SAP unter Druck: Kritische Sicherheitslücken und sinkende Aktienkurse bedrohen das Vertrauen der Kunden
Die IT-Welt steht Kopf! SAP, der deutsche Softwaregigant, hat jüngst vier kritische Sicherheitslücken entdeckt, die für die Nutzer seiner Systeme alles andere als ein Spaziergang sind. Besonders betroffen sind zentrale Systeme wie NetWeaver und die Commerce Cloud. Die Schwachstellen, die sofortige Updates erfordern, könnten ernsthafte Folgen haben. Um es klar zu sagen: Hier geht’s um Sicherheit und das Vertrauen der Kunden.
Die vier kritischen Lücken sind alles andere als harmlos. Da wäre zum einen die CVE-2026-44748 (CVSS 9,9): Eine XML-Manipulation in der SAML-Authentifizierung. Und dann haben wir die CVE-2026-27671 (CVSS 9,8), die eine Speicherkorrumpierung im ABAP-Kernel ohne Authentifizierung erlaubt. Die anderen beiden Schwachstellen, CVE-2026-22732 (CVSS 9,1) und CVE-2026-40128 (CVSS 9,0), betreffen die Commerce Cloud und NetWeaver Java. Die ersten beiden Lücken bergen sogar das Potenzial, ganze Systeme zu übernehmen oder sensible Daten zu stehlen – kein Spaß!
Der Aktienkurs auf Talfahrt
Die Reaktion der Märkte war entsprechend: Der Aktienkurs von SAP fiel um 3,67 Prozent auf 149,56 Euro. Das liegt nun unter der 100-Tage-Linie, und seit Jahresbeginn hat die Aktie fast 26 Prozent an Wert verloren. Das ist nicht die Art von Nachrichten, die man sich wünscht, vor allem nicht in der derzeitigen Marktsituation, wo ein laufendes EU-Wettbewerbsverfahren das Vertrauen zusätzlich belastet. Brüssel untersucht, ob Drittanbieter bei Wartungsdiensten benachteiligt werden. In diesem Kontext plant SAP, den Streit beizulegen, indem es seinen Kunden mehr Wahlfreiheit bei Supportdienstleistern anbietet. Das Management ist optimistisch und geht nicht von finanziellen Einbußen durch diese Zugeständnisse aus.
Im ersten Quartal konnte SAP jedoch mit einem Wachstum im Cloud-Geschäft glänzen. Der Auftragsbestand stieg auf 21,9 Milliarden Euro, was einem währungsbereinigten Plus von 25 Prozent entspricht, und die Cloud-Umsätze kletterten um 27 Prozent. Vielleicht könnte das operative Wachstum im Cloud-Bereich die aktuellen technischen Rückschläge ein wenig überdecken – ein Lichtblick in einer Zeit, die sonst eher düster erscheint.
Weitere Sicherheitsbedenken
Doch die Probleme hören hier nicht auf. Auch in SAP S/4HANA und NetWeaver wurden gravierende Sicherheitslücken identifiziert. Authentifizierte Benutzer mit geringen Berechtigungen könnten in die Anwendungen eingreifen. Hier sind besonders zwei Schwachstellen zu nennen: EUVD-2026-6392 (CVE-2026-0488) mit einem CVSS-Score von 9,9, die es ermöglicht, unautorisierte Befehle durch Code-Injection auszuführen. Die zweite, EUVD-2026-6472 (CVE-2026-0509), erlaubt Hintergrund-Remote-Function-Calls ohne die erforderliche Berechtigung. Auch hier hat SAP bereits Maßnahmen zur Behebung ergriffen – Patches sind bereitgestellt worden, zusätzlich gibt es die Möglichkeit, betroffene Dienste zu deaktivieren.
Die Bedeutung von Sicherheitsupdates
Im Jahr 2025 wurden in SAP-Systemen häufig Sicherheitslücken entdeckt, die vor allem auf fehlende Autorisierungsprüfungen zurückzuführen sind. Diese Schwachstellen machen fast ein Drittel aller Sicherheitshinweise aus und erhöhen das Risiko von Datendiebstahl und unbefugten Änderungen. Der Patch-Day von SAP sollte für Unternehmen höchste Priorität haben, denn Datenschutzvorschriften wie die DSGVO können nicht durchgesetzt werden, wenn Anwendungen keine Berechtigungen überprüfen. In einer Zeit, in der Cyberangriffe an der Tagesordnung sind, sollte man hier nicht zu nachlässig sein.
Wenn ich darüber nachdenke, wie oft in der Vergangenheit über solche Schwachstellen berichtet wurde, wird mir klar, dass die Herausforderung für Unternehmen nicht nur darin besteht, Software zu verwenden, sondern auch die Sicherheit dieser Systeme ständig im Blick zu behalten. Es ist ein ständiger Wettlauf zwischen Angreifern und Verteidigern – und am Ende sind es die Nutzer, die auf dem Spiel stehen.
