Häufige Sicherheitslücken in SAP-Systemen

Fehlende Autorisierungsprüfungen, Offenlegung von Informationen und Cross-Site-Scripting (XSS) waren die drei häufigsten Sicherheitslücken, für die im Jahr 2025 Patches bereitgestellt wurden. Allein fehlende Autorisierungsprüfungen machten fast ein Drittel aller Sicherheitshinweise aus, da viele SAP-Funktionen standardmäßig nicht in einem geschützten Zustand laufen. Diese Schwachstellen setzen Systeme dem Risiko von Datendiebstahl, unbefugten Änderungen und Betriebsstörungen aus, weshalb die zeitnahe Umsetzung der SAP-Patch-Day-Hinweise für die Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit von entscheidender Bedeutung ist.

Während Unternehmen diese Woche ihre Datenschutzverpflichtungen überprüfen, dienen die folgenden Daten als Realitätscheck in technischer Hinsicht. Datenschutzvorschriften wie die DSGVO und der CCPA sind nicht durchsetzbar, wenn die zugrunde liegenden Anwendungen die Berechtigungen der Nutzer nicht überprüfen. Die Häufigkeit von „fehlenden Berechtigungsprüfungen“ im Jahr 2025 verdeutlicht eine kritische Lücke zwischen den Datenschutzrichtlinien von Unternehmen und den tatsächlichen Sicherheitskontrollen zum Schutz sensibler Daten.

Analyse der SAP-Sicherheitslücken im Jahr 2025

In früheren Blogbeiträgen wurde bereits darauf hingewiesen, wie wichtig der Schutz von SAP-Anwendungen ist, da SAP in der Weltwirtschaft eine bedeutende Rolle spielt und die in solchen Systemen verarbeiteten Daten besonders sensibel sind. Vor diesem Hintergrund werden wir heute die wichtigsten Sicherheitslücken analysieren, die SAP im Jahr 2025 behoben hat, und dabei den möglichen Auswirkungen eines solchen Angriffs in den Blick nehmen. Onapsis Research Labs hat sich aktiv an diesem Prozess beteiligt, indem es eine beträchtliche Anzahl von Schwachstellenmeldungen bereitstellte. Dies führte dazu, dass Onapsis in jedem Monat des Jahres 2025 in den Danksagungen von SAP erwähnt wurde, was in den letzten zwei Jahren zu 23 von 24 möglichen Nennungen führte.

Die folgende Grafik zeigt die Aufschlüsselung der im letzten Jahr im Rahmen des monatlichen SAP Patch Dayveröffentlicht wurden. Die mit Abstand häufigsten Patches betreffen fehlende Autorisierungsprüfungen, die fast ein Drittel aller gemeldeten Schwachstellen ausmachen. Dies ist auf das breite Spektrum an SAP-Funktionalitäten zurückzuführen, die vor unbefugtem Zugriff geschützt werden sollten, dies jedoch nicht sind. Die an zweiter und dritter Stelle der am häufigsten gepatchten Schwachstellen stehen Informationspreisgabe und Cross-Site-Scripting, die jeweils zwischen 11 und 12 % der Gesamtzahl der Patches ausmachen. Die restlichen 48 % setzen sich aus einer Auswahl zusammen, die die kritische Deserialisierungsschwachstelle, Path-Traversal-Schwachstellen, Open-Redirect-Schwachstellen und andere umfasst. 

Die heute besprochenen Sicherheitslücken treten zwar eher an einem Patch Day auftreten, wird allen SAP-Kunden dringend empfohlen, die in den Hinweisen aufgeführten Empfehlungen in der angegebenen Prioritätsreihenfolge zu befolgen.

Die drei am häufigsten behobenen SAP-Sicherheitslücken

Fehlende Berechtigungsprüfung

Wie der Name schon sagt, zeichnen sich Schwachstellen vom Typ „Fehlende Autorisierungsprüfung“ durch einen Mangel an angemessenem Schutz von Ressourcen vor unbeabsichtigter Nutzung aus. Dies wirkt sich je nach der betroffenen Funktionalität unmittelbar auf die CIA-Triade (Vertraulichkeit, Integrität, Verfügbarkeit) aus. Diese Kennzahlen, wie sie vom Common Vulnerability Scoring System (CVSS) definiert werden, beschreiben die Auswirkungen, die ein erfolgreicher Angriff auf die betroffene Komponente hat. 

Auswirkungen auf die CIA-Triade

• Vertraulichkeit: Die Menge an sensiblen Informationen, die dem Angreifer nach einem erfolgreichen Angriff zugänglich wird. Unter sensiblen Informationen verstehen wir Daten, die durch geeignete Zugriffskontrollen geschützt werden sollten.
• Integrität: Die Richtigkeit der Informationen ist unmittelbar betroffen; der Angreifer kann die anfällige Komponente ausnutzen, um sensible Informationen zu verändern.
• Verfügbarkeit: Der Zugriff auf den Dienst ist eingeschränkt oder der Dienst ist nicht verfügbar, was dazu führt, dass berechtigte Nutzer Probleme beim Zugriff auf vertrauliche Informationen und/oder Funktionen haben.

Szenarien für Angriffe in der Praxis

 Ein Angreifer könnte möglicherweise eine Benutzeraufzählung durchführen (eine Liste der gültigen Benutzernamen im System anzeigen), wie in SAP-Hinweis 3656781 beschrieben, Daten dauerhaft aus dem System entfernen (SAP-Hinweis 3608991) oder sensible Daten mit erweiterten Berechtigungen einsehen (SAP-Hinweis 3474590). Dies ist eine kleine Auswahl möglicher Ausnutzungsszenarien, die ein breites Spektrum an böswilligen Aktionen aufzeigen, die im Rahmen einer unzulässigen Autorisierung durchgeführt werden können.

Ein weiterer wichtiger Aspekt der Folgenabschätzung ist die Frage, ob der Angreifer die Aktionen nach vorheriger Authentifizierung ausführt oder nicht. Dies ist zwar keine direkte Voraussetzung für die Ausnutzung einer Schwachstelle durch fehlende Autorisierung, wirkt sich jedoch auf den Gesamt-CVS aus: Ein nicht authentifizierter Angriff wird stets höher bewertet, da die zusätzlichen Schritte entfallen, die erforderlich wären, um eine gültige Sitzung herzustellen. Diese Regel gilt für jede gemeldete Schwachstelle, unabhängig von ihrer Art.

Die Verteilung der diesjährigen SAP-Hinweise, einschließlich der Patches zur fehlenden Berechtigungsprüfung, ist in der folgenden Grafik dargestellt. In Monaten wie dem September machen sie bis zur Hälfte aller Patch-Hinweise aus.

Offenlegung von Informationen

Die am zweithäufigsten diskutierte Sicherheitslücke betrifft den Verlust sensibler Daten. Die Vertraulichkeitskomponente des CVS ist davon betroffen; diese Auswirkung kann als „Gering“ eingestuft werden, wenn die erlangten Informationen keine direkten Auswirkungen auf die angegriffene Komponente haben (wie in SAP-Hinweis 3568307 dargelegt), oder als „Hoch“, wenn die Informationen dazu genutzt werden können, dem System schweren Schaden zuzufügen (SAP-Hinweis 3601480).

Zwar führt die Ausnutzung einer Komponente, die für fehlende Autorisierungsprüfungen anfällig ist, häufig zur Offenlegung sensibler Informationen, wie wir im vorigen Abschnitt erläutert haben, doch muss die Offenlegung von Informationen nicht zwangsläufig eine direkte Folge fehlender Autorisierungsprüfungen sein. Ein Konfigurationsfehler, wie er in SAP-Hinweis 3561264 beschrieben wird, kann zu Informationslecks führen. Auch wenn die gewonnenen Informationen manchmal irrelevant erscheinen mögen, nutzt ein erfahrener Angreifer jedes Detail, um einen Einstiegspunkt in das System zu finden; in diesem speziellen Hinweis ist der Server so konfiguriert, dass er je nach dem Benutzer, der den Vorgang ausführt, unterschiedlich reagiert. Dies ermöglicht es einem Angreifer, eine Liste gültiger Benutzernamen zu erstellen, die später gezielt angegriffen werden können.

XSS

Cross-Site Scripting, kurz XSS, ist die dritthäufigste Sicherheitslücke, die SAP in diesem Jahr behoben hat. Sie zeichnet sich dadurch aus, dass bösartige Skripte in vertrauenswürdige Quellen eingeschleust (und erfolgreich ausgeführt) werden können.

Folgen von XSS-Angriffen

Durch Ausnutzen einer XSS-Schwachstelle kann der Angreifer auf Seiteninhalte zugreifen und diese verändern (wie in SAP-Hinweis 3647098 beschrieben), was zu einer Verfälschung der Website führen kann, bei der der Angreifer die Kontrolle über den HTML-Inhalt der betroffenen Seite erlangt. Ein unbedarfter Benutzer kann dazu verleitet werden, böswillige Anfragen auszuführen, die als legitim getarnt sind.

Schlussfolgerungen

Das Onapsis Research Lab unterstützt SAP weiterhin bei der Absicherung seiner Produkte, indem es gewissenhaft nach Schwachstellen sucht und Exploits entwickelt, die das Vorgehen böswilliger Akteure nachahmen. Der monatliche SAP Patch Day ist ein wichtiges Ereignis für Sicherheitsexperten sowie für SAP-Kunden, denen dringend empfohlen wird, die in den Patch-Hinweisen aufgeführten Empfehlungen sorgfältig zu befolgen. 

Lobende Erwähnungen

Deserialisierung

Die nach Schweregrad bedeutendste Schwachstellenfamilie des Jahres 2025 ist der Deserialization-Zero-Day aus der ersten Jahreshälfte 2025. Die von Onapsis durchgeführte Kampagne lieferte einen detaillierten Zeitplan zur CVE, eine Analyse der öffentlich zugänglichen Exploits sowie Tools für die Kunden, um die negativen Auswirkungen so gering wie möglich zu halten. Es handelte sich um eine kontinuierliche Maßnahme, um sicherzustellen, dass die von SAP bereitgestellten Patches gegen mögliche Angriffe robust sind.

Code-Injektion

Eine Schwachstelle aus der Kategorie „Code-Injection“, wie sie im SAP-Hinweis 3685270 beschrieben wird, kann dazu führen, dass Angreifer control vollständige control das System erlangen. Auch wenn diese Schwachstelle nicht so häufig auftritt wie die anderen hier behandelten, ist es aufgrund des hohen CVSS-Werts zwingend erforderlich, die von SAP empfohlenen Maßnahmen zu befolgen.

Häufig gestellte Fragen (FAQ)

Was war der „NetWeaver Zero-Day“ (CVE-2025-31324)?

Der „NetWeaver Zero-Day“ war eine kritische Sicherheitslücke, die Anfang 2025 entdeckt wurde und die Komponente „SAP Visual Composer“ betraf. Sie ermöglichte es nicht authentifizierten Angreifern, schädliche Dateien (Webshells) hochzuladen und beliebige Befehle auf dem Server auszuführen. Da hierfür keine Anmeldedaten erforderlich waren und die Angreifer control vollständige control über das System erhielten control „adm“-Rechte), wurde die Schwachstelle bereits wenige Stunden nach ihrer Bekanntgabe von Ransomware-Gruppen für Angriffe missbraucht.

Warum gilt die unsichere Deserialisierung als der gefährlichste Angriffsvektor bei SAP?

Sicherheitslücken durch unsichere Deserialisierung (wie CVE-2025-30012) sind gefährlich, da sie oft einen CVSS-Wert von 10,0 erreichen. Sie ermöglichen es Angreifern, serialisierte Datenobjekte zu manipulieren, die an den SAP-Java-Stack gesendet werden, und die Anwendung dazu zu zwingen, bösartigen Code auszuführen, ohne zu prüfen, ob der Benutzer dazu berechtigt ist. Diese Angriffe sind für herkömmliche Web Application Firewalls (WAFs) bekanntermaßen schwer zu erkennen, da die bösartige Nutzlast in legitim aussehendem Datenverkehr versteckt ist.

Wie nutzen Angreifer SAP-RFC-Schnittstellen aus?

Remote Function Call (RFC)-Schnittstellen sind die „Brücken“ zwischen SAP-Systemen. Angreifer nutzen sie im Rahmen von „Supply-Chain-Angriffen“ aus. Indem sie ein weniger sicheres Satellitensystem (oder ein Add-on eines Drittanbieters) kompromittieren, können sie über die vertrauenswürdige RFC-Verbindung in die zentrale S/4HANA-Umgebung vordringen. Da viele Unternehmen den internen RFC-Verkehr nicht überwachen, bleibt diese laterale Bewegung oft unentdeckt, bis Daten abgezogen werden.

Bin ich sicher, wenn ich den Patch für eine Zero-Day-Sicherheitslücke installiert habe?

Nicht unbedingt. Im Jahr 2025 führte die Geschwindigkeit der Angriffe dazu, dass viele Systeme bereits kompromittiert waren, bevor der Patch installiert werden konnte. Wenn ein Angreifer in diesem Zeitfenster eine Webshell eingesetzt oder einen Backdoor-Benutzer angelegt hat, schließt das nachträgliche Installieren des Patches zwar die Vordertür, lässt den Eindringling aber im Inneren zurück. Aus diesem Grund müssen Sie nach Indikatoren für eine Kompromittierung (IoCs) und Artefakten nach dem Exploit suchen, nicht nur nach fehlenden Patches.