Wer am 12. Mai 2026 auf den SAP Security Patch Day gewartet hat, wusste in der Regel schon, dass dieser Monat unbequem werden wuerde. Was dann tatsaechlich kam, hat selbst eingeweihte SAP-Basis-Teams nervoes gemacht: Eine SQL-Injection-Schwachstelle im Enterprise Search fuer ABAP, CVSS-Score 9.6, eingestuft als Hot News – der hoechsten Dringlichkeitsstufe, die SAP vergibt. Sie heisst CVE-2026-34260 und sie betrifft die Komponente, die in nahezu jedem produktiv eingesetzten S/4HANA-System aktiv ist. Einen Workaround gibt es nicht. Wer das Sicherheitsupdate nicht einspielt, laesst sein ERP-System offen.

Was am 12. Mai passiert ist

SAP veroeffentlichte fuenfzehn neue Security-Notes und drei aktualisierte Notes. Zwei davon sind als Hot News gekennzeichnet – das ist das obere Ende der internen SAP-Skala, vergleichbar mit einer CISA-Bekanntmachung im US-amerikanischen Kontext. Konkret betrifft das:

  • CVE-2026-34260 – SQL-Injection in SAP S/4HANA, Komponente SAP Enterprise Search for ABAP, CVSS 9.6
  • CVE-2026-34263 – Missing Authentication Check in SAP Commerce Cloud, CVSS 9.4

Beide Luecken erfuellen die klassischen Kriterien, die Angreifer suchen: niedrige Komplexitaet, kein oder geringer Aufwand fuer den Initialzugriff und hoher Hebel im Ergebnis. Der entscheidende Unterschied: Waehrend Commerce Cloud nur einen Teil der SAP-Kundschaft trifft, ist Enterprise Search in praktisch jedem S/4HANA-System aktiv – egal ob On-Premises, in einer Private Cloud oder als RISE-with-SAP-Variante.

Technische Anatomie von CVE-2026-34260

Der Bug sitzt im SAP Enterprise Search for ABAP, einer Komponente, die strukturierte und unstrukturierte Geschaeftsdaten ueber SAP-Module hinweg durchsuchbar macht. Sie laeuft auf Basis der SAP_BASIS-Schicht und ist damit in jedem ABAP-Stack vorhanden, der modernes S/4HANA spricht.

Die Wurzel ist eine fehlende Eingabevalidierung. Konkret werden Suchparameter aus authentifizierten Anfragen ohne ausreichende Pruefung an einen ABAP-Open-SQL-Layer durchgereicht. Ein angemeldeter Nutzer – auch mit minimalen Berechtigungen wie einem reinen Recherche-Profil – kann damit beliebige SQL-Statements einschleusen. Der Fokus liegt auf read access: Die Integritaet der Daten wird laut SAP nicht angetastet, aber Vertraulichkeit und Verfuegbarkeit kippen massiv. In der Praxis heisst das:

  • Auslesen kompletter Tabellenstrukturen inklusive Stammdaten, Finanzbuchungen, Personalstammdaten und Vendor-Master-Daten
  • Dump sensibler Tabellen wie USR02 (Passworthashes), PA0008 (Gehaltsdaten) oder BSEG (Buchungssaetze)
  • Provokation von Datenbankfehlern, die die zentrale ABAP-Workprozesse blockieren und damit ein Denial-of-Service-Szenario erzeugen

Besonders heikel: Der Angreifer braucht zwar einen gueltigen Account, aber kein hohes Berechtigungsniveau. In Unternehmen, in denen Endanwender ueber Single-Sign-On automatisch im SAP-System landen, reicht ein kompromittierter Mitarbeiteraccount – etwa via Phishing oder einen geleakten Passworthash – um in das Herz der Geschaeftsdaten vorzudringen.

Betroffene Versionen

SAP listet die Schwachstelle fuer die folgenden SAP_BASIS-Releases: 751, 752, 753, 754, 755, 756, 757, 758, 812, 813, 815 und 816. Das deckt praktisch das gesamte aktive ABAP-Spektrum ab, von S/4HANA-Installationen aus 2017 bis zu den aktuellsten Releases. Wer in den letzten Jahren ein S/4HANA-Projekt aufgesetzt hat, ist mit hoher Wahrscheinlichkeit betroffen.

CVE-2026-34263: Authentifizierung optional

Die zweite Hot News des Monats trifft SAP Commerce Cloud. Eine fehlende Authentifizierungspruefung in einer internen API erlaubt es nicht-autorisierten Anfragen, sensible Funktionen auszuloesen. Der CVSS-Score von 9.4 reflektiert, dass hier kein Login noetig ist – ein Angreifer im Netzwerk-Layer kann die Luecke direkt missbrauchen, sofern die betroffenen Endpunkte erreichbar sind. Wer seine Commerce Cloud nicht hinter einem strikten Reverse-Proxy mit Path-Whitelist betreibt, hat das Problem direkt am Internet-Edge.

Warum gerade SAP-Luecken so toxisch sind

Eine SQL-Injection im klassischen Webshop ist unangenehm. Eine SQL-Injection im SAP-System ist eine andere Liga. In einem mittelstaendischen Produktionsunternehmen sitzen im S/4HANA-Stack typischerweise:

  • Die komplette Finanzbuchhaltung inkl. Cashflow-Prognosen
  • Die Personalstammdaten inkl. Gehaltslaeufen und Bankverbindungen
  • Konstruktionsstuecklisten, Rezepturen, Lieferantenpreise
  • Kunden-Vertraege und CRM-Daten
  • Compliance-relevante Buchungsketten fuer Steuer- und Bilanzpruefung

Wenn jemand mit einem Read-only-Account ueber CVE-2026-34260 die Tabelle USR02 dumpt, hat er die Passworthashes aller SAP-Nutzer in einem Rutsch. Mit modernen GPU-Rigs sind klassische SAP-Codes vom Typ BCODE oder PASSCODE in Stunden gebrochen. Was im naechsten Schritt passiert, ist klassische lateral movement: hoeherwertige SAP-Konten uebernehmen, in den Buchungslauf einsteigen, Zahllaeufe umleiten – das ist der Mechanismus, mit dem in den letzten Jahren mehrere deutsche Produktionsbetriebe siebenstellige Schaeden eingefangen haben.

Die Verbindung zum BKA-Lagebild

Das Timing der Veroeffentlichung ist bemerkenswert. Am gleichen Tag, an dem SAP die Hot News auslieferte, hat das Bundeskriminalamt das Bundeslagebild Cybercrime 2025 veroeffentlicht. Die Kernzahl: 202,4 Milliarden Euro Schaden fuer die deutsche Wirtschaft, rund 4,5 Prozent des Bruttoinlandsprodukts. Ransomware-Vorfaelle sind um zehn Prozent gestiegen, DDoS-Angriffe um 25 Prozent. ERP-Systeme sind das Lieblingsziel professioneller Erpressergruppen, weil sie maximale Druckwirkung im operativen Betrieb erzeugen. CVE-2026-34260 liefert genau die Sorte Initialzugang, die Akteure wie Akira, Black Basta oder die Sinobi-Gruppe in den letzten Monaten systematisch monetarisiert haben.

Was Sie jetzt tun sollten

SAP stellt fuer CVE-2026-34260 ausschliesslich Patches und Support-Pakete bereit – einen Workaround gibt es nicht. Das gilt fuer alle gelisteten SAP_BASIS-Releases. Folgende Schritte sollten Sie noch in dieser Woche abarbeiten:

  1. SAP Note pruefen und einspielen. Die zustaendigen SAP Notes sind ueber den Launchpad-Eintrag der jeweiligen Hot News verlinkt. Fuer S/4HANA-Bestandskunden empfiehlt sich das Einspielen ueber das naechste Support Package, fuer akut betroffene Systeme ueber den Note-Implementierungsassistenten SNOTE.
  2. Enterprise Search temporaer deaktivieren oder einschraenken. Wenn das Patchfenster aufgrund von Wartungsfenstern erst spaeter liegt, bietet sich an, die Komponente fuer nicht-administrative Rollen ueber Berechtigungsobjekte (S_ESH_CONNECTOR, S_ESH_ADM) zu sperren.
  3. USR02 und kritische Tabellen monitoren. Setzen Sie SAP Solution Manager oder den SAP Enterprise Threat Detection (ETD) so auf, dass ungewoehnliche Lesezugriffe auf USR02, PA0008, BSEG und RSECTAB Alarme ausloesen.
  4. Outbound-Verbindungen aus dem SAP-Netzsegment limitieren. Wer Daten exfiltrieren will, braucht einen Kanal. Strikte Egress-Regeln verhindern, dass kompromittierte SAP-Application-Server unkontrolliert ins Internet sprechen.
  5. Commerce Cloud absichern. Pruefen Sie fuer CVE-2026-34263 zusaetzlich, ob die betroffenen Endpunkte ueberhaupt extern erreichbar sein muessen, und setzen Sie Path-Whitelists auf vorgelagerten Web Application Firewalls.

SAP-Sicherheit ist Compliance-Pflicht

Wer in einem NIS2-regulierten Bereich operiert – und das sind seit Maerz 2026 deutlich mehr Unternehmen, als die meisten Geschaeftsfuehrungen wahrhaben wollen – muss eine ungepatchte CVSS-9.6-Luecke in einem produktiven ERP-System als known unmitigated risk dokumentieren. Spaetestens beim BSI-Audit wird die Frage gestellt, warum eine Hot News mit klar zugewiesenem Patch nicht innerhalb der Service Level Agreements eingespielt wurde. Hier verbindet sich die rein technische mit der regulatorischen Dimension – und genau an dieser Stelle setzt unser Beratungsfeld Compliance-Software an, das technische SAP-Sicherheitskontrollen mit dem Nachweisrahmen verzahnt.

Fuer Unternehmen, die ihre SAP-Landschaft nicht alleine betreiben oder die Kapazitaeten fuer ein sauberes Patch-Programm aufbauen wollen, hilft ein nuechterner Blick auf die Informationssicherheit als Disziplin: SAP-Patching ist kein Sonderfall, sondern Teil einer durchgaengigen Schwachstellen-Management-Strategie, die sich an die jeweilige Geschaeftsprozesslandschaft anpassen muss.

Fazit

CVE-2026-34260 ist keine exotische Randschwachstelle – sie sitzt in einer Komponente, die in jedem S/4HANA-System aktiv ist, sie ist mit minimalen Vorbedingungen ausnutzbar und sie liefert den direkten Weg zu den wertvollsten Datenbestaenden eines Unternehmens. Wer SAP betreibt, hat in diesen Tagen drei klare Aufgaben: patchen, Berechtigungen reduzieren, Telemetrie schaerfen. Wer das nicht tut, riskiert, dass der naechste Eintrag im BKA-Lagebild aus dem eigenen Haus stammt.

Wenn Sie unsicher sind, ob Ihre SAP-Landschaft sauber gepatcht ist oder ob Sie ein begleitendes Schwachstellenmanagement aufsetzen wollen, sprechen Sie uns ueber das Kontaktformular an – wir unterstuetzen mittelstaendische SAP-Betreiber dabei, kritische Patches in den regulaeren Change-Prozess einzuhaengen, ohne den produktiven Betrieb zu stoeren.