Gefahr unterschätzt? 13.03.2026, 17:13 Uhr Jetzt kommentieren: 0

Alte Log4j-Schwachstelle holt SAP ein

Zum März-Patchday hat SAP insgesamt 15 neue Sicherheitshinweise veröffentlicht. Zwei davon stechen besonders hervor: Sie erreichen CVSS-Scores von 9,8 und 9,1 und gelten damit als kritisch. Die Meldungen treffen auf ein Unternehmen, dessen Aktie seit Jahresbeginn bereits rund 17 Prozent an Wert verloren hat.

Die gravierendste Sicherheitslücke betrifft das Modul Quotation Management Insurance (FS-QUO). Die Ursache ist eine Log4j-Schwachstelle aus dem Jahr 2019, konkret CVE-2019-17571. Dass diese Lücke erst jetzt innerhalb eines SAP-Branchenmoduls geschlossen wurde, verdeutlicht ein strukturelles Risiko moderner Softwarelandschaften: Eingebettete Drittanbieterkomponenten können deutlich länger verwundbar bleiben als der eigentliche Softwarekern. Selbst wenn zentrale Systeme längst aktualisiert wurden, können integrierte Bibliotheken weiterhin Angriffsflächen bieten.

Gerade bei komplexen Unternehmenslösungen mit zahlreichen Modulen und Abhängigkeiten wird die Sicherheitsverwaltung damit zu einer langfristigen Aufgabe. Unternehmen müssen nicht nur ihre Hauptsysteme aktualisieren, sondern auch sicherstellen, dass tief eingebettete Komponenten regelmäßig überprüft und gepatcht werden.

NetWeaver-Lücke ermöglicht potenziell Code-Ausführung

Die zweite kritische Schwachstelle wurde im NetWeaver Enterprise Portal entdeckt. In diesem Fall kann ein privilegierter Nutzer nicht vertrauenswürdige Inhalte hochladen, wodurch sich im weiteren Verlauf beliebiger Code ausführen lässt. Der maximale CVSS-Wert von 10 wird lediglich deshalb nicht erreicht, weil für den Angriff bereits hohe Zugriffsrechte erforderlich sind.

Zusätzlich hat SAP eine Denial-of-Service-Schwachstelle im SAP Supply Chain Management behoben. Diese könnte von einem authentifizierten Angreifer mit niedrigen Berechtigungen aus der Ferne ausgenutzt werden. Konkrete Hinweise auf bereits laufende Angriffe gibt es laut SAP bislang nicht. Dennoch empfiehlt der Konzern seinen Kunden ausdrücklich, die bereitgestellten Updates so schnell wie möglich einzuspielen, um mögliche Risiken zu minimieren.

Nach dem Q4-Schock: Aktie bleibt im Fokus

Die Sicherheitsmeldungen erscheinen in einer Phase erhöhter Aufmerksamkeit rund um die SAP-Aktie. Auslöser war der Quartalsbericht vom 29. Januar, der an den Märkten eine deutliche Reaktion auslöste. Zwar lag das Cloud-Backlog-Wachstum bei 25 Prozent bei konstanten Währungen, doch blieb dieser Wert leicht unter dem vom Management angedeuteten Zielkorridor. Die Folge war ein kräftiger Kurseinbruch: Zeitweise verlor die Aktie bis zu 17 Prozent an einem einzigen Handelstag.

Aktuell bewegt sich der Kurs bei etwa 167 Euro und liegt damit nur knapp über dem 52-Wochen-Tief. Gleichzeitig zeigen die Jahreszahlen für 2025 ein solides operatives Bild. Der Cloud-Umsatz stieg auf 21 Mrd. Euro, was einem Wachstum von 23 Prozent entspricht. Besonders auffällig ist die Entwicklung des freien Cashflows: Mit 8,24 Mrd. Euro hat sich dieser gegenüber dem Vorjahr nahezu verdoppelt. Zusätzlich kündigte SAP ein Aktienrückkaufprogramm über 10 Mrd. Euro an.

An den Märkten richtet sich der Blick jedoch stärker nach vorn als zurück. Investoren beobachten derzeit vor allem, wie schnell die KI-Funktionen in S/4HANA und der Business Technology Platform in konkrete Geschäftsabschlüsse münden.

Der nächste wichtige Termin steht bereits fest: Am 23. April will SAP die Ergebnisse für das erste Quartal 2026 präsentieren. Dann dürfte sich zeigen, ob die vorsichtigere Prognose des Managements gerechtfertigt war oder ob die Integration von KI-Funktionen bereits messbare kommerzielle Effekte erzeugt. Besonders im Fokus stehen dabei die Entwicklung der Cloud-Margen sowie mögliche große Enterprise-Deals, die Hinweise auf die Nachfrage im laufenden Jahr liefern könnten.