Aufnahme von MART PRODUCTION aus Pexels zeigt eine Person in einer alten Schule, die an einem Computer arbeitet, während sie ein Tablet hält.
Digital Business & Future 08.05.2026

SAP-BPC: Die SQL-Hintertür in der Quartalsbilanz

7 Min. Lesezeit

SAP hat im April 2026 eine SQL-Injection-Lücke in Business Planning and Consolidation und Business Warehouse mit CVSS 9.9 geschlossen. Die CVE-2026-27681 erlaubt es einem authentifizierten Anwender mit minimalen Rechten, beliebige SQL-Statements auf der Datenbank auszuführen. Wer als Mittelständler den April-Patch verschoben hat, weil das Slot-Fenster mit Karfreitag und Quartalsabschluss kollidierte, sitzt seit drei Wochen offen. SAP-Note 3719353 ist seit 14.04.2026 verfügbar, der Patch ist getestet und der Aufwand überschaubar. Kritisch wird die Verzögerung erst, wenn das Audit-Fenster für die Q2-Bilanz aufgeht.

Das Wichtigste in Kürze

  • CVSS 9.9 trifft die Finanzberichts-Schicht. Die Lücke sitzt im ABAP-Programm, das BPC und BW gemeinsam nutzen. Ein Low-Privilege-User kann Bilanzwerte überschreiben, Modelle manipulieren oder Datenbankinhalte löschen.
  • SAP-Note 3719353 deckt 11 Versionen ab. Betroffen sind BW 750 bis 816, HANABPC 810 und BPC4HANA 300. Mittelständler mit S/4HANA-Migration in Vorbereitung sollten die Note vor dem Migrations-Cutover einspielen, nicht danach.
  • Drei Wochen Verzögerung sind das Problem, nicht die Technik. Der Patch ist 50 KB groß und in Standard-Slots in einer Stunde durch. Wer ihn nicht eingespielt hat, hat ein Sprint-Planungs-Problem, kein SAP-Problem.

VerwandtRisikoprofil 2026: Vorsicht wird teuerste Strategie  /  E-Rechnungspflicht: Unternehmen unter Druck

Warum diese Lücke nicht in der Cyber-Schublade landet

In den meisten Mittelstandsorganisationen wandert ein SAP-Security-Hinweis aus dem Patch-Day automatisch in die IT-Security-Schublade. Dort wird er nach CVSS sortiert, terminiert, und zum nächsten Sprint-Slot zugeordnet. Bei CVE-2026-27681 funktioniert dieser Reflex schlecht. Die Lücke sitzt nicht im Netzwerkperimeter, sondern in einem ABAP-Programm, das beim Konzern-Forecast und beim Quartalsabschluss läuft. Sie ist damit kein Security-Thema, sondern ein Finanzberichts-Thema mit Security-Etikett.

Die SAP-Beschreibung ist ungewöhnlich klar. Ein Anwender mit Standardberechtigungen, der Daten in ein ABAP-Programm hochladen darf, kann eigene SQL-Statements einschleusen. Das geht nicht über einen Exploit-Server irgendwo, das geht über das gleiche Eingabefeld, über das die Quartalsdaten geladen werden. Wer ein Insider-Risiko ernst nimmt, hat hier den Lehrbuchfall.

Das ist auch der Grund, warum die Risikobewertung anders aussieht als bei einer Standard-CVE. Bei einer FortiSandbox-RCE diskutiert der CISO, ob die Box im perimetrierten Bereich steht. Bei einer SQL-Injection in BPC diskutiert der Geschäftsführer, ob er gerade in der Vorbereitung der Q2-Zahlen für die Bank ist. Die Antwort ist meistens: ja.

Was die 11 betroffenen Versionen über deutsche Mittelständler sagen

SAP-Note 3719353 listet eine ungewöhnlich breite Versionsbasis. Betroffen sind BW 750, 752, 753, 754, 755, 756, 757, 758, 816 sowie HANABPC 810 und BPC4HANA 300. Wer die Liste mit der typischen DACH-Mittelstandsrealität abgleicht, findet sich fast garantiert wieder. BW 7.50 läuft seit 2016 in vielen Häusern stabil und wurde in der Wartungsverlängerung gehalten. BPC4HANA 300 ist die aktuelle Embedded-Variante, die mit S/4HANA mitkommt.

9.9
CVSS-Score von CVE-2026-27681. Authentifiziert, ohne User-Interaktion, niedrig privilegiert, kompletter Datenbankzugriff über manipulierten ABAP-Upload.
Quelle: NVD-Eintrag CVE-2026-27681, Stand 22.04.2026

In der Praxis sehe ich drei typische Konstellationen. Die erste ist der klassische Konzern-Mittelstand mit BW als Reporting-Backend für die Bank-Berichte. Hier hängt mehr als nur das Tool dran: die Audit-Spur des letzten Geschäftsjahres läuft durch das gleiche System. Eine SQL-Injection in dieser Schicht ist nicht nur ein Datenleck, sie ist ein Audit-Risiko, weil die Integrität der historischen Berichte nicht mehr trivial nachweisbar ist.

Die zweite Konstellation ist der Familien-Mittelstand mit BPC für die Konsolidierung. BPC ist hier oft das einzige Werkzeug, das die Geschäftsführung wirklich kennt, weil es die Forecasts und die Plan-Ist-Vergleiche produziert. Ein Eingriff in dieser Schicht trifft die Steuerungsfähigkeit der Geschäftsführung direkt.

Die dritte Konstellation ist die S/4HANA-Migration, die für 2026 geplant ist. Wer im Sommer cutoveren will, hat BPC4HANA 300 bereits aufgesetzt und in der Testphase. Genau dort ist die Lücke. Den Patch nicht vor dem Cutover einzuspielen ist eine reine Bequemlichkeitsfrage, die später teuer wird, weil ein Patch im Produktivsystem mit Live-Konsolidierungsläufen ungleich aufwendiger ist.

Was bricht, was trägt: der Patch-Sprint im Mai

Was bricht

  • Patch-Slot wurde mit Karfreitag verschoben, dann mit Q1-Closing, dann mit Mai-Feiertagen.
  • SAP-Basis-Team kennt Note 3719353 nicht namentlich, weil Patch-Day-Reports in Sammel-Tickets enden.
  • Audit-Vorbereitung Q2 läuft parallel im gleichen System, Patch-Fenster gilt als „störend“.
  • Migrations-Slot S/4HANA hat die Note nicht in der Cutover-Checkliste.

Was trägt

  • Note 3719353 ist 50 KB, Standardpatch, Test-Aufwand unter zwei Stunden.
  • SAP hat den Vektor genau dokumentiert, der Test-Case ist trivial nachstellbar.
  • Audit-Argument umkehrbar: gepatcht ist die saubere Spur, ungepatcht ist Risiko-Kommentar.
  • Migrations-Slot ist die Chance, Note und Cutover in einem Schritt zu fahren.

Die Asymmetrie ist offensichtlich. Was bricht, ist Sprint-Disziplin und Kommunikation. Was trägt, ist die Substanz der Note selbst. Wer den Patch nicht einspielt, hat keinen technischen Grund, sondern einen organisatorischen.

Ein 14-Tage-Plan, der in den Mittelstand passt

Patch-Sprint CVE-2026-27681
Tag 0 bis 2
SAP-Basis-Team identifiziert betroffene Systeme aus dem Solution-Manager, listet BW-/BPC-Versionen, prüft Test- und Produktivlandschaft. Geschäftsführung bekommt eine einseitige Risikoeinordnung mit dem konkreten Q2-Bezug, nicht eine generische CVSS-Tabelle.
Tag 3 bis 7
Note 3719353 wird in das Quality-System eingespielt, der dokumentierte Test-Case wird auf einem Demo-User abgefahren. Parallel werden alle ABAP-Upload-Programme inventarisiert, die das verwundbare Pattern nutzen, um den Schaden im Worst-Case-Szenario einzugrenzen.
Tag 8 bis 11
Produktiv-Patch im nächsten regulären Wartungsfenster. Wenn das nächste Fenster außerhalb der zweiwöchigen Frist liegt, wird ein Out-of-Band-Slot mit der Geschäftsführung vereinbart, dokumentiert und im Audit-Trail vermerkt. Ein Sondersprint kostet weniger als ein nachgelagertes Audit-Findings-Gespräch.
Tag 12 bis 14
Verifikation, Audit-Eintrag, Berichtszeile in der Risiko-Bestandsaufnahme. Wer die Lücke 30 Tage offen ließ, schreibt einen kurzen Lessons-Learned-Eintrag. Das ist kein Schuldzuweisungs-Dokument, sondern ein Sprint-Planungs-Hinweis für das nächste Patch-Window.

Der Plan klingt knapp, ist aber realistisch. Die meisten DACH-Mittelständler haben ein zweiwöchiges SAP-Patch-Fenster, nur dass es selten konsequent durchgehalten wird. Note 3719353 ist die Gelegenheit, das Fenster wieder in die Routine zu bringen, statt es als Sondereinsatz zu behandeln.

Was die Geschäftsführung wirklich wissen muss

Die einseitige Risikoeinordnung an die Geschäftsführung ist der Punkt, an dem die meisten Patch-Sprints scheitern, lange bevor das Basis-Team die Note überhaupt einspielt. Wer der Geschäftsführung eine CVSS-Tabelle und eine generische SAP-Mitteilung schickt, bekommt zurück, was er verdient: ein Häkchen unter „zur Kenntnis“. Wer eine Seite mit drei Punkten schreibt, bekommt ein Patch-Fenster genehmigt.

Die drei Punkte sind nicht kompliziert. Erstens: ein authentifizierter User kann unsere Q2-Konsolidierungszahlen verändern, bevor sie in den Vorstandsbericht laufen. Zweitens: der Patch ist seit drei Wochen verfügbar, getestet und SAP-empfohlen. Drittens: das nächste reguläre Patch-Fenster ist am Datum X, alternativ schlagen wir ein Out-of-Band-Fenster am Datum Y vor. Diese Form respektiert die Zeit der Geschäftsführung und liefert eine Entscheidung statt eines Update-Status.

Wer in der Vergangenheit gelernt hat, dass die Geschäftsführung bei IT-Themen abblockt, sollte ein Detail prüfen: blockt sie wirklich die Substanz, oder blockt sie die Form. In den meisten Fällen ist es die Form. Eine Note 3719353 mit klarem Q2-Bezug ist keine IT-Bürokratie, sondern eine Bilanz-Frage. Genauso sollte sie auch verpackt sein.

Was außer dem Patch noch zu tun ist

Der Patch ist die Pflicht, die Kür ist die Inventur. Wer im Solution-Manager nachschaut, welche kundenspezifischen ABAP-Programme das verwundbare Upload-Pattern nutzen, findet meistens mehr als die SAP-Standardprogramme. Diese kundenspezifischen Programme sind durch Note 3719353 nicht mit gepatcht, weil die Note nur den SAP-Standard adressiert. Hier ist eigene Code-Review-Arbeit nötig, idealerweise mit dem ABAP-Entwicklungsteam zusammen.

Die zweite Kür-Aufgabe ist die Berechtigungs-Inventur. CVE-2026-27681 ist ausnutzbar mit niedrigem Privileg-Level. Wer im Berechtigungskonzept nachschaut, wie viele Anwender das nötige Berechtigungsobjekt haben, sieht oft eine Zahl im dreistelligen Bereich, die historisch gewachsen ist. Eine schnelle Reduktion auf das tatsächlich notwendige Set ist nicht der Patch-Ersatz, aber sie reduziert die Insider-Angriffsfläche, falls die Note erst in zwei Wochen produktiv eingespielt werden kann.

Die dritte Kür-Aufgabe ist das Logging. SAP Audit-Log und Read-Access-Logging zeigen, wer zwischen 14.04.2026 und Patch-Datum ABAP-Uploads gefahren hat. Diese Liste sollte aufbewahrt werden, nicht aus Misstrauen, sondern aus Audit-Vorsorge. Wenn ein Auditor in zwölf Monaten fragt, ob in dem offenen Fenster jemand das Pattern ausgenutzt hat, ist die Antwort „wir haben die Liste“ deutlich angenehmer als „wir wissen es nicht“.

Häufige Fragen

Ist CVE-2026-27681 aktiv ausgenutzt?

SAP hat in der Patch-Day-Mitteilung am 14.04.2026 angegeben, dass keine der adressierten Schwachstellen aktiv im Wild ausgenutzt werden. Das ändert nichts an der Patch-Pflicht, weil der Vektor öffentlich dokumentiert ist und Insider-Risiken nicht von externen Beobachtungen abhängen.

Reicht es, Note 3719353 nur in BPC einzuspielen, wenn wir kein BW haben?

Nein. Die Note adressiert ein gemeinsames ABAP-Programm. Auch reine BPC-Installationen ohne klassische BW-Reporting-Schicht müssen die Note einspielen, weil das verwundbare Programm Bestandteil beider Stacks ist. Die SAP-Note nennt explizit BPC4HANA 300 und HANABPC 810.

Was tun, wenn unsere BW-Version 7.40 ist und in der SAP-Note nicht aufgeführt?

BW 7.40 ist seit 2020 außerhalb der Mainstream-Wartung. Wenn die Version trotzdem produktiv läuft, ist die Lücke vermutlich vorhanden, aber kein Patch verfügbar. SAP empfiehlt in diesem Fall ein Update auf eine wartungsfähige Version. Übergangsweise hilft die Berechtigungs-Inventur und das Logging der ABAP-Uploads, um die Angriffsfläche zu reduzieren.

Kollidiert der Patch mit unserem geplanten S/4HANA-Cutover im Sommer?

Nein, im Gegenteil. Wenn das BPC4HANA 300 ohne Note 3719353 in das produktive S/4HANA überführt wird, läuft die Lücke ab Cutover im neuen System. Der saubere Weg ist, die Note in das Migrations-Quality-System einzuspielen und im Cutover mitzunehmen. Das Migrations-Team sollte Note 3719353 explizit in der Cutover-Checkliste haben.

Brauchen wir externe Beratung dafür?

In der Regel nicht für die Note selbst. Sie ist Standard, getestet, und das eigene SAP-Basis-Team kann das Patch-Fenster fahren. Externe Beratung ist sinnvoll, wenn die Berechtigungs-Inventur oder die Code-Review der kundenspezifischen ABAP-Programme angegangen werden soll, weil diese beiden Themen Kapazitäten binden, die im laufenden Mittelstandsbetrieb selten frei sind.

Quelle Titelbild: Pexels / MART PRODUCTION (px:8872665)

Mehr aus dem MBF Media Netzwerk

Auch verfügbar in

Ein Magazin der evernine media GmbH