Salta al contenuto
PL Consulting
IT DE
Mit einem Berater sprechen

← Alle News

News

ACN warnt: Kritische Sicherheitsupdates für SAP-Schwachstellen

9. Juni 2026

Quelle ACN / CSIRT Italia ↗

Auf einen Blick

ACN informiert über den SAP Security Patch Day im Juni, an dem Updates zur Behebung neuer Schwachstellen veröffentlicht wurden. Drei davon werden als „kritisch“ und eine als „hoch“ eingestuft. Es ist unerlässlich, die Patches zeitnah anzuwenden, um SAP-Systeme zu schützen.

Hintergrund

Im Rahmen des Security Patch Day im Juni 2026 hat SAP eine Reihe von Sicherheitsupdates veröffentlicht, um mehrere neue Schwachstellen zu beheben. Die ACN/CSIRT Italia hat eine Warnung (AL03/260609/CSIRT-ITA) herausgegeben, um die Bedeutung dieser Updates hervorzuheben, und weist auf drei als „kritisch“ und eine als „hoch“ eingestufte Schwachstellen hin (mit einem systemischen Einfluss von „Hoch“ und einem Score von 66.53).
Die behobenen Schwachstellen betreffen verschiedene Angriffsarten, darunter Authentication Bypass, Security Feature Bypass, Remote Code Execution, Denial of Service, Information Disclosure und Privilege Escalation. Betroffene Produkte umfassen verschiedene Versionen von SAP NetWeaver AS ABAP und ABAP Platform (700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 816, 918, 919), KRNL64NUC (7.22, 7.22EXT), KRNL64UC (7.22, 7.22EXT, 7.53), KERNEL (7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18, 91.9) und NetWeaver Application Server Java (Web Container), Version ENGINEAPI 7.50.
Die spezifischen CVEs mit kritischer und hoher Schweregrad, die identifiziert wurden, sind CVE-2026-40128, CVE-2026-44748, CVE-2026-27671 und CVE-2026-44751. Im bereitgestellten Text sind keine Details zu Proof-of-Concept (POC) oder Ausnutzung (EXPLOITATION) verfügbar.

Warum es wichtig ist

Diese Warnung ist von entscheidender Bedeutung für Datenschutzbeauftragte (DPO) und IT-Verantwortliche, da die von SAP behobenen Schwachstellen direkte Auswirkungen auf die Datensicherheit und die Geschäftskontinuität haben können. Angriffsarten wie Remote Code Execution (RCE), Information Disclosure oder Privilege Escalation gefährden die Integrität, Vertraulichkeit und Verfügbarkeit der verarbeiteten Daten, einschließlich potenzieller personenbezogener Daten, mit schwerwiegenden Auswirkungen auf den Datenschutz und die DSGVO.
Die nicht rechtzeitige Anwendung dieser Patches setzt Organisationen erheblichen Risiken von Datenschutzverletzungen (Data Breach), Datenschutzverstößen (mit potenziellen DSGVO-Sanktionen) und Dienstunterbrechungen aus. Für Einrichtungen, die unter den Geltungsbereich der NIS2-Richtlinie fallen, sind das proaktive Management und die Anwendung solcher Updates wesentliche technische Sicherheitsmaßnahmen, um die Resilienz der IT-Systeme zu gewährleisten und Vorfälle zu verhindern, die eine Meldung an die zuständigen Behörden erfordern würden. Darüber hinaus ist ein effektives Schwachstellenmanagement eine grundlegende Anforderung für die Einhaltung der ISO/IEC 27001-Standards.

Was zu tun ist

  • Überprüfen Sie die Liste der betroffenen SAP-Produkte und -Versionen in Ihrer Infrastruktur.
  • Konsultieren Sie umgehend das offizielle SAP-Sicherheitsbulletin für detaillierte Patching-Anweisungen.
  • Planen und wenden Sie Sicherheitsupdates für alle anfälligen SAP-Systeme zeitnah an.
  • Führen Sie nach der Anwendung der Patches entsprechende Tests durch, um die volle Funktionalität der Systeme sicherzustellen.
  • Führen Sie ein aktuelles Inventar der verwendeten SAP-Produkte und deren Versionen, um Angriffsflächen schnell zu identifizieren.

Was zu vermeiden ist

  • Vermeiden Sie es, die Anwendung von Sicherheitsupdates angesichts der Schwere der Schwachstellen zu verschieben.
  • Ignorieren Sie nicht die Meldungen der ACN/CSIRT Italia zu kritischen Schwachstellen.
  • Installieren Sie keine Updates, ohne zuvor das offizielle Bulletin des Anbieters konsultiert und die Auswirkungen verstanden zu haben.

Praktische Auswirkungen

Die Auswirkungen für eine Organisation, die nicht umgehend handelt, sind erheblich: Es besteht das Risiko der Kompromittierung kritischer SAP-Systeme, der Offenlegung sensibler Daten (einschließlich personenbezogener Daten) aufgrund von Information Disclosure oder Privilege Escalation sowie die potenzielle Unterbrechung wesentlicher Geschäftsabläufe durch Denial-of-Service- oder Remote-Code-Execution-Angriffe. All dies kann zu Reputationsschäden, regulatorischen Sanktionen (DSGVO, NIS2) und hohen Wiederherstellungskosten führen.

Zu vermeidende Fehler

  • Die Auswirkungen von als „kritisch“ oder „hoch“ eingestuften Schwachstellen unterschätzen.
  • Sich ausschließlich auf Perimeter-Sicherheitsmaßnahmen verlassen, ohne interne Software zu aktualisieren.
  • Updates ohne vorherige Testphase in Nicht-Produktionsumgebungen durchführen.

Fragen zur Selbsteinschätzung

  • Welche SAP-Systeme sind in unserer Infrastruktur vorhanden und welche Versionen verwenden wir?
  • Haben wir einen formalisierten und zeitnahen Prozess für die Anwendung von Sicherheitsupdates der Anbieter?
  • Wurden die Risiken bewertet, die mit ungepatchten SAP-Schwachstellen in Bezug auf personenbezogene Daten oder wesentliche Dienste verbunden sind?
  • Ist unser Notfallwiederherstellungsplan ausreichend, um einen potenziellen Vorfall zu bewältigen, der aus einer unbehobenen SAP-Schwachstelle resultiert?

Verweise

Nationales Recht: ACN / CSIRT Italia Alert AL03/260609/CSIRT-ITA · SAP Security Note: https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2026.html · GDPR · Direttiva NIS2 · ISO/IEC 27001

Zum Originalartikel auf ACN / CSIRT Italia ↗