SAP hat am 14. Juli 16 neue Sicherheitshinweise veröffentlicht. Einer davon trägt die fast maximale Bewertung 9,9 und betrifft den Kern jedes ABAP-Systems. Für Betreiber ist das kein Routine-Update, sondern ein Fall für die Prioritätsliste.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenEine SAP-Sicherheitslücke mit dem CVSS-Wert 9,9 zwingt Tausende Unternehmen zum schnellen Handeln. Der Fehler steckt nicht in einer austauschbaren Zusatzanwendung, sondern im Laufzeitkern des Application Server ABAP, auf dem die gesamte Geschäftslogik aufsetzt.
Das Wichtigste in Kürze
- 16 neue Sicherheitshinweise, ein GitHub-Advisory und drei Aktualisierungen erschienen am Patchday vom 14. Juli 2026.
- Schwerster Fall ist CVE-2026-44747 mit CVSS 9,9, eine Speicherbeschädigung im NetWeaver-Kern.
- Zwei weitere Lücken kommen auf 9,1: HTTP-Request-Smuggling im Approuter und unsichere Beispiel-Zugangsdaten in der Commerce Cloud.
- Der Angriff läuft über das Netz, geringe Rechte genügen, eine Nutzerinteraktion ist nicht nötig.
Was genau hat SAP am Juli-Patchday geschlossen?

SAP hat 16 neue Sicherheitshinweise, ein GitHub-Advisory und drei Updates veröffentlicht. Die drei kritischen Lücken betreffen NetWeaver ABAP mit 9,9, den Approuter mit 9,1 und die Commerce Cloud mit 9,1.
Die schwerste Lücke, CVE-2026-44747, dokumentiert SAP im Hinweis 3747367 und stuft sie als Speicherbeschädigung im Application Server ABAP ein.[1] Betroffen sind zahlreiche Kernel-Stände von 7.22 bis 9.20, also breit verteilte Bestandssysteme.
Daneben erlaubt CVE-2026-27690 im Approuter vor Version 20.10.0 ein Schmuggeln von HTTP-Anfragen an den Sicherheitskontrollen vorbei. CVE-2026-44761 wiederum betrifft die Commerce Cloud, in der unsichere Beispiel-Zugangsdaten unbefugten Zugriff ermöglichen.
Warum trifft eine Kernel-Lücke härter als ein App-Fehler?
Der ABAP-Kernel ist die gemeinsame Laufzeit aller SAP-Geschäftsanwendungen. Eine Speicherbeschädigung an dieser Stelle durchbricht die Trennung zwischen harmloser Fachlogik und dem Betriebssystem darunter.
Der CVSS-Vektor beschreibt das Risiko präzise: Angriff über das Netz, geringe Komplexität, niedrige Rechte und keine Interaktion des Opfers. Ein bereits angemeldetes Konto mit minimalen Berechtigungen kann so den Programmablauf verändern, Daten abgreifen oder Schadcode ausführen.
Genau darin liegt der Unterschied zu einem Fehler in einer einzelnen Anwendung. Fällt der Kernel, steht nicht ein Modul offen, sondern das Fundament, das jede Buchung, jede Berechtigung und jede Schnittstelle trägt.
Was das SAP-Desaster von 2025 gelehrt hat
Schon 2025 wurde die NetWeaver-Lücke CVE-2025-31324 massenhaft ausgenutzt, von Ransomware-Banden bis zu Spionagegruppen. Das Muster: Internetnahe SAP-Systeme werden binnen Tagen nach der Offenlegung angegriffen.
Die US-Behörde CISA hat jene Lücke im April 2025 in ihren Katalog aktiv ausgenutzter Schwachstellen aufgenommen. Erpressergruppen wie BianLian und RansomEXX haben über offen erreichbare Systeme Webshells hochgeladen und die Steuerung ganzer Landschaften übernommen. Ein vergleichbarer Angriffspfad über ungepatchte, aus dem Internet erreichbare Dienste ist auch beim neuen Fehler denkbar, weshalb die Zeit zwischen Hinweis und Einspielen zählt.
Ein Patch mit der Bewertung 9,9 ist keine Fleißaufgabe für die IT-Abteilung, sondern eine Vorstandsfrage. Eine gepflegte Übersicht der eigenen SAP-Landschaft entscheidet im Ernstfall darüber, ob die Lücke in Stunden oder erst in Wochen geschlossen ist.
— Markus Seyfferth, Chefredakteur Dr. Web
Für Betreiber im DACH-Raum kommt die regulatorische Seite hinzu. Unter NIS2 wird zeitnahes Patchen für wichtige und besonders wichtige Einrichtungen zur nachweisbaren Pflicht, wie die Verlagerung der Haftung in die Produktionshalle unter NIS2 zeigt. Weil SAP das Rückgrat nahezu jedes größeren Industriekonzerns bildet, betrifft eine Kernel-Lücke die Kernprozesse selbst.
Konkret heißt das: betroffene Systeme über die eigene Software-Inventur identifizieren und den Hinweis 3747367 einspielen. Internetnahe SAP-Dienste gehören zusätzlich vom offenen Netz getrennt. Ein sauber gepflegtes Patch-Register ist dabei der Unterschied zwischen einer ruhigen Woche und einem meldepflichtigen Vorfall.
Quelle
[1] SAP: „SAP Security Patch Day – July 2026“ ↩
Mehr Newshunger?
- Datenleck bei Lidl: Warum der Dienstleister das eigentliche Einfallstor war
- Cyberversicherung: Der Markt boomt, der Mittelstand bleibt ungeschützt
- Jeder vierzehnte MCP-Server fällt durch: Wie unsicher die KI-Infrastruktur wirklich ist
- Cloudflare Precursor: Bots verraten sich jetzt an der Mausbewegung
- NIS2: Die Produktionshalle wird zur Haftungsfalle