Der SAP Patch Day im Mai 2026 steht ganz im Zeichen wachsender Bedrohungen für Unternehmensanwendungen und Entwicklungsumgebungen. Zwar bewegt sich die Anzahl der veröffentlichten Sicherheitsupdates mit insgesamt 17 neuen und aktualisierten SAP Security Notes im üblichen Rahmen, doch insbesondere ein Supply-Chain-Angriff auf SAP-nahe npm-Pakete sorgt weltweit für Aufmerksamkeit. Neben drei HotNews Notes veröffentlichte SAP gemeinsam mit den Onapsis Research Labs zudem eine High Priority Note, die kritische Schwachstellen in SAP Forecasting & Replenishment adressiert.
Der SAP Patch Day im Mai 2026 verdeutlicht erneut, wie stark Unternehmen zunehmend unter Druck geraten, ihre geschäftskritischen SAP-Landschaften konsequent abzusichern. Mit insgesamt 17 neuen und aktualisierten SAP Security Notes veröffentlichte SAP mehrere sicherheitsrelevante Hinweise, darunter drei HotNews Notes sowie eine High Priority Note. Besonders im Fokus steht dabei ein Supply-Chain-Angriff auf SAP-nahe Entwicklungsumgebungen, der Sicherheitsverantwortliche weltweit alarmiert hat.
Im Mittelpunkt der aktuellen Sicherheitswarnungen steht die HotNews Note #3747787. Sie adressiert einen Angriff auf Organisationen, die das SAP Cloud Application Programming Model (CAP) einsetzen. Konkret gelang es Angreifern, manipulierte npm-Pakete mit Schadcode zu versehen und diese zeitweise über öffentliche Paketquellen zu verbreiten. Laut SAP handelte es sich dabei um eine Variante der Malware „Shai-Hulud“.
Besonders kritisch ist dabei die Zielsetzung der Angreifer: Die Malware sollte automatisiert Cloud-Zugangsdaten, Service-Tokens und private Schlüssel aus kompromittierten Entwicklungsumgebungen entwenden. Die manipulierten Pakete waren zwar lediglich für wenige Stunden verfügbar, dennoch könnten zahlreiche Systeme betroffen sein, sofern Entwickler die kompromittierten Pakete innerhalb dieses Zeitfensters heruntergeladen haben.
Der Vorfall zeigt exemplarisch, wie anfällig moderne Software-Lieferketten geworden sind. Gerade Entwicklungsplattformen und Open-Source-Abhängigkeiten geraten zunehmend ins Visier professioneller Angreifer. Für Unternehmen bedeutet dies, dass klassische Sicherheitsmaßnahmen allein nicht mehr ausreichen. Neben dem Patch-Management gewinnen die Überwachung von Entwicklungsprozessen, die Kontrolle externer Bibliotheken sowie die Absicherung von CI/CD-Pipelines massiv an Bedeutung.
Eine weitere kritische Schwachstelle betrifft SAP Commerce Cloud. Die SAP Security Note #3733064 bewertet SAP mit einem CVSS-Score von 9.6 und stuft sie damit als HotNews ein. Ursache ist eine fehlerhafte Sicherheitskonfiguration mit unzureichender Authentifizierungsprüfung. Dadurch können nicht authentifizierte Angreifer manipulierte Konfigurationsdateien hochladen und potenziell beliebigen serverseitigen Code ausführen.
Die Schwachstelle verdeutlicht einmal mehr die Risiken falsch priorisierter Sicherheitsregeln in komplexen Cloud-Umgebungen. Gerade E-Commerce-Plattformen stehen im Fokus von Angreifern, da sie direkten Zugriff auf Kunden-, Zahlungs- und Geschäftsdaten ermöglichen. Unternehmen, die SAP Commerce Cloud einsetzen, sollten die bereitgestellten Patches daher mit höchster Priorität implementieren.
Ebenfalls kritisch bewertet wird die Sicherheitslücke #3724838 in SAP S/4HANA beziehungsweise SAP Enterprise Search für ABAP. Hierbei handelt es sich um eine SQL-Injection-Schwachstelle mit einem CVSS-Score von 9.6. Aufgrund unzureichender Eingabevalidierung können authentifizierte Angreifer manipulierte SQL-Anweisungen einschleusen.
Nach Angaben von SAP ermöglicht die Schwachstelle zwar ausschließlich lesenden Zugriff auf Daten, dennoch sind die potenziellen Auswirkungen erheblich. Insbesondere die Vertraulichkeit sensibler Unternehmensinformationen kann kompromittiert werden. SQL-Injections zählen weiterhin zu den gefährlichsten Angriffsmethoden im Unternehmensumfeld, da sie häufig tiefen Zugriff auf geschäftskritische Datenbanken ermöglichen.
Neben den HotNews Notes veröffentlichte SAP gemeinsam mit den Onapsis Research Labs auch eine High Priority Note für SAP Forecasting & Replenishment. Der Hinweis #3732471 adressiert mehrere Schwachstellen in fünf Funktionsbausteinen, die unter bestimmten Voraussetzungen die Ausführung beliebiger Betriebssystembefehle ermöglichen können.
Zwar sind die betroffenen Funktionsbausteine nicht direkt RFC-fähig, sie akzeptieren jedoch Eingaben aus vorgelagerten Systemen. Ein authentifizierter Angreifer mit administrativen Berechtigungen könnte diese Schwachstellen missbrauchen, um Schadcode auf Betriebssystemebene auszuführen. SAP ergänzt daher zusätzliche Autorisierungsprüfungen sowie eine verbesserte Eingabevalidierung.
Darüber hinaus unterstützten die Onapsis Research Labs SAP bei der Behebung weiterer Schwachstellen mittlerer Priorität. Dazu zählt unter anderem eine fehlende Autorisierungsprüfung in SAP Strategic Enterprise Management, durch die Angreifer Risikoanalysen manipulieren könnten. Ebenfalls behoben wurde eine Reflected-Cross-Site-Scripting-Schwachstelle im SAP NetWeaver Application Server ABAP.
Insgesamt zeigt der SAP Patch Day im Mai 2026 ein vertrautes Bild: Die Zahl der veröffentlichten Sicherheitsupdates bewegt sich zwar im Durchschnitt, die Qualität und Kritikalität einzelner Schwachstellen nimmt jedoch weiter zu. Besonders Supply-Chain-Angriffe entwickeln sich zunehmend zu einer der größten Herausforderungen für Unternehmen.
Für IT- und SAP-Sicherheitsverantwortliche ergibt sich daraus ein klarer Handlungsauftrag. Kritische Security Notes müssen zeitnah bewertet und eingespielt werden. Gleichzeitig reicht reines Patch-Management längst nicht mehr aus. Unternehmen benötigen umfassende Sicherheitsstrategien, die sowohl Entwicklungsprozesse als auch Cloud-Infrastrukturen und Drittanbieter-Abhängigkeiten absichern.
Der aktuelle Vorfall rund um manipulierte npm-Pakete dürfte deshalb weit über die SAP-Community hinaus Wirkung entfalten. Er macht deutlich, dass Cyberangriffe längst nicht mehr nur Produktivsysteme treffen, sondern gezielt die gesamte Software-Lieferkette ins Visier nehmen.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de