Der SAP Security Patchday im April 2026 steht vor der Tür, und obwohl der Umfang überschaubar erscheint (insgesamt 22 Sicherheitshinweise), war der Spruch „Der Teufel steckt im Detail“ selten treffender. Hier finden Sie unsere Übersicht darüber, was Sie priorisieren sollten und warum Sie sich nicht allein auf einen CVSS-Score verlassen sollten. Eine gute Erinnerung daran, dass es beim Risiko nicht nur um den Score geht, sondern auch um den Kontext.
Wir empfehlen Ihnen, sich auch unser Webinar von Sebastian Schönhöfer anzusehen, der gezeigt hat, wie eine scheinbar moderate CVSS Schwachstelle mit einem Score von 5,5 dennoch erhebliche Auswirkungen auf SAP-Systeme haben kann.
Die Zahlen auf einen Blick
20 neue Sicherheitshinweise + 2 Aktualisierungen bestehender Hinweise.
In diesem Monat liegt ein starker Fokus auf SAP NetWeaver AS ABAP. Hinzu kommen 3 Hinweise für BusinessObjects und 1 für AS Java.
Es ist eine deutliche Verschiebung der Angriffsvektoren zu beobachten. Während in den vergangenen Monaten RFC-basierte Korrekturen/Patches dominierten, sehen wir nun einen Anstieg an Schwachstellen bei OData-Services, ICF-Nodes und RAP-basierten CDS-View-Implementierungen.
Das „dringende“ Highlight: CVSS 9.9 (CVE-2026-27681)
Die wichtigste Meldung des Monats betrifft eine kritische SQL-Injection-Sicherheitslücke in SAP Business Planning and Consolidation (BPC) und SAP Business Warehouse (BW).
ABER: Lassen Sie sich nicht täuschen. Auch wenn der Name die Komponente „Business Warehouse“ enthält, ist diese Meldung auch für SAP-ECC- und SAP-S/4HANA-Systeme (sowohl on-Prem als auch in ECS) von großer Bedeutung.
Diese Schwachstelle ermöglicht vollständigen Datenbankzugriff (Lesen/Schreiben). Wenn Sie S/4HANA oder ECC einsetzen, sollten Sie dies nicht ignorieren, nur weil Sie „kein eigenständiges BW betreiben“.
Überprüfen Sie Ihren Patch-Stand und implementieren Sie diesen Patch UNVERZÜGLICH.
Warum es wichtig ist, „bis zum Ende zu lesen“ (Die CVSS-2.0-Falle)
Wir beobachten oft, dass Teams nach dem CVSS-Score sortieren und bei der Einstufung „Low“ aufhören. Dieser Monat zeigt, warum das eine gefährliche Strategie ist.
Werfen wir einen Blick auf Hinweis 3723097 [CVE-2026-27675]: Eine Code-Injection in SAP Landscape Transformation (SLT).
Was wir hier sehen, ist eine ABAP Command Injection, versteckt in einem RFC-fähigen Funktionsbaustein, der es einem Angreifer ermöglicht, Includes zu überschreiben.
Sie wird mit einem CVSS 2.0 bewertet, vor allem weil der Namensraum begrenzt ist und eine grundlegende Berechtigungsprüfung vorhanden ist.
In der Realität ist dies in den Händen eines cleveren Angreifers dennoch ein mächtiges Werkzeug für laterale Bewegung (Weiterverbreitung im System).
Eine Umsetzung ist erforderlich!
Unser Fazit
Sicherheit ist keine „Top-down“-Liste, sondern eine ganzheitliche Betrachtung. Ob es sich nun um einen OData-Service in einem neuen RAP-Modell oder um eine falsch gekennzeichnete BW-Komponente in Ihrem S/4-Kern handelt – der Kontext Ihrer spezifischen Landschaft ist entscheidend.
Sind Sie überfordert von der monatlichen Flut an Notizen?
Die manuelle Analyse dieser Notizen kostet Zeit, die Sie vielleicht nicht haben. Wenn Sie sicherstellen möchten, dass Sie niemals einen kritischen Fix verpassen, wie den, der diesen Monat in SLT versteckt war, lassen Sie uns Ihnen helfen.
Wir bieten daher unseren SAP Security Notes Service an, um Ihren Patch-Prozess zu optimieren und Ihre Systeme resilienter zu machen.