Eine kritische Sicherheitslücke in SAPs Flaggschiff-Software S/4HANA wird bereits aktiv von Angreifern ausgenutzt, warnen Cybersicherheitsforscher. Die Schwachstelle mit der Kennung CVE-2025-42957 erhält den höchstmöglichen Bedrohungswert von 9,9 von 10 Punkten und ermöglicht es Hackern mit geringsten Nutzerrechten, komplette Systeme zu übernehmen.

Das Erschreckende: SAP hatte bereits im August einen Patch veröffentlicht, doch viele Unternehmen haben ihre Systeme noch nicht aktualisiert. Jetzt zahlen sie den Preis dafür. Da S/4HANA-Systeme das digitale Herzstück tausender Großunternehmen weltweit bilden und alles von Finanzdaten bis zur Lieferkette verwalten, drohen katastrophale Folgen.

Der Angriff: Einfach und verheerend

Die Sicherheitsfirma SecurityBridge entdeckte die Lücke und bestätigte vergangene Woche erstmals deren aktive Ausnutzung in Kundenumgebungen. Die Schwachstelle liegt in einem Funktionsmodul von S/4HANA, das über Remote Function Calls (RFC) erreichbar ist.

Besonders brisant: Selbst Angreifer mit minimalen Systemberechtigungen können beliebigen ABAP-Code einschleusen und ausführen. Dabei werden grundlegende Autorisierungsprüfungen umgangen – eine Art digitaler Generalschlüssel zu den wertvollsten Unternehmensdaten.

Die Hürden für Cyberkriminelle sind niedrig. SecurityBridge warnt, dass sich aus SAPs Patch relativ einfach ein funktionsfähiger Exploit entwickeln lässt, da der zugrundeliegende ABAP-Code für Berechtigte einsehbar ist. Die Schwachstelle betrifft sowohl lokale als auch private Cloud-Installationen verschiedener S/4HANA-Versionen.

Wenn das System fällt: Die dramatischen Folgen

Ein erfolgreicher Angriff bedeutet laut Experten "praktisch Game Over" für die betroffenen Unternehmen. Die Angreifer können sensible Geschäftsdaten stehlen oder manipulieren, neue Superuser-Konten mit vollständigen Administratorrechten erstellen und Passwort-Hashes herunterladen, um sich im gesamten Firmennetzwerk auszubreiten.

Jonathan Stross, SAP-Sicherheitsanalyst bei Pathlock, skizziert das Horrorszenario: "Angreifer können regulierte Daten stehlen, versteckte Hintertüren schaffen, Zugangsdaten abgreifen, den Betrieb stören und sogar Ransomware einsetzen."

SecurityBridge demonstrierte die Leichtigkeit des Angriffs in einem Video, das zeigt, wie binnen Sekunden neue Superuser-Konten entstehen und Geschäftsdaten direkt manipuliert werden. Die möglichen Schäden reichen von Millionenbetrug über Wirtschaftsspionage bis hin zu kompletten Betriebsausfällen.

Bedrohliche Zeitlinie: Vom Patch zum Angriff

Die Entwicklung zeigt ein alarmierendes Muster: SecurityBridge entdeckte die Lücke am 27. Juni 2025 und meldete sie an SAP. Der Hersteller veröffentlichte am 11. und 12. August einen Sicherheitspatch. Bereits Anfang September beobachteten sowohl SecurityBridge als auch Pathlock verdächtige Aktivitäten, die auf Ausnutzungsversuche hindeuteten.

"Ein Patch-Zeitraum von einem Monat, der in manchen Unternehmen noch üblich ist, funktioniert gegen diese Art von Bedrohungen nicht mehr", warnt Stross eindringlich. Auch das niederländische Nationale Cybersicherheitszentrum (NCSC NL) schlug Alarm und bestätigte eine "begrenzte" Ausnutzung der Schwachstelle.

Rennen gegen die Zeit: Sofortmaßnahmen erforderlich

SAP-Systeme stehen schon länger im Visier von Cyberkriminellen. Die US-Cybersicherheitsbehörde CISA führt bereits 14 SAP-Schwachstellen in ihrem Katalog bekannter ausgenutzer Lücken. CVE-2025-42957 fügt diesem Arsenal eine besonders mächtige Waffe hinzu.

Unternehmen mit S/4HANA-Systemen müssen sofort die August-Patches einspielen. Zusätzlich sollten IT-Teams ihre Systeme auf Kompromittierungszeichen überwachen: verdächtige RFC-Aufrufe, unerwartete Administrator-Konten und ungewöhnliche ABAP-Code-Änderungen.

Experten empfehlen weitere Schutzmaßnahmen wie die Einschränkung von RFC-Nutzung über SAP UCON und die Begrenzung des Zugriffs auf kritische Autorisierungsobjekte. Da Angreifer aktiv nach verwundbaren Systemen suchen, erhöht jeder Tag Verzögerung das Risiko einer Komplettübernahme dramatisch.

Die kommenden Wochen werden zeigen, wie ernst Unternehmen diese Warnung nehmen – und ob sie ihre geschäftskritische Infrastruktur rechtzeitig schützen können.