CVE-2026-34257] Open-Redirect-Schwachstelle in SAP NetWeaver Application Server ABAP

Nicht authentifizierte Angreifer können infolge einer Open-Redirect-Schwachstelle in SAP NetWeaver Application Server ABAP schädliche URLs erzeugen, die Opfer bei Zugriff auf eine vom Angreifer kontrollierte Seite umleiten. Während die Verfügbarkeit der Anwendung unberührt bleibt, werden Vertraulichkeit und Integrität in geringem Maße beeinträchtigt.

READ MORE

10. Score 6.1   (Medium Priority)

Nummer: 3719397

[CVE-2026-27674] Code-Injection-Schwachstelle in SAP NetWeaver Application Server Java (Web Dynpro Java)

Ein nicht authentifizierter Angreifer kann durch eine Code-Injection-Schwachstelle in SAP NetWeaver Application Server Java (Web Dynpro Java) manipulierte Eingaben bereitstellen, die die Anwendung auf externe Inhalte verweisen lassen. Sobald ein Opfer die betroffene Funktion nutzt, wird dieser kontrollierte Inhalt im Browser ausgeführt, was die Sitzung gefährden und die Ausführung beliebigen clientseitigen Codes ermöglichen kann. Während die Vertraulichkeit und Integrität dadurch beeinträchtigt werden, bleibt die Verfügbarkeit gewahrt.

READ MORE

>> Weitere Security Notes https://me.sap.com/securitynotes

Das regelmäßige Einspielen von Security-Patches ist aus drei Gründen unverzichtbar:

  • Schutz vor Totalausfall & Sabotage: Wie die aktuellen Meldungen zu Denial-of-Service (DoS) zeigen, können Angreifer Systeme gezielt lahmlegen. Ohne Patches riskieren Unternehmen kostspielige Stillstände der gesamten Produktion oder des Vertriebs.

  • Prävention von Datendiebstahl: Schwachstellen wie SQL-Injections oder XML-Manipulationen sind offene Türen für Industriespionage. Einmal im System, können Angreifer unbemerkt sensible Geschäftsgeheimnisse oder Kundendaten absaugen.

  • Compliance & Haftung: Gesetzliche Anforderungen (wie die DSGVO) und interne Audits fordern ein angemessenes Sicherheitsniveau. Wer bekannte Lücken offen lässt, handelt grob fahrlässig und riskiert nicht nur Bußgelder, sondern auch einen massiven Reputationsverlust.

Veröffentlicht am

Aktuelle Patches

Top 10 der SAP Security Notes für Februar 2026.

1. Score 9.9   (Hot News)

Nummer: 3697099

[CVE-2026-0488] Code-Injection-Schwachstelle in SAP CRM und SAP S/4HANA (Scripting-Editor)

Ein authentifizierter Angreifer kann über einen Fehler in generischen Funktionsbausteinen unbefugt kritische Funktionen aufrufen. Besonders brisant: Durch die Ausführung beliebiger SQL-Anweisungen droht eine vollständige Kompromittierung der Datenbank. Dies gefährdet die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Unternehmensdaten massiv.

READ MORE

2. Score 9.6  (Hot News)

Nummer: 3674774

 

[CVE-2026-0509] Fehlende Berechtigungsprüfung in SAP NetWeaver Application Server ABAP und ABAP-Plattform

Berechtigungsumgehung in SAP NetWeaver AS ABAP & ABAP-Plattform. In der ABAP-Plattform wurde eine Schwachstelle identifiziert, die es authentifizierten Benutzern mit minimalen Rechten ermöglicht, Background Remote Function Calls (bgRFC) auszuführen – und das ohne die eigentlich zwingend erforderliche S_RFC-Berechtigung. Während die Vertraulichkeit der Daten gewahrt bleibt, können die Integrität und die Verfügbarkeit des Systems durch unbefugte Funktionsaufrufe erheblich beeinträchtigt werden.

READ MORE

3. Score 8.8  (High Priority)

Nummer: 3697567

 [CVE-2026-23687] XML Signature Wrapping in SAP NetWeaver AS ABAP und ABAP-Plattform.

Sicherheitslücke bei der XML-Signaturprüfung in SAP NetWeaver AS ABAP. Eine Schwachstelle in der ABAP-Plattform erlaubt es authentifizierten Angreifern, signierte XML-Dokumente zu manipulieren und diese erfolgreich verifizieren zu lassen. Durch das Einschleusen modifizierter Nachrichten können manipulative Identitätsangaben vorgetäuscht werden. Dies ermöglicht unbefugten Zugriff auf sensible Benutzerdaten und kann den regulären Systembetrieb empfindlich stören.

READ MORE

4. Score 7.7   (High priority)

Nummer: 3703092

[CVE-2026-23689] Denial of Service (DOS) in SAP Supply Chain Management

Denial-of-Service (DoS) durch Ressourcen-Erschöpfung. Ein Fehler in einem remote-fähigen Funktionsbaustein ermöglicht es authentifizierten Angreifern, das System gezielt zu überlasten. Durch den Aufruf mit extrem hohen Schleifenparametern werden massiv Systemressourcen gebunden. Dies führt zu langanhaltenden Rechenprozessen, die die Verfügbarkeit des gesamten Systems lahmlegen können. Während Daten sicher bleiben (Vertraulichkeit/Integrität), droht ein kompletter Stillstand der betroffenen Dienste.

READ MORE

5. Score 7.7   (High priority)

Nummer: 3705882

[CVE-2026-24322] Fehlende Berechtigungsprüfung in SAP Solution Tools Plug-In (ST-PI)

Denial-of-Service (DoS) durch Ressourcen-Erschöpfung.  Ein Fehler in einem remote-fähigen Funktionsbaustein ermöglicht es authentifizierten Angreifern, das System gezielt zu überlasten. Durch den Aufruf mit extrem hohen Schleifenparametern werden massiv Systemressourcen gebunden. Dies führt zu langanhaltenden Rechenprozessen, die die Verfügbarkeit des gesamten Systems lahmlegen können. Während Daten sicher bleiben (Vertraulichkeit/Integrität), droht ein kompletter Stillstand der betroffenen Dienste.

READ MORE

6. Score 7.5   (High priority)

Nummer: 3654236

[CVE-2026-0490] Denial-of-Service (DoS) in SAP-BusinessObjects-BI-Plattform

Authentifizierungsumgehung in SAP BusinessObjects BI. Eine kritische Schwachstelle in der SAP BusinessObjects BI-Plattform ermöglicht es nicht authentifizierten Angreifern, Sicherheitsmechanismen an vertrauenswürdigen Endpunkten zu umgehen. Durch gezielte Netzwerkanfragen können rechtmäßige Benutzer am Zugriff auf die Plattform gehindert werden. Dies führt zu einer massiven Beeinträchtigung der Systemverfügbarkeit (Denial of Service), ohne dass dabei Daten abfließen oder verändert werden.

READ MORE

7. Score 7.5   (High Priority)

Nummer: 3678282

[CVE-2026-0485] Denial-of-Service-Schwachstelle (DoS) in SAP-BusinessObjects-BI-Plattform

Dauerhafter Denial-of-Service im BusinessObjects CMS. Die SAP BusinessObjects BI-Plattform weist eine Schwachstelle auf, durch die ein nicht authentifizierter Angreifer den Content Management Server (CMS) gezielt zum Absturz bringen kann. Durch wiederholte, speziell gestaltete Anfragen lässt sich das automatische Neustarten des Servers ausnutzen, um eine dauerhafte Serviceunterbrechung zu erzwingen. Während Vertraulichkeit und Integrität gewahrt bleiben, ist die Verfügbarkeit der gesamten Plattform massiv gefährdet.

READ MORE

8. Score 7.4   (High Priority)

Nummer: 3692405

[CVE-2025-12383] Race-Bedingung in SAP Commerce Cloud

SSL-Trust-Umgehung in SAP Commerce Cloud. Aufgrund einer Race Condition in der verwendeten Eclipse-Jersey-Bibliothek (CVE-2025-12383) weist die SAP Commerce Cloud eine Sicherheitslücke bei der SSL-Validierung auf. Authentifizierte Benutzer können unter bestimmten Bedingungen die Prüfung von SSL-Zertifikaten für ausgehende Verbindungen umgehen. Dies ermöglicht potenzielle Man-in-the-Middle-Angriffe, was die Vertraulichkeit und Integrität der übertragenen Daten erheblich gefährdet.

READ MORE

9. Score 7.3   (High Priority)

Nummer: 3674246

[CVE-2026-0508] Open-Redirect-Schwachstelle in SAP BusinessObjects Business Intelligence

URL-Injection und unvalidierte Umleitung in SAP BusinessObjects BI. Eine Schwachstelle in SAP BusinessObjects BI ermöglicht es hochprivilegierten Angreifern, schädliche URLs in die Anwendung einzuschleusen. Durch diese „Open Redirection“ werden Opfer beim Zugriff auf die manipulierten Links auf externe, vom Angreifer kontrollierte Domänen umgeleitet. Dies kann zum automatischen Download von Schadsoftware führen und gefährdet somit massiv die Vertraulichkeit und Integrität der lokalen Arbeitsumgebung und der Anwendungsdaten.

READ MORE

10. Score 6.5   (Medium Priority)

Nummer: 3695912

[CVE-2026-24324] Denial-of-Service-Schwachstelle (DoS) in SAP-BusinessObjects-Business-Intelligence-Plattform (Admin-Tools)

Denial-of-Service via Admin-Tools in SAP BusinessObjects BI. Eine Schwachstelle in den Admin-Tools der SAP BusinessObjects BI-Plattform ermöglicht es authentifizierten Benutzern, durch eine spezifische Abfrage den Content Management Server (CMS) zum Absturz zu bringen. Dies führt zu einem teilweisen oder vollständigen Denial-of-Service (DoS). Während Vertraulichkeit und Integrität gewahrt bleiben, wird die Verfügbarkeit der zentralen BI-Dienste durch diese Lücke erheblich eingeschränkt.

READ MORE

>> Weitere Security Notes, 15 mit der Priorität Medium und 2 mit Low Priority  https://me.sap.com/securitynotes

Das regelmäßige Einspielen von Security-Patches ist aus drei Gründen unverzichtbar:

  • Schutz vor Totalausfall & Sabotage: Wie die aktuellen Meldungen zu Denial-of-Service (DoS) zeigen, können Angreifer Systeme gezielt lahmlegen. Ohne Patches riskieren Unternehmen kostspielige Stillstände der gesamten Produktion oder des Vertriebs.

  • Prävention von Datendiebstahl: Schwachstellen wie SQL-Injections oder XML-Manipulationen sind offene Türen für Industriespionage. Einmal im System, können Angreifer unbemerkt sensible Geschäftsgeheimnisse oder Kundendaten absaugen.

  • Compliance & Haftung: Gesetzliche Anforderungen (wie die DSGVO) und interne Audits fordern ein angemessenes Sicherheitsniveau. Wer bekannte Lücken offen lässt, handelt grob fahrlässig und riskiert nicht nur Bußgelder, sondern auch einen massiven Reputationsverlust.

Veröffentlicht am

Von Bits & Bytes zur Business-Entscheidung – Reporting für Management und Auditoren

Wir haben in den letzten Wochen viel über technische Details gesprochen: Über SQL-Injections im ABAP-Code, über Wildcards in Cloud-Connectoren und über Berechtigungstraces. Doch am Ende des Tages steht der CISO oder der IT-Leiter vor einer ganz anderen Herausforderung: Er muss den Gesamtzustand der Sicherheit bewerten und Budgets oder Maßnahmen rechtfertigen.

Ein Vorstand interessiert sich selten für den Parameter rdisp/rfc_use_quotas. Er fragt: „Wie sicher sind wir? Erfüllen wir die Compliance-Vorgaben? Und wird es besser oder schlechter?“

Im Finale unserer Serie zeigen wir, wie der werthAUDITOR als Übersetzer fungiert – und aus komplexen technischen Daten entscheidungskritische Management-Informationen macht.

1. The Big Picture: Sicherheit messbar machen (KPIs)

Schluss mit dem Bauchgefühl. Das Management Dashboard des werthAUDITOR verdichtet Tausende von Einzelprüfergebnissen zu verständlichen Kennzahlen (KPIs).

Wie im Screenshot unten zu sehen, erhalten Sie einen „Average Security KPI“. Dieser Wert zeigt Ihnen auf einen Blick, wie „gesund“ Ihre SAP-Landschaft ist.

  • Trend-Analyse: Die Verlaufskurven zeigen nicht nur den Ist-Zustand, sondern die Entwicklung. Haben die Maßnahmen des letzten Monats gegriffen? Oder sinkt das Sicherheitsniveau durch neue Projekte wieder ab?
  • Hotspots: Grafiken wie „Threats per System“ zeigen sofort, welche Systeme die größten Sorgenkinder sind und wo dringender Handlungsbedarf besteht.

(Führung durch Daten: Das Dashboard zeigt den Sicherheits-Score, Bedrohungstrends und die Verteilung der Risiken auf einen Blick )

2. Audit-Readiness: Den Prüfer glücklich machen

Wenn der Wirtschaftsprüfer kommt, bricht oft Hektik aus. Screenshots werden gemacht, Excel-Listen händisch gepflegt. Mit dem werthAUDITOR generieren Sie den Audit-Report auf Knopfdruck.

Unsere Risk Summary kategorisiert alle gefundenen Schwachstellen automatisch nach Schweregrad (Critical, High, Medium, Low). Viel wichtiger noch: Wir mappen die Ergebnisse direkt auf gängige Compliance-Standards. Der Report zeigt schwarz auf weiß:

  • Wie viele Anforderungen des DSAG Prüfleitfadens sind erfüllt?
  • Wo verstoßen wir gegen den BSI IT-Grundschutz?
  • Erfüllen wir die SAP Security Baseline?

Das spart nicht nur Tage an Vorbereitungszeit, sondern schafft Vertrauen durch Transparenz.

(Klartext für das Audit: Automatische Bewertung der Risiken und Abgleich gegen Compliance-Standards wie DSAG und BSI )

3. Priorisierung: Wichtiges zuerst

Nicht jedes Finding ist gleich kritisch. Eine fehlende Berechtigung im Entwicklungssystem ist anders zu bewerten als eine SQL-Injection im HR-System. Der werthAUDITOR hilft Ihnen bei der Priorisierung. Durch die visuelle Aufbereitung („Risk Heatmaps“ und Ampelsysteme) sehen Sie sofort, welche 5 Maßnahmen Sie heute ergreifen müssen, um das Risiko für das Unternehmen maximal zu senken.

Fazit der Serie: Eine Plattform, 360° Sicherheit

Wir haben unsere Reise bei den Berechtigungen begonnen, haben Schnittstellen visualisiert, Code gescannt, Logs überwacht und sind bis in die Cloud gegangen. Der rote Faden dabei: Der werthAUDITOR.

Anstatt ein Dutzend isolierter Tools zu betreiben, bietet Ihnen unsere Plattform den integrierten Ansatz:

  1. Analysieren (Scan & Code)
  2. Überwachen (Threat Detection & Logs)
  3. Berichten (Dashboard & Audit Reports)

Sicherheit in SAP ist komplex, aber sie muss nicht kompliziert sein. Mit den richtigen Werkzeugen wird aus der „Blackbox SAP“ eine transparente Festung.

Möchten Sie Ihren eigenen Security KPI kennenlernen? Wir laden Sie herzlich ein, den werthAUDITOR in Ihrer Landschaft zu testen. Starten Sie mit einem Assessment und erhalten Sie Ihren ersten Management-Report von uns. Vielen Dank, dass Sie uns in dieser Serie begleitet haben!

Veröffentlicht am

Use Case #6: Ab in die Cloud – aber sicher! SAP BTP und Cloud Connector im Visier

Die SAP-Strategie ist klar: Die Zukunft ist hybrid oder Cloud-only. Mit der SAP Business Technology Platform (BTP) verlagern Unternehmen zunehmend kritische Prozesse, Apps und Integrationen in die Cloud. Doch während die On-Premise-Welt oft seit Jahren abgeschottet wird, ist die Cloud für viele SAP-Basis-Teams noch „Neuland“.

Das gefährliche Missverständnis: „Die Cloud ist doch per se sicher, darum kümmert sich SAP.“ Das stimmt nur für die Infrastruktur. Für die Konfiguration Ihrer Subaccounts, die Berechtigungen in der Cloud und vor allem die Verbindung zum On-Premise-System sind Sie verantwortlich.

In diesem Beitrag zeigen wir, wie der werthAUDITOR Licht in Ihre hybride Landschaft bringt und die „Brücke in die Cloud“ absichert.

1. Der Cloud Connector: Die Achillesferse

Der SAP Cloud Connector (SCC) ist das Bindeglied zwischen Ihrer geschützten On-Premise-Welt und der öffentlichen BTP. Er ist faktisch ein Tunnel durch Ihre Firewall. Ist dieser Tunnel falsch konfiguriert, kann ein Angreifer, der einen Cloud-Account kompromittiert, direkt auf Ihr internes ERP-System durchgreifen.

Der werthAUDITOR prüft:

  • Härtung der Anbindung: Ist der Cloud Connector selbst sicher konfiguriert?
  • Ressourcen-Zugriff: Welche internen Systeme und Funktionsbausteine (RFCs) sind für die Cloud freigegeben? Oft sind hier Wildcards (*) gesetzt, die Tür und Tor öffnen.
  • Veraltete Versionen: Läuft der Connector auf einem aktuellen, sicheren Patch-Level?

2. Transparenz über BTP-Dienste und Flows

In der BTP verliert man schnell den Überblick. Wer nutzt welche Services? Welche Daten fließen wohin? Der werthAUDITOR inventarisiert Ihre Cloud-Landschaft genauso gründlich wie Ihr On-Premise-System. Wir analysieren:

  • Integration Flows: Welche Schnittstellen-Prozesse laufen aktuell? Wir listen Endpunkte und Datenflüsse auf.
  • Aktive Services & Apps: Welche BTP-Dienste sind aktiviert und bieten sie Angriffsfläche?.
  • SubAccount-Härtung: Sind die Cloud-Accounts selbst nach Best-Practices abgesichert (Authentifizierung, Admins)?.

3. Alles in einem Bericht

Das Besondere am werthAUDITOR: Sie müssen nicht in drei verschiedenen Cloud-Cockpits und zwei On-Premise-Systemen suchen. Die Ergebnisse der BTP-Analyse fließen nahtlos in den zentralen Sicherheitsbericht ein.

Sie sehen „Hybrid Security“ auf einen Blick:

  • Risiken im ABAP-Code (On-Prem).
  • Offene RFC-Schnittstellen (Hybrid).
  • Unsichere Cloud-Flows (BTP).

Fazit: Hybride Sicherheit aus einer Hand

Die SAP BTP bietet enorme Chancen, aber auch neue Risiken. Behandeln Sie Ihre Cloud-Projekte nicht als „Schatten-IT“. Mit dem werthAUDITOR integrieren Sie die BTP und den Cloud Connector vollautomatisch in Ihr Sicherheitskonzept – genau wie jedes andere SAP-System auch.

Ihr nächster Schritt: Wissen Sie, welche internen RFC-Bausteine Ihr Cloud Connector aktuell ins Internet freigibt? Wir zeigen es Ihnen in wenigen Minuten.

Veröffentlicht am

Use Case #5: Das Trojanische Pferd im eigenen System – Custom ABAP Code Security

Sie vertrauen darauf, dass SAP seine Standardsoftware sicher entwickelt. Aber was ist mit den Millionen Zeilen Code, die Ihre eigenen Entwickler oder externe Dienstleister über die Jahre geschrieben haben?

In fast jedem SAP-System schlummern abertausende Z-Programme und Erweiterungen. Das Problem: ABAP-Entwickler werden für Funktionalität bezahlt, nicht für Sicherheit. Oft fehlt das Bewusstsein für Secure Coding. Das Ergebnis sind hausgemachte Einfallstore wie SQL-Injections, fehlende Berechtigungsprüfungen oder Backdoors, die selbst die beste Firewall umgehen.

In diesem Beitrag zeigen wir, wie der werthAUDITOR Ihren eigenentwickelten Code (Custom Code) durchleuchtet und Sicherheitslücken präzise aufzeigt – wie Sie im Screenshot sehen können.

1. Der unsichtbare Feind (Static Code Analysis)

Ein klassischer Virenscanner hilft bei ABAP nicht. Sie benötigen eine spezialisierte Analyse. Der werthAUDITOR scannt Ihren gesamten kundeneigenen Namensraum (Z* / Y*) auf typische Sicherheitsmuster.

Dabei geht es nicht um Syntaxfehler, sondern um handfeste Risiken:

  • SQL-Injection: Unsichere Datenbankabfragen, über die Angreifer Daten manipulieren können.
  • Backdoors: Hartcodierte User-Checks (z.B. IF sy-uname = 'DEVELOPER'), die als geheime Hintertüren dienen.
  • OS Command Injection: Befehle, die direkt auf das Betriebssystem durchgreifen.

2. Präzision bis auf die Zeile (Finding Details)

Ein Scan-Ergebnis muss für Entwickler sofort verständlich sein. Pauschale Warnungen helfen niemandem. Der werthAUDITOR liefert daher – wie hier im Bild zu sehen – alle Details auf einen Blick:

  • Die Fundstelle: Der Screenshot zeigt exakt die betroffene Code-Zeile und den Report-Namen. Sie sehen sofort den Kontext (z.B. ein dynamischer SELECT oder ein kritischer Funktionsaufruf), ohne erst im System suchen zu müssen.
  • Die Bewertung: Der CVSS-Score (hier z.B. oben rechts im Bild) gibt Ihnen eine objektive Einschätzung der Gefährlichkeit. So können Sie priorisieren: Kritische Lücken zuerst!
  • Die Lösung: Unter „Problemberichtigung“ liefert das Tool keine kryptischen Fehlercodes, sondern eine klare Handlungsanweisung. Oft wird direkt erklärt, wie der Code umgeschrieben werden muss oder welche SAP-Klasse stattdessen verwendet werden sollte.

3. Zero Footprint – Sicherheit ohne Ballast

Viele Code-Scanner erfordern aufwendige Installationen oder den Export des gesamten Quellcodes in externe Systeme. Der werthAUDITOR arbeitet nach dem Zero-Footprint-Ansatz. Die Analyse erfolgt ressourcenschonend über die RFC-Schnittstelle, ohne dass Sie zusätzliche Agenten auf Ihrem Produktions- oder Entwicklungssystem installieren müssen.

4. Integration in den Entwicklungsprozess

Am besten beheben Sie Fehler, noch bevor sie im Produktivsystem landen. Integrieren Sie den werthAUDITOR Scan in Ihre Transportwege. So etablieren Sie ein „Security Quality Gate“, das schlechten Code gar nicht erst durchlässt.

Fazit: Code-Sicherheit transparent gemacht

Ihr eigener Code ist oft die größte Unbekannte in Ihrer Sicherheitsgleichung. Mit der Custom ABAP Code Security des werthAUDITOR machen Sie diese „Blackbox“ transparent. Der Screenshot beweist: Sie erhalten keine abstrakten Daten, sondern eine klare Arbeitsanweisung für Ihre Entwickler.

Ihr nächster Schritt: Wissen Sie, ob in Ihren Z-Programmen versteckte DELETE-Befehle schlummern? Lassen Sie uns einen Scan über Ihren Custom Code laufen und die Ergebnisse gemeinsam analysieren.

Veröffentlicht am

Use Case #4: Schluss mit dem Patch-Chaos – Automatisches Vulnerability Management und Systemhärtung

Jeden zweiten Dienstag im Monat ist „Patch Day“. Die SAP veröffentlicht neue Security Notes, und für SAP-Basis-Administratoren beginnt das große Suchen: „Ist mein Kernel betroffen? Haben wir diesen Parameter schon gesetzt? Gilt dieser Hinweis überhaupt für unsere Version?“

Die Realität in vielen Unternehmen ist ernüchternd: Tausende Systemparameter und Patch-Level werden manuell oder mit selbstgebauten Skripten geprüft. Das ist nicht nur fehleranfällig, sondern bei der heutigen Schlagzahl an Sicherheitslücken schlichtweg nicht mehr leistbar. Oft bleiben Systeme monatelang ungepatcht, weil der Überblick fehlt oder die Priorisierung unklar ist.

In diesem Beitrag zeigen wir, wie Sie mit dem werthAUDITOR das Steuer übernehmen: Durch vollautomatisierte Configuration Validation und intelligentes Vulnerability Management.

1. Der automatisierte 360°-Check (Vulnerability Management)

Sicherheit ist kein statischer Zustand, sondern eine Momentaufnahme. Was heute sicher ist, kann morgen durch eine neu entdeckte Lücke (CVE) kritisch sein. Der werthAUDITOR prüft Ihre Systeme daher nicht punktuell, sondern kontinuierlich und ganzheitlich.

Unsere Security Engine scannt weit mehr als nur fehlende SAP-Hinweise. Wir prüfen den gesamten Stack:

  • Patch-Level: Fehlen kritische Security Notes im ABAP-Stack, im Kernel oder in der Datenbank?
  • Betriebssystem: Sind OS-Bibliotheken aktuell und gehärtet?
  • Konfiguration: Sind Profilparameter (z.B. für Passwortrichtlinien oder Gateway-Sicherheit) korrekt gesetzt?

Das Ergebnis ist eine klare, priorisierte Risikoübersicht. Sie sehen sofort, wo der Schuh drückt – bewertet nach dem CVSS-Score (Common Vulnerability Scoring System), damit Sie wissen, was Sie zuerst fixen müssen.

(Alles auf einen Blick: Die Risikoübersicht zeigt fehlende Patches, kritische Berechtigungen und Konfigurationsfehler, sauber kategorisiert und bewertet)

2. Compliance auf Knopfdruck (Systemhärtung)

Neben fehlenden Updates sind Fehlkonfigurationen das größte Einfallstor. Doch wer kennt schon alle 2.000+ sicherheitsrelevanten SAP-Einstellungen auswendig?

Der werthAUDITOR bringt das Expertenwissen „Out of the Box“ mit. Wir prüfen Ihre Systeme automatisch gegen die wichtigsten Sicherheitsstandards:

  • DSAG Prüfleitfaden
  • BSI IT-Grundschutz
  • SAP Security Baseline

Sie erhalten keinen abstrakten Report, sondern konkrete Handlungsempfehlungen. Wenn ein Parameter falsch gesetzt ist, sagt Ihnen das Tool nicht nur, dass es so ist, sondern auch, wie der korrekte Wert lauten muss und warum das wichtig ist.

3. Zero Footprint – Sicherheit ohne Ballast

Viele Security-Tools erfordern die Installation von Agenten auf jedem einzelnen SAP-Server. Das freut keinen Basis-Admin: Mehr Wartungsaufwand, potenzielle Performance-Probleme und Abhängigkeiten bei Upgrades.

Wir gehen einen anderen Weg. Der werthAUDITOR arbeitet nach dem „Zero Footprint“-Prinzip. Die Prüfung erfolgt von außen über Standard-Schnittstellen (RFC), ohne dass Sie Software auf Ihren produktiven SAP-Systemen installieren müssen. Das hält Ihre Systeme sauber und reduziert den administrativen Aufwand auf ein Minimum.

Fazit: Agieren statt Reagieren

Mit dem automatisierten Vulnerability Management des werthAUDITOR verwandeln Sie den monatlichen „Patch-Stress“ in einen geordneten Prozess. Sie wissen jederzeit, wie sicher Ihre Systeme sind, erfüllen Compliance-Vorgaben quasi nebenbei und können Auditoren jederzeit valide Berichte vorlegen.

Statt Listen zu pflegen, können Sie sich wieder darauf konzentrieren, Ihre SAP-Landschaft stabil und performant zu halten.

Ihr nächster Schritt: Sind Sie sicher, dass Ihr Gateway-Parameter gw/acl_mode korrekt gesetzt ist? Ein kurzer Scan gibt Ihnen Gewissheit. Sprechen Sie uns an!

Veröffentlicht am

Use Case #1: Schlanke SAP-Rollen ohne Betriebsstillstand – Role Minimization und Simulation

Es ist das klassische Dilemma eines jeden SAP-Berechtigungsadministrators: Der Wirtschaftsprüfer fordert restriktive Berechtigungen (Need-to-Know-Prinzip), aber der Fachbereich fordert: „Es muss einfach laufen!“

Das Ergebnis in der Praxis ist oft ernüchternd: „Historisch gewachsene“ Rollen, User mit viel zu weiten Kompetenzen und die berühmte Angst vor Änderungen („Never touch a running system“). Denn wer Rechte entzieht, riskiert, dass kritische Geschäftsprozesse plötzlich stehenbleiben. Eine manuelle Bereinigung gleicht der Suche nach der Nadel im Heuhaufen und ist enorm zeitaufwendig.

In diesem Beitrag zeigen wir Ihnen, wie Sie mit dem werthAUDITOR diesen gordischen Knoten lösen – durch datenbasierte Role Minimization und proaktive Simulation.

Schritt 1: Messen statt Raten (Role Minimization)

Warum manuell erraten, was ein Sachbearbeiter im Einkauf wirklich tut, wenn das System es uns sagen kann? Der werthAUDITOR bietet hierfür die leistungsstarke Benutzertrace Analyse.

Anstatt Usern pauschal weitreichende Rechte zu geben, gehen Sie so vor:

  1. Aufzeichnen: Sie aktivieren einen Trace für einen Referenzzeitraum (z.B. einen Monatsabschluss).
  2. Analysieren: Der werthAUDITOR wertet die Trace-Daten aus. Das Dashboard zeigt Ihnen präzise, welche Berechtigungsobjekte, Feldwerte und Transaktionen tatsächlich erfolgreich genutzt wurden. Im Screenshot sehen Sie beispielsweise genau, dass der User das Objekt PLOG mit dem Infotyp 1001 und dem Subtyp B007 benötigt hat.
  3. Generieren: Jetzt kommt der Clou. Statt die Rolle manuell in der PFCG zu bauen, nutzen Sie die Funktion „Rolle exportieren“. Der werthAUDITOR generiert einen Vorschlag für eine passgenaue Rolle, die exakt den genutzten Funktionen entspricht.

Das Ergebnis: Eine radikal entschlackte Rolle, die funktioniert – ohne das Risiko, zu viel wegzunehmen.

(Datenbasierte Entscheidung: Der werthAUDITOR zeigt genutzte Rechte und generiert daraus den Rollenvorschlag)

Schritt 2: Sicherheit vor dem Go-Live (Role Verification & Simulation)

Nachdem Sie eine Rolle entschlackt oder neu gebaut haben, stellt sich die nächste Frage: Habe ich versehentlich eine kritische Berechtigung (SoD-Konflikt) eingebaut? Oder reicht die neue Rolle für den Job aus?

Bevor Sie die Änderungen im Produktivsystem aktivieren, nutzen Sie die Berechtigungssimulation des werthAUDITOR.

  • Simulation gegen Regelwerke: Prüfen Sie die geplante Rolle (oder den User) gegen gängige Sicherheitsstandards (DSAG, BSI) oder Ihre eigenen Compliance-Regeln.
  • Risiko-Vorschau: Sie sehen sofort, ob die Änderung zu „Kritischen Berechtigungen“ (z.B. Debugging mit Speicheränderung oder direkter Tabellenpflege) führen würde.
  • Transparenz: Die Simulation zeigt Ihnen nicht nur das „Ob“, sondern auch das „Warum“ – bis hinunter auf die Ebene der einzelnen Berechtigungsobjekte.

Fazit: Compliance ohne Kopfschmerzen

Mit der Kombination aus Role Minimization (Trace-Analyse) und Role Verification (Simulation) verwandeln Sie das Berechtigungsmanagement von einer angstgesteuerten Aufgabe in einen kontrollierten, sicheren Prozess.

Sie erfüllen die Anforderungen der Wirtschaftsprüfer (Least Privilege), ohne die Produktivität der Fachbereiche zu gefährden.

Ihr nächster Schritt: Möchten Sie wissen, wie viele überflüssige Berechtigungen in Ihren Rollen schlummern? Wir bieten Ihnen gerne eine Demo anhand Ihrer eigenen Daten an.