Diverse Businesssoftware von SAP ist verwundbar. Angreifer können unter anderem an „kritischen“ Lücken in CRM and SAP S/4HANA (Scripting Editor) und NetWeaver Application Server ABAP and ABAP Platform ansetzen.

Besonders gefährliche Schwachstellen

Aufgrund eines Fehlers können authentifizierte Angreifer im Kontext von CRM and SAP S/4HANA (Scripting Editor) SQL-Anweisungen ausführen und so Datenbanken vollständig kompromittieren (CVE-2026-0488 „kritisch“).

Bei NetWeaver Application Server ABAP and ABAP Platform spinnt die Rechtevergabe. Verfügen Angreifer über niedrige Nutzerrechte, können sie Funktionen ausführen, die eigentlich nur für höher privilegierte Nutzer nutzbar sind. Das kann die Verfügbarkeit der Anwendung einschränken (CVE-2026-0509 „kritisch“).

Noch mehr Sicherheitsprobleme

Sicherheitslücken mit dem Bedrohungsgrad „hoch“ bedrohen unter anderem Supply Chain Management (DoS CVE-2026-23689) und Commerce Cloud (DoS CVE-2025-0508). Der Großteil der verbleibenden Schwachstellen ist mit „mittel“ eingestuft und bedroht unter anderem Document Management System und Business One.

Die an diesem Patchday geschlossenen Sicherheitslücken listet der Softwarehersteller in seinem Portal auf. Weiterführende Informationen zu den Lücken und abgesicherten Versionen sind nur im Kundenportal einsehbar.

(des)

Das IT-Unternehmen OpenSlides unterstützt Parteien, Gewerkschaften und Vereine bei der Organisation von Rednerlisten und Abstimmungen. Die Produkte von OpenSlides werden bei Bundesparteitagen genutzt und auch bei zahlreichen kleineren Veranstaltungen. Nun will erstmals ein deutsches Parlament ein Digitales Wahlsystem des Herstellers einsetzen.

Der Düsseldorfer Stadtrat will heute seine Geschäftsordnung so ändern, dass künftig Abstimmungen digital durchgeführt werden können. Auch geheime Abstimmungen sollen über einen Internet-Dienst möglich sein. Laut einem Rechtsgutachtens sei das rechtskonform. Oberbürgermeister Stephan Keller (CDU) hat auf eine netzpolitik.org-Anfrage nicht reagiert.

Immer wieder gibt es Menschen und Gruppen, die demokratische Prozesse digitalisieren wollen. In zahlreichen Nationen werden bereits Wahlen digital durchgeführt. Doch die Praxis stößt auf massive Kritik. Laut Chaos Computer Club beispielsweise sind geheime, digitale Wahlen problematisch, weil ihre Integrität vom ordentlichen Funktionieren und der Manipulationssicherheit der Technologie abhängt. Diese elementaren Kriterien können von Wähler*innen, Wahlhelfenden und Wahlvorständen nicht überprüft werden.

Wahlen müssen öffentlich überprüfbar sein

In Deutschland wurden Wahlcomputer seit 1999 eingesetzt. Das Bundesverfassungsgericht stoppte 2009 ihre Verwendung. „Der Grundsatz der Öffentlichkeit der Wahl, der sich aus den verfassungsrechtlichen Grundentscheidungen für Demokratie, Republik und Rechtsstaat ergibt, gebietet, dass alle wesentlichen Schritte der Wahl öffentlich überprüfbar sind“, erklärte es dazu. Diese Überprüfung dürfe keine besonderen Kenntnisse benötigen.

Es gibt Ideen dazu, wie geheime, digitale Wahlen nachprüfbar ablaufen könnten. Doch diese beinhalten eine pseudonyme Identifikation der einzelnen Stimme. „Das wäre wie ein individuell gekennzeichneter Wahlschein“, sagt Emanuel Schütze, einer der Gründer von OpenSlides. Er sieht in solchen Ideen eine Gefahr für die Anonymität einer Wahl, da derartige Pseudonyme mit Klarnamen in Verbindung gebracht werden und eine freie Wahl verunmöglichen könnten. Ein Aufbrechen des Wahlgeheimnisses sei nicht akzeptabel.

Das Dilemma: Ohne solche Pseudonyme könne die Überprüfbarkeit nicht sichergestellt werden. Für Schütze bleibt nur ein Ausweg: „Wir müssen auf das System vertrauen“, sagt er. Im analogen System müsse man schließlich auch vertrauen, dass der Wahlschein nicht getauscht wird.

Sein Unternehmen sichere den Kunden vertraglich zu, dass es keine Daten manipuliere und auch nicht registriere, wer wofür stimmt. Es sei auch vertraglich ausgeschlossen, dass die Kunden Zugriff auf die Wahldaten bekommen. Protokolliert würde nur, wer seine Stimme abgegeben hat und wie viele Stimmen welche Option erhalten habe. Nicht: wer wofür stimmt.

Um die Manipulationssicherheit zu erhöhen, arbeite man an der Umsetzung eines kryptografischen Konzepts, das auch Kontrollstimmen beinhaltet, anhand derer man sehen kann, ob alle Stimmen sauber erfasst wurden.

Entweder anonym oder fälschungssicher

Folgt man der Argumentation des Online-Wahl-Herstellers, kann in anonymen digitalen Wahlen immer nur eins garantiert werden: Anonymität oder Fälschungssicherheit. OpenSlides setzt dabei vorrangig auf Anonymität. Eine Wahlfälschung beispielsweise könnte demnach nicht anhand einer Neuauszählung der Stimmen nachgewiesen werden. Das ist problematisch, denn wie alle informationstechnischen Systeme, die am Internet hängen, ist auch das von OpenSlides angreifbar.

Selbst wenn man Administratoren und Servern von OpenSlides vertraut, bleibt eine Unsicherheit. Die digitalen Endgeräte, an denen die Abstimmungen vollzogen werden, sind ebenfalls ein Einfallstor für mögliche Angreifer. Oft werden zur Nutzung von OpenSlides private Geräte verwendet. Wer sich Zugriff auf ein solches Gerät verschafft, kann die Stimmabgabe registrieren und sogar manipulieren.

Schütze sieht die Sicherheitsprobleme durchaus. Er sagt, sein Unternehmen veranstalte absichtlich keine politischen Wahlen, bei denen es um die Zusammensetzung von Parlamenten geht. „Wir haben nicht vor, eine Landtagswahl oder Bundestagswahl zu unterstützen. Dafür ist aktuell keine Software bereit“, sagt er.

„Eine unbemerkte Manipulation wäre fatal“

Dabei sind geheime Abstimmungen innerhalb von Parlamenten ja ebenso sensibel wie die zu deren Aufstellung. Chris Demmer, Fraktionsvorsitzender der Linksfraktion im Düsseldorfer Stadtrat sagt: „Die geheimen Abstimmungen sind mitunter die bedeutendsten. Da wählen wir zum Beispiel Politikerinnen und Politiker in die Aufsichtsräte unserer kommunalen Unternehmen. Schon eine Stimme mehr oder weniger ist dann sehr entscheidend. Eine unbemerkte Manipulation wäre fatal!“

Demmer wehrt sich dagegen, im politischen Prozess einer Software vertrauen zu müssen. „Anonyme digitale Abstimmungen sind in besonderem Maße der Gefahr von Manipulation unterworfen, weil jedes elektronische System angreifbar ist und es keine Möglichkeit gibt, die Ergebnisse unabhängig zu verifizieren“, sagt er.

Die Linksfraktion fordert: „Bei geheimen Abstimmungen sollte Düsseldorf aus Gründen der Sicherheit weiterhin auf Stift, Stimmzettel und Wahlurne setzen“. Demmer fügt hinzu: „Bei der Abstimmung mit Urne ist das Verfahren transparent. Im Zweifel öffnen wir den Deckel und zählen nach.“

Adobe hat seine Anwendungen Bridge, After Effects, Audition, DNG Software Development Kit (SDK), InDesign, Lightroom Classic, Substance 3D Designer, Substance 3D Modeler und Substance 3D Stager repariert. Wer die Sicherheitsupdates nicht installiert, riskiert, dass Angreifer Schadcode auf Computern ausführen. Adobe gibt an, dass ihnen derzeit keine Hinweise auf Angriffe vorliegen.

PCs kompromittierbar

Der Softwarehersteller stuft den Großteil der Sicherheitslücken als „kritisch“ ein. In den meisten Fällen sind die Versionen für macOS und Windows verwundbar, und Angreifer können Schadcode ausführen. Das führt in der Regel zur vollständigen Kompromittierung von Systemen.

Beispiele dafür sind etwa Schwachstellen in Substance 3D Stager (CVE-2026-21341 „hoch“) und After Effects (CVE-2026-21318 „hoch“). Damit Schadcode auf Systeme gelangen kann, müssen Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler auslösen (etwa Use After Free).

Adobes Entwickler versichern, die Sicherheitsprobleme in den folgenden Versionen gelöst zu haben:

• Bridge 15.1.4 (LTS, 16.0.2 (macOS, Windows)
• After Effects 25.6.4, 26.0 (macOS, Windows)
• Audition 25.6, 26.0 (macOS, Windows)
• DNG Software Development Kit (SDK) DNG SDK 1.7.2 build 2410 (alle Plattformen)
• InDesign ID20.5.2, ID21.2 (macOS, Windows)
• Lightroom Classic 14.5.2 LTS, 15.11 (alle Plattformen)
• Substance 3D Designer 15.1.2 (alle Plattformen)
• Substance 3D Modeler 1.22.6 (alle Plattformen)
• Substance 3D Stager 3.1.7 (macOS, Windows)

(des)