Das Jahr der Zero-Day-Angriffe: Die größten SAP-Sicherheitslücken des Jahres 2025: Die Beobachtungsliste für 2026
Im Jahr 2025 veränderte sich die Bedrohungslage bei SAP nachhaltig. Das Jahr war von drei entscheidenden Faktoren geprägt: dem massiven NetWeaver-Zero-Day (CVE-2025-31324), einer sprunghaften Zunahme von Deserialisierungslücken mit „Perfect Score“ sowie einem immer enger werdenden Zeitfenster für Abwehrmaßnahmen, da Angreifer Exploits bereits innerhalb weniger Stunden nach Bekanntwerden einsetzten.
Für Sicherheitsteams ist die Schlussfolgerung für das Jahr 2026 klar: Herkömmliche Patch-Fenster reichen nicht mehr aus. Da Angreifer aktiv Webshells und Ransomware einsetzen, um Anwendungen lahmzulegen, bevor Patches getestet werden können, muss sich die Strategie von reiner Prävention hin zur schnellen Erkennung von Bedrohungen verlagern.
Wir haben eine brandneue Heatmap entwickelt, die die bis zum Jahr 2026 zu erwartende Bedrohungslage visuell darstellt.
Das Risiko visualisieren: Die Schwachstellen-Heatmap 2025
Wir haben eine brandneue Heatmap entwickelt, die die Bedrohungslage anhand von Schweregrad und Ausnutzbarkeit visuell darstellt:
Verwundbarkeit | CVSS | Status der Sicherheitslücke | Betroffene Komponente | Angriffsvektor | Auswirkungen auf das Geschäft |
|---|---|---|---|---|---|
| CVE-2025-31324 | 9.8 | Aktiv ausgenutzter Zero-Day | SAP NetWeaver / Visual Composer | Nicht authentifizierter Datei-Upload → RCE | Vollständige Systemübernahme; Webshell; Ransomware |
| CVE-2025-42999 | 9.1 | In freier Wildbahn ausgebeutet | SAP Visual Composer | Hochladen beliebiger Dateien | Ausdauer; seitliche Bewegung |
| CVE-2025-30012 | 10 | Hohes Risiko (waffenfähig) | SAP-Java-Komponenten / SRM | Unsichere Deserialisierung → RCE | Komplette Kompromittierung des Java-Stacks |
| S/4HANA-Code-Injection (August 2025) | 9.9 | Kritisch | SAP S/4HANA On-Premise / Private Cloud | Funktionsbaustein mit Fernzugriff | Datenmanipulation; Workflow-Hijacking |
| Code-Injektion in Solution Manager | 9.9 | Hohe Wahrscheinlichkeit | SAP Solution Manager | Fehlende Eingabevalidierung | Ausführung mit Administratorrechten; RCE |
| Problem mit den Anmeldedaten für den SQL Anywhere Monitor | 10 | Kritisch | SQL Anywhere Monitor | Fest codierte Anmeldedaten | Vollständiger Mietkompromiss |
| Sicherheitslücken bei der Verarbeitung von SRM-Dateien | 8.8 | Ausnutzbar | SAP SRM | Datei hochladen → überschreiben | Manipulation von Lieferantendaten; Betrugsrisiko |
| Probleme auf der Client-Seite des SAP GUI | 7,5–9,0 | Mittleres Risiko | SAP GUI | Durchdachte Benutzerinteraktion | Kompromittierung eines Endgeräts; laterale Bewegung |
| Probleme mit BO/BI-Berechtigungen | 8,5–9,5 | Hoch | SAP BusinessObjects | Unzureichende Authentifizierungsprüfungen | Unbefugter Datenzugriff |
| Fehlerhafte Konfigurationen des SAProuter | Je nach Fall | Gezielt angesprochen | SAProuter | Schwache ACLs / öffentliche Bekanntmachung | Einstiegspunkt in die Landschaft |
Die NetWeaver-Krise: CVE-2025-31324 & CVE-2025-42999
Das bedeutendste Ereignis des Jahres war zweifellos die Zero-Day-Sicherheitslücke, die SAP NetWeaver betraf, insbesondere die Komponente SAP Visual Composer.
- Die Sicherheitslücke (CVE-2025-31324): Diese Zero-Day-Sicherheitslücke ermöglichte es nicht authentifizierten Angreifern, beliebige Dateien hochzuladen, was zu einer sofortigen vollständigen Kompromittierung des Systems und zur Ausführung von Remote-Code (RCE) führte.
- Die Auswirkungen auf das Unternehmen: Die Folgen sind gravierend. Angreifer, die sich „adm“-Rechte verschaffen, könnten auf die Datenbank des SAP-Systems zugreifen, Daten manipulieren, Anwendungen herunterfahren oder Ransomware einsetzen.
- Aktive Ausnutzung: Onapsis Research Labs stellte fast sofort eine Ausnutzung in freier Wildbahn fest. Angreifer setzten rasch Webshells ein, um ihre Präsenz aufrechtzuerhalten, was bewies, dass die Perimeter-Abwehrmaßnahmen unzureichend waren.
- Behebung der Grundursache (CVE-2025-42999): Nach einer forensischen Analyse durch Onapsis Research Labs veröffentlichte SAP am 13. Mai 2025 den Sicherheitshinweis 3604119. Dieser Patch behob die zugrunde liegende Schwachstelle, die den ursprünglichen Zero-Day-Angriff ermöglichte. Obwohl es sich um einen Folge-Patch handelte, wurde er als kritisch (CVSS 9.1) eingestuft und in den Katalog der bekannten ausgenutzten Schwachstellen der CISA aufgenommen.
Empfehlung: Onapsis empfiehlt dringend, den SAP-Sicherheitshinweis 3604119 anzuwenden, auch wenn Sie bereits frühere Abhilfemaßnahmen implementiert haben, da er ein Restrisiko behebt, das Angreifern nach wie vor als Angriffsziel dient.
Die versteckte Gefahr: Deserialisierungsschwachstellen (CVE-2025-30012)
CVE-2025-30012, das in unserer Halbjahresanalyse identifiziert wurde, war eine kritische Deserialisierungsschwachstelle mit einem CVSS-Wert von 10,0.
- Betroffene Systeme: Diese Sicherheitslücke betraf in erster Linie Systeme wie SAP Supplier Relationship Management (SRM).
- Warum das wichtig ist: Deserialisierungsschwachstellen sind heimtückisch. Sie ermöglichen die Ausführung von Remote-Code, wenn nicht vertrauenswürdige Daten ohne Validierung verarbeitet werden. Onapsis Research Labs diese Art von Fehlern als „große versteckte Gefahr“ Onapsis Research Labs , die vielen der schwerwiegendsten Probleme des Jahres 2025 zugrunde liegt.
Patch-Tag im August: Code-Injection in S/4HANA
Der Sommer brachte keine Erleichterung. Im August 2025 meldete Onapsis zwei neue „HotNews“-Sicherheitslücken, die SAP S/4HANA (On-Premise / Private Cloud) betreffen.
- Die Schwachstelle: Ein aus der Ferne aufrufbarer Funktionsbaustein ermöglichte das Einschleusen von beliebigem Code, wodurch der digitale Kern gefährdet wurde.
- Weiterreichende Auswirkungen: Ein damit zusammenhängender Hinweis betraf Kunden, die das Add-on „Data Migration Server“ (DMIS) nutzten. Dies bedeutete, dass sowohl moderne S/4HANA-Umgebungen als auch ältere, auf SAP ECC basierende Systeme gleichermaßen dem Risiko einer vollständigen Kompromittierung des Systems ausgesetzt waren.
Patch-Tag im November: Schwere Sicherheitslücken zum Jahresende
Zum Jahresende wurden am Patch Day im November 2025 mehrere wichtige Korrekturen veröffentlicht, was zeigt, dass die Bedrohungslage weiterhin unbeständig ist.
- SQL Anywhere Monitor (CVSS 10.0): Ein „HotNews“-Patch behebt das Problem fest codierter Anmeldedaten und unsicherer Schlüsselverwaltung, wodurch die Ausführung von beliebigem Code möglich gewesen wäre.
- SAP Solution Manager (CVSS 9.9): Der Sicherheitshinweis Nr. 3668705 behob eine Code-Injection-Sicherheitslücke im Solution Manager, die durch eine fehlende Eingabevalidierung in einem für den Fernzugriff freigegebenen Modul verursacht wurde.
Analyse: Warum die Trends des Jahres 2025 das Jahr 2026 prägen werden
Die Daten zeichnen ein düsteres Bild. Allein im ersten Halbjahr 2025 gab es 27 SAP-Sicherheitshinweise mit hoher Priorität (durchschnittlicher CVSS-Wert ~8,2) und 14 „HotNews“-Hinweise (durchschnittlicher CVSS-Wert ~9,8).
Drei Trends prägten das Jahr und bleiben auch 2026 die wichtigsten Risikofaktoren:
- Strukturelles Risiko: Die weitverbreitete Verwendung unsicherer Deserialisierung in zahlreichen Komponenten verdeutlicht ein systemisches Risiko in Java-basierten SAP-Komponenten.
- Geschwindigkeit der Angriffe: Das Tempo, mit dem die Sicherheitslücken ausgenutzt wurden, war alarmierend und hat einen neuen baseline das Jahr 2026 gesetzt. Onapsis beobachtete bereits kurz nach der Bekanntgabe aktive Angriffe, darunter das Einrichten von Webshells und die Wiederverwendung kompromittierter Systeme durch Angreifer einer zweiten Angriffswelle.
- Auswirkungen auf das Geschäft: Es handelte sich nicht nur um IT-Probleme, sondern um geschäftliche Risiken. Nicht gepatchte Systeme waren unberechtigtem Zugriff, Datenlecks und potenziellen Ransomware-Angriffen ausgesetzt.
Wichtige Erkenntnisse und Empfehlungen für 2026
- Ignorieren Sie Sicherheitslücken im Zusammenhang mit der Deserialisierung nicht. Selbst bei „routinemäßigen“ Patch-Tagen wurden oft Deserialisierungsfehler mit höchster Schweregradstufe bekannt gegeben (z. B. CVE-2025-30012).
- Führen Sie Patches schnell und umfassend durch. Die Zeitspanne zwischen Bekanntgabe und Ausnutzung war kurz (Stunden bis Tage), insbesondere bei Zero-Day-Schwachstellen wie CVE-2025-31324.
- Achten Sie auf Anzeichen nach einem Exploit. Onapsis hat Webshells und Folgeangriffe (Wiederverwendung, Pivoting, Ransomware) festgestellt. Die Behebung muss die Erkennung umfassen, nicht nur das Patchen.
- Überprüfen Sie Legacy- und Zusatzmodule. Viele Sicherheitslücken (z. B. SRM, Solution Manager, SQL Anywhere Monitor) betrafen Legacy-Module oder seltener überprüfte SAP-Module – stellen Sie sicher, dass alle Bereiche abgedeckt sind, nicht nur die Kernmodule von ECC/S/4HANA.
- Arbeiten Sie mit Anbietern von Bedrohungsinformationen und Incident-Response-Lösungen zusammen. Onapsis (zusammen mit Partnern wie Mandiant) hat Open-Source-Scanner und IoC-Tools veröffentlicht; deren Integration in Ihr Sicherheits-Toolkit kann die Erkennungs- und Reaktionsgeschwindigkeit verbessern.
Häufig gestellte Fragen: Die SAP-Bedrohungslandschaft 2025
Was war die schwerwiegendste SAP-Sicherheitslücke des Jahres 2025?
Die schwerwiegendste Sicherheitslücke war der NetWeaver-Zero-Day (CVE-2025-31324). Sie erhielt einen CVSS-Wert von 9,8, da sie es nicht authentifizierten Angreifern ermöglichte, Dateien hochzuladen und Code aus der Ferne auszuführen. Onapsis Research Labs , dass Angreifer diese Schwachstelle fast sofort in der Praxis ausnutzten, um Webshells und Ransomware zu verbreiten.
Warum gelten Deserialisierungsschwachstellen als „versteckte Gefahr“?
Deserialisierungsschwachstellen (wie CVE-2025-30012) sind gefährlich, da sie oft eine vollständige Kompromittierung des Systems (Remote Code Execution) ermöglichen, ohne dass gültige Benutzeranmeldedaten erforderlich sind. Im Jahr 2025 erhielten diese Schwachstellen den maximalen CVSS-Wert von 10,0, da sie den Kern des Java-Stacks angreifen und dabei häufig die üblichen Perimeter-Sicherheitsmaßnahmen umgehen.
Wie schnell nutzen Angreifer neue SAP-Sicherheitslücken aus?
Das Zeitfenster für die Abwehr ist auf wenige Stunden geschrumpft. Im Jahr 2025 beobachtete Onapsis, dass Angreifer Exploits für Schwachstellen wie den NetWeaver-Zero-Day fast unmittelbar nach deren Bekanntwerden einsetzten. Dies beweist, dass der traditionelle „monatliche Patch-Zyklus“ nicht mehr schnell genug ist, um einen Sicherheitsverstoß zu verhindern.
Stellen ältere SAP-Systeme immer noch ein Sicherheitsrisiko dar?
Ja. Die größten Sicherheitslücken im Jahr 2025 betrafen ältere Komponenten wie SAP Visual Composer und Solution Manager. Angreifer nehmen diese „vergessenen“ Ressourcen ins Visier, da sie oft weniger überwacht werden als die zentrale S/4HANA-Umgebung und somit einen einfachen Einstiegspunkt für laterale Bewegungen bieten.
Was versteht man unter dem im Bericht von 2025 erwähnten „strukturellen Risiko“?
Unter strukturellem Risiko versteht man das systemweite Vorkommen unsicherer Programmiermuster, insbesondere unsicherer Deserialisierung, in der gesamten SAP-Landschaft. Dabei handelt es sich nicht nur um einen einzelnen Fehler, sondern um eine wiederkehrende Schwachstelle in Java-basierten Komponenten, die regelmäßig Sicherheitslücken mit hohem Schweregrad verursacht.
Über den Autor
