Neue SAP-Sicherheitsupdates: Kritische Schwachstellen erfordern sofortige Maßnahmen

SAP hat im Rahmen des Februar-Patchdays 18 neue Sicherheitsmitteilungen veröffentlicht. Diese betreffen Sicherheitslücken in verschiedenen Produkten, von denen einige als besonders risikoreich eingestuft werden. IT-Verantwortliche sind angehalten, die bereitgestellten Updates umgehend herunterzuladen und zu installieren, um ihre Systeme zu schützen.

Table of Contents

Hochstufige Sicherheitslücken

Besonders besorgniserregend ist eine Schwachstelle in SAP BusinessObjects, die unter der Kennung CVE-2025-0064 registriert ist. Diese erlaubt Angreifern mit Administratorrechten, geheime Passphrasen zu manipulieren und sich als beliebige Benutzer im System auszugeben. Diese Schwachstelle erhält eine CVSS-Bewertung von 8.7 und wird als hohes Risiko eingestuft.

Ein weiteres ernstzunehmendes Problem betrifft SAPs Supplier Relationship Management. Hier erlaubt eine Path-Traversal-Lücke (CVE-2025-25243) nicht authentifizierten Angreifern den Download beliebiger Dateien, wodurch potenziell sensible Informationen offengelegt werden. Mit einer CVSS-Bewertung von 8.6 wird auch diese Lücke als hochriskant eingestuft.

Zudem gibt es im “Node.js”-Paket von SAP Approuter eine Möglichkeit zur Umgehung der Authentifizierung durch bösartige Datenmanipulation. Auch diese Sicherheitslücke (CVE-2025-24876) mit einer CVSS-Bewertung von 8.1 gilt als hochriskant.

Weitere Sicherheitsmitteilungen

Neben den schwerwiegenden Problemen wurden auch mehrere mittlere Risiken identifiziert. Dazu zählen zum Beispiel:

– Mehrere Schwachstellen in SAP Enterprise Project Connection (CVE-2024-38819) mit einem CVSS-Wert von 7.5.
– Eine Redirect-Anfälligkeit in SAP HANA (CVE-2025-24868) mit einem CVSS-Wert von 7.1.
– Probleme in SAP Commerce im Hinblick auf SameSite-Cookies und Clickjacking mit CVSS-Werten um 6.8.

SAP hat auch Schwachstellen mit geringeren Risiken dokumentiert. Diese reichen von Cross-Site-Scripting in SAP NetWeaver und Java (CVE-2025-24867) bis hin zu fehlenden Autorisierungsprüfungen in verschiedenen Plattformen wie SAP Fiori und ABAP.

Frühere Sicherheitsupdates

Schon im Januar hatte SAP 14 Sicherheitslücken behoben, von denen einige als kritisch eingestuft wurden. Der kontinuierliche Fokus auf Sicherheitsaudits und Patches verdeutlicht die Beharrlichkeit von SAP, den Schutz vor potenziellen Bedrohungen zu gewährleisten.

IT-Administratoren sollten keine Zeit verlieren und die zur Verfügung gestellten Patches zügig implementieren, um den Schutz gegen diese aufgeführten Sicherheitslücken sicherzustellen.

Mit diesen neuesten Maßnahmen und Sicherheitsupdates zeigt SAP großes Engagement in der kontinuierlichen Verbesserung der Systemsicherheit für seine Anwender weltweit.

Zurück zum Blog

08. Dezember 2025

Kritische Sicherheitslücken im Android-System: Updates im Dezember 2025 schließen Exploits

Google hat im Dezember 2025 ein wichtiges Sicherheitsupdate für Android veröffentlicht, das mehrere kritische Schwachstellen behebt. Einige dieser Sicherheitslücken werden bereits aktiv ausgenutzt, daher ist ein zügiges Handeln notwendig. Besonders alarmierend ist eine Schwachstelle im Android-Framework, die Denial-of-Service-Angriffe ermöglichen könnte. Zwei weitere Schwachstellen wurden bereits in gezielten Angriffen genutzt. Nutzer sollten sicherstellen, dass ihre Geräte auf dem neuesten Stand sind, um das Risiko von Angriffen zu minimieren.

01. Dezember 2025

Microsoft stellt zukunftsweisende KI- und Sicherheitsinnovationen für Windows vor

Microsoft stellt bedeutende Neuerungen für Windows vor, die Unternehmen in Sachen Sicherheit und Organisation, insbesondere bei KI-Workflows, zukunftsfähig machen sollen. Der Fokus liegt auf der Absicherung agentischer Workflows und der Verbesserung der Sicherheitsgrundlagen. Neue Funktionen wie Agent Workspace, Sysmon-Integration und moderne Recovery-Mechanismen sollen Systemausfälle minimieren und Wiederherstellungen beschleunigen. Google führt währenddessen “Private AI Compute” ein und eine Studie zeigt, dass in deutschen Behörden oft unautorisierte KI-Tools genutzt werden, obwohl das Sicherheitsbewusstsein wächst.

17. November 2025

Deutschland stärkt seine Rechenkraft: Der Supercomputer “Otus” am PC2 im Einsatz

Am Paderborn Center for Parallel Computing (PC2) wurde der Hochleistungsrechner “Otus” in Betrieb genommen. Mit über 140.000 Prozessorkernen und einer nahezu fünf Petabyte umfassenden Speicherkapazität ermöglicht Otus Forschenden aus ganz Deutschland komplexe Simulationen und datenintensive Berechnungen. Der Supercomputer, der energieeffiziente Technologien nutzt, wurde für vielfältige Anwendungen wie Quantenchemie und KI-Prozesse konzipiert und ist Teil der nationalen Hochleistungsrechnen-Initiative.

03. November 2025

ITQC SECURITY ONLINE SUMMIT 2025

Microsoft hat kürzlich “Azure Storage Discovery” eingeführt, ein innovatives Tool, das Unternehmen eine klarere Sicht auf ihre Datenbestände in Azure bietet. Der Dienst zielt darauf ab, Organisationen bei der Übersicht über Speicherressourcen, der Nachvollziehbarkeit von Kosten und dem Überwachen von Sicherheitskonfigurationen zu unterstützen. Azure Storage Discovery vereint Daten aus unterschiedlichen Subscriptions und Regionen und stellt sie in interaktiven Dashboards zur Verfügung, wodurch die Analyse von Speicherressourcen erleichtert wird. Ein weiteres Highlight ist die Integration von Copilot, die Abfragen in natürlicher Sprache ermöglicht und detaillierte Auswertungen bietet.

28. Oktober 2025

Das Ende von dns0.eu: Ein Rückblick auf den europäischen Datenschutz-DNS-Dienst

Der einst zukunftsweisende DNS-Dienst dns0.eu hat seinen Betrieb nach knapp drei Jahren eingestellt. Ursprünglich als ein unabhängiger, auf Datenschutz bedachter europäischer DNS-Resolver konzipiert, scheiterte das Projekt schließlich an mangelnden Ressourcen. Nutzer und Administratoren sollten sich nach Alternativen umsehen, um weiterhin sicheren und datenschutzfreundlichen DNS-Service zu nutzen.

24. Oktober 2025

Erweiterung unseres Rechenzentrums – mehr Leistung, Redundanz und Zukunftssicherheit

Ein Ausfall bei Amazon Web Services (AWS) führte kürzlich zu erheblichen Beeinträchtigungen vieler bekannter Online-Dienste weltweit. Dabei kam es zu Ausfällen bei namhaften Plattformen wie Snapchat, Signal, Fortnite, Canva und Prime Video. Solche Störungen bestätigen die zentrale Rolle von AWS in der digitalen Infrastruktur vieler Unternehmen. Mittlerweile sind die Probleme behoben und die Ursache wurde ermittelt.

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Akzeptieren	Google Tag Manager
Name	Google Tag Manager
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google zur Steuerung der erweiterten Script- und Ereignisbehandlung.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	Facebook Pixel
Name	Facebook Pixel
Anbieter	Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland
Zweck	Cookie von Facebook, das für Website-Analysen, Ad-Targeting und Anzeigenmessung verwendet wird.
Datenschutzerklärung	https://www.facebook.com/policies/cookies
Cookie Name	_fbp,act,c_user,datr,fr,m_pixel_ration,pl,presence,sb,spin,wd,xs
Cookie Laufzeit	Sitzung / 1 Jahr

Akzeptieren	Facebook
Name	Facebook
Anbieter	Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland
Zweck	Wird verwendet, um Facebook-Inhalte zu entsperren.
Datenschutzerklärung	https://www.facebook.com/privacy/explanation
Host(s)	.facebook.com

Akzeptieren	Google Maps
Name	Google Maps
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Wird zum Entsperren von Google Maps-Inhalten verwendet.
Datenschutzerklärung	https://policies.google.com/privacy
Host(s)	.google.com
Cookie Name	NID
Cookie Laufzeit	6 Monate