SAP Patch Day März 2026: Kritische NetWeaver-Schwachstelle mit CVSS 9.1

7 Min. Lesezeit

SAP hat am 10. März 2026 eine Schwachstelle im NetWeaver Enterprise Portal gepatcht, die mit CVSS 9.1 als kritisch eingestuft wurde. CVE-2026-27685 ermöglicht durch unsichere Deserialisierung im Admin-Interface die Ausführung beliebigen Codes. SAP stufte den Patch als „Hot News“ ein. Für die über 400.000 SAP-Kunden weltweit beginnt ein Wettlauf gegen die Zeit.

Das Wichtigste in Kürze

🔴 CVE-2026-27685 betrifft SAP NetWeaver Enterprise Portal mit CVSS 9.1 (SAP Security Note, März 2026).
🏢 Über 80 Prozent der DAX-Unternehmen und Zehntausende Mittelständler setzen SAP NetWeaver ein.
⚡ Angriffspfad läuft über kompromittierte Admin-Accounts und Insider mit erhöhten Rechten.
⚖️ Ungepatchte SAP-Systeme sind seit NIS2 ein persönliches Haftungsrisiko für Geschäftsführer.
🛡️ SAP empfiehlt Patching binnen 24 Stunden. CISA hat die Schwachstelle in den KEV-Katalog aufgenommen.

Was passiert ist: CVSS 9.1 im Herzstück der Unternehmens-IT

Am SAP Patch Day im März 2026 hat SAP insgesamt 18 Sicherheitshinweise veröffentlicht. Der kritischste davon: CVE-2026-27685, eine Schwachstelle im NetWeaver Enterprise Portal. Die Ursache ist unsichere Deserialisierung im Admin-Interface. Ein Angreifer mit kompromittierten Administratorrechten kann beliebigen Code einschleusen und ausführen.

Das klingt zunächst nach einem begrenzten Szenario. Aber die Realität in vielen Unternehmen sieht anders aus: SAP-Admin-Accounts werden häufig von mehreren Personen geteilt, Passwörter selten rotiert, und Privileged Access Management für SAP-Systeme ist in den meisten Mittelständlern nicht implementiert. Ein kompromittierter Admin-Account reicht, um die gesamte ERP-Landschaft zu übernehmen.

„SAP-Systeme sind das Rückgrat der deutschen Wirtschaft. Eine CVSS-9.1-Schwachstelle im NetWeaver Enterprise Portal betrifft nicht nur die IT-Abteilung. Sie betrifft Produktion, Einkauf, Finanzen und Personalwesen gleichzeitig.“

Inprosec SAP Security Advisory, März 2026

Warum diese Schwachstelle anders ist als übliche SAP-Patches

SAP veröffentlicht monatlich Sicherheitshinweise. Die meisten betreffen Randbereiche oder erfordern spezifische Konfigurationen. CVE-2026-27685 ist anders: Das NetWeaver Enterprise Portal ist die zentrale Zugriffsschicht für SAP-Anwendungen. Wer es kompromittiert, hat Zugang zu allem was dahinter liegt. ERP, CRM, HR, Finanzbuchhaltung.

Hinzu kommt der Insider-Vektor. Klassische Perimeter-Security hilft hier nicht. Der Angriff kommt von einem authentifizierten Benutzer mit Admin-Rechten. Das bedeutet: Weder Firewall noch IDS schlagen Alarm. Nur Behavioral Analytics oder dedizierte SAP-Security-Lösungen wie SecurityBridge oder Onapsis können diesen Angriffstyp erkennen.

SecurityWeek berichtet, dass SAP zusätzlich kritische Schwachstellen in Financial Consolidation und Quotation Management gepatcht hat. Insgesamt ein Patch Day der deutlich über dem Durchschnitt liegt.

CVSS 9.1

Kritische Einstufung

80 %+

DAX-Firmen nutzen NetWeaver

24 h

SAP-empfohlene Patch-Frist

NIS2 macht ungepatchte SAP-Systeme zum persönlichen Risiko

Seit Dezember 2025 ist das NIS2-Umsetzungsgesetz in Kraft. Paragraf 38 BSIG verpflichtet die Geschäftsleitung, Maßnahmen zum Risikomanagement persönlich zu billigen und deren Umsetzung zu überwachen. Ein ungepatchtes SAP-System mit einer bekannten CVSS-9.1-Schwachstelle ist kein technisches Versäumnis mehr. Es ist ein persönliches Haftungsrisiko für den Geschäftsführer.

Die NIS2-Registrierungsfrist beim BSI ist am 6. März 2026 abgelaufen. Das BSI kann ab sofort Aufsichtsmaßnahmen einleiten. Ein Unternehmen das CVE-2026-27685 nicht zeitnah patcht und gleichzeitig unter NIS2 fällt, liefert dem BSI einen konkreten Anlass für eine Prüfung.

Was IT-Teams jetzt tun müssen

Schritt 1: Bestandsaufnahme (sofort). Welche SAP-Systeme laufen in Ihrer Umgebung? Welche Version des NetWeaver Enterprise Portal ist im Einsatz? Die SAP Security Note 3XXX enthält die betroffenen Versionen und den Fix.

Schritt 2: Patch-Priorisierung (24 Stunden). SAP stuft den Patch als „Hot News“ ein. Das bedeutet: Höchste Priorität, kein Wartungsfenster abwarten. Testen Sie den Patch in einer Sandbox und rollen Sie ihn innerhalb von 24 Stunden auf Produktivsysteme aus.

Schritt 3: Admin-Account-Audit (diese Woche). Wie viele SAP-Admin-Accounts gibt es? Wer hat Zugriff? Werden Passwörter rotiert? Gibt es Shared Accounts? Der Angriffsvektor über kompromittierte Admins bedeutet: Ihre Admin-Hygiene ist jetzt geschäftskritisch.

Schritt 4: SAP-spezifisches Monitoring. Standardmäßiges SIEM erkennt SAP-spezifische Angriffe nicht zuverlässig. Evaluieren Sie SecurityBridge, Onapsis oder SAP Enterprise Threat Detection als Ergänzung.

Fazit: SAP-Patches sind keine IT-Routine mehr

CVE-2026-27685 ist mehr als ein monatlicher Patch. Es ist ein Weckruf für jedes Unternehmen das SAP als Rückgrat seiner Geschäftsprozesse nutzt. Die Kombination aus CVSS 9.1, Insider-Angriffsvektor und NIS2-Haftung macht diesen Patch zur Chefsache. Wer jetzt nicht handelt, riskiert nicht nur einen Sicherheitsvorfall, sondern persönliche Konsequenzen auf Geschäftsführerebene.

Häufige Fragen

Wir nutzen SAP S/4HANA Cloud. Sind wir auch betroffen?

CVE-2026-27685 betrifft spezifisch das NetWeaver Enterprise Portal, nicht S/4HANA Cloud. Allerdings nutzen viele Unternehmen hybride Umgebungen, in denen On-Premise-NetWeaver-Komponenten als Gateway zu Cloud-Diensten fungieren. Prüfen Sie Ihre Architektur: Wenn ein NetWeaver-System als Zugangsschicht dient, ist es angreifbar, auch wenn die eigentlichen Daten in der Cloud liegen.

Unser SAP-Team sagt, der Patch braucht ein Wartungsfenster. Wie dringend ist es wirklich?

SAP stuft den Patch als „Hot News“ ein. Das ist die höchste Dringlichkeitsstufe. In der Praxis bedeutet das: Kein reguläres Wartungsfenster abwarten, sondern innerhalb von 24 Stunden patchen. Testen Sie den Patch in einer Sandbox-Umgebung und rollen Sie ihn danach sofort produktiv aus. Die Alternative ist ein System mit einer öffentlich bekannten CVSS-9.1-Schwachstelle.

Wie erkennen wir ob unsere SAP-Admin-Accounts kompromittiert wurden?

Standard-SIEM-Systeme erkennen SAP-spezifische Anomalien in der Regel nicht. Prüfen Sie SAP-Audit-Logs auf ungewöhnliche Admin-Aktivitäten: Logins außerhalb der Geschäftszeiten, Massenänderungen an Berechtigungen, neue RFC-Verbindungen. Dedizierte Lösungen wie SecurityBridge oder Onapsis bieten automatisierte SAP-Threat-Detection. Wie Unternehmen ihre Software-Lieferkette systematisch absichern, zeigt der SBOM-Praxischeck.

Müssen wir diesen Patch an das BSI melden?

Das Patchen selbst müssen Sie nicht melden. Aber: Wenn Sie unter NIS2 fallen und den Patch nicht zeitnah einspielen, kann das BSI dies bei einer Aufsichtsprüfung als Verstoß gegen die Risikomanagement-Pflichten werten. Dokumentieren Sie den Patch-Prozess sorgfältig, inklusive Zeitstempel und Verantwortlichkeiten.

Gibt es einen Workaround wenn wir nicht sofort patchen können?

SAP empfiehlt als temporäre Maßnahme die Einschränkung des Admin-Zugriffs auf das NetWeaver Enterprise Portal. Deaktivieren Sie Remote-Admin-Zugriff, erzwingen Sie Multi-Faktor-Authentifizierung für alle SAP-Admin-Accounts, und überwachen Sie SAP-Audit-Logs engmaschig. Das ist kein Ersatz für den Patch, aber reduziert die Angriffsfläche.

Weiterführende Lektüre im Netzwerk

→ NIS2 in Deutschland: Was Unternehmen jetzt wissen müssen (SecurityToday)
→ Active Directory härten: 5 Sofortmaßnahmen (SecurityToday)
→ SBOM-Praxischeck: Software-Stückliste bis September 2026 (SecurityToday)

Mehr aus dem MBF Media Netzwerk

→ Kubernetes Cluster-Governance im Mittelstand (cloudmagazin)
→ ERP-Cloud-Migration: Warum Replatforming die bessere Strategie ist (MyBusinessFuture)
→ Cybersecurity-Budget 2026: Was der CFO vom CISO hören muss (Digital Chiefs)

Quelle Titelbild: Pexels

Artikel drucken

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor Benedikt Langer

Auch verfügbar in

Français Español English