Das Business-Software-Unternehmen SAP hat zum Mai-Patchday 15 neue Sicherheitsnotizen veröffentlicht. Zwei der darin behandelten Schwachstellen stufen die Entwickler als kritisches Risiko ein. Angreifer können mittels SQL-Injection Datenbankbefehle einschleusen oder etwa die Authentifizierung umgehen.

Auf der Patchday-Übersichtsseite von SAP listet das Unternehmen die einzelnen Sicherheitsnotizen auf. In SAP S/4HANA (SAP Enterprise Search for ABAP) können authentifizierte Angreifer bösartige SQL-Abfragen einschleusen, die nicht ausreichend gefiltert werden. Damit können sie unbefugten Zugang zur darunterliegenden Datenbank erhalten oder die SAP-Anwendung abstürzen lassen (CVE-2026-34260, CVSS 9.6, Risiko „kritisch“). Eine nicht korrekte Konfiguration von Spring Security in SAP Commerce Cloud ermöglicht zudem nicht authentifizierten Angreifern, bösartige Konfigurationen hochzuladen und Code einzuschleusen – was in die Ausführung von beliebigem Code auf Serverseite mündet (CVE-2026-34263, CVSS 9.6, Risiko „kritisch“).

SAP-Patchday: 15 Sicherheitsnotizen

In SAP Forecasting & Replenishment findet sich zudem noch eine Schwachstelle, durch die bösartige Akteure Befehle ans Betriebssystem einschleusen können (CVE-2026-34259, CVSS 8.2, Risiko „hoch“). Die weiteren Meldungen stellen größtenteils ein mittleres Risiko dar und betreffen:

• SAP NetWeaver Application Server for ABAP and ABAP Platform,
• SAP S/4HANA Condition Maintenance,
• Business Server Pages Application (TAF_APPLAUNCHER),
• SAP BusinessObjects Business Intelligence Platform,
• SAP Strategic Enterprise Management (BSP application Balanced Scorecard Wizard),
• SAP Commerce Cloud (Apache Log4j),
• SAPUI5 (Search UI),
• SAP NetWeaver Application Server ABAP (Applications based on Business Server Pages),
• SAP Financial Consolidation,
• SAP Incentive and Commission Management sowie
• SAP Application Server ABAP for SAP NetWeaver and ABAP Platform.

Eine Lücke mit niedrigem Bedrohungsgrad bessert SAP zudem in SAP HANA Deployment Infrastructure (HDI) deploy library aus. IT-Verantwortliche sollten prüfen, ob sie verwundbare Software von SAP einsetzen und die verfügbaren Patches zeitnah anwenden.

Der SAP-Patchday im April fiel etwas umfangreicher aus: 19 Schwachstellen haben die Entwickler da ausbessern müssen. Eine davon galt als kritisch und war ebenfalls vom Typ SQL-Injection.

(dmk)

Bundesinnenminister Alexander Dobrindt (CSU) will sie, im Koalitionsvertrag gibt es dazu eine grundsätzliche Absichtserklärung und nun soll der Gesetzentwurf im Kabinett beschlossen werden: die gesetzliche Befugnis für die „aktive Cyberabwehr“ durch das Bundeskriminalamt (BKA). Was der Minister darunter in Abgrenzung zur bisherigen Tätigkeit der Sicherheitsbehörden versteht, erklärte er am Vormittag in der Bundespressekonferenz so: „Wir wollen uns auch zur Wehr setzen und die Infrastruktur der Angreifer stören und zerstören.“ Und das sei mehr als etwa Denial-of-Service-Attacken „nur in schadlose Bereiche des Netzes“ umzuleiten.

Auf keinen Fall will er diese neuen Befugnisse als Hackback verstanden wissen. „Ein Hackback ist unkonditioniert ein Racheakt“, sagte der Bundesinnenminister. Wenn etwa jemand das Elektrizitätsnetz angreife, würde etwa ein Krankenhaus angegriffen. Hier aber gehe es darum, in einem bereits vollständig aufgeklärten Umfeld die Infrastrukturen der Angreifer mitunter auch im Wortsinne auszuschalten oder Veränderungen an diesen vornehmen zu dürfen, etwa um Command-and-Control-Server von Botnetzen zu übernehmen.

Technisch sei das BKA dazu bereits in der Lage, die rechtlichen Rahmenbedingungen müssten aber noch angepasst werden. Er wolle das entsprechende Gesetz noch in diesem Monat durch das Bundeskabinett bringen, erläuterte der Bundesinnenminister. „Abschrecken, abwehren und abschalten können“, sei das, was geplant sei. „Wir stellen fest, dass Cybercrime-Delikte nicht an einer Ländergrenze halt machen“, beschreibt BKA-Vizepräsidentin Martina Link das Problem aus ihrer Sicht. Bislang fehle es der Behörde an der Gefahrenabwehrbefugnis, eingreifen dürfe sie erst, wenn tatsächlich etwas passiert sei: „Wir müssen abwarten, bis das Kind in den Brunnen gefallen ist.“

Die Diskussion um präventives Vorgehen gegen Angreifersysteme ist dabei mit einer Vielzahl von Fallstricken verbunden. Denn Angreifer nutzen regelmäßig die Systeme eigentlich unbeteiligter Dritter – aus Sicht des Bundesinnenministers aber ist das kein Problem. „Wir gehen nicht wahllos ins Netz und versuchen Angriffe abzuwehren“, will Dobrindt mögliche Kritik entkräften. „Von daher ist die Idee, man könnte irgendwie blind Unbeteiligte treffen, unrealistisch.“ Andere Staaten würden hier gerne auf die technischen Fähigkeiten des BKA zurückgreifen, sagte der Bundesinnenminister.

Viele Erfolge weiter auf hohem Niveau

Zusammenarbeit ist das, worin das Bundeskriminalamt zuletzt glänzte: im Monatstakt konnte die Kriminalpolizeibehörde des Bundes mit Hauptsitz in Wiesbaden zuletzt Erfolge im Kampf gegen Cybercrime-Gruppierungen verzeichnen – fast immer in Zusammenarbeit mit einer Vielzahl internationaler Partnerbehörden. Doch in einigen Staaten wird Cybercrime geduldet – auch aus politischen Gründen. Russland etwa gilt derzeit als sicherer Hafen, Gruppierungen sind dort vor westlichen Haftbefehlen sicher und immer wieder wird der Verdacht geäußert, dass es Überschneidungen zwischen Nachrichtendiensten und „Cyberkriminellen“ gebe. „Die Spuren führten regelmäßig nach Russland“, sagt Dobrindt. Zwei Drittel der Taten werden laut Behördenstatistik aus dem Ausland oder von einem unbekannten Ort aus begangen

Versicherungen sollen bei Ransomware seltener zahlen

335.000 Fälle wurden im Jahr 2025 bei der Polizei angezeigt, die dem ganz unterschiedliche Straftatbestände zusammenfassenden Feld „Cybercrime“ zugeordnet werden – ein fast identisches Niveau zum Vorjahr. Die wirtschaftliche Hauptbedrohung ist nach wie vor Ransomware, 1041 Angriffe verzeichnet das BKA – und geht von einer wesentlich höheren Dunkelziffer aus. Ein Problem, das Bundesinnenminister Dobrindt adressieren will: Zu oft zahlzen Versicherungen Lösegelder, obwohl die Verantwortlichen sich nicht angemessen um die IT-Sicherheit gekümmert hätten. „Fahrlässigkeit darf nicht dazu führen, dass Versicherungsleistungen eintreten“, sagt Dobrindt – und will auf diese Weise für mehr IT-Sicherheit und weniger Lösegeldzahlungen sorgen. Wann und wie konkret das umgesetzt werden soll, schilderte Dobrindt am Dienstag in Berlin nicht.

Fehlende Inhaltekontrolle besorgt BKA und Innenminister

Ein weiteres großes Problem sei, dass die Übergangsregelung für Anbieter ausgelaufen sei, selbständig Inhalte bei Hostingdiensten und sozialen Netzwerken nach Darstellungen von Kindesmissbrauch zu durchforsten, tragen Dobrindt und Link vor. Es sei ein „dramatischer Fehler“ des Europaparlamentes, sagt Dobrindt, „die Verlängerung nicht zu ermöglichen.“ Dass das Parlament von vornherein bei der geplanten CSA-Verordnung eine dauerhaft rechtssichere Lösung eingefordert hatte und Kommission und Rat der Mitgliedstaaten sich der Parlamentsposition kategorisch verweigert hatten, was das Auslaufen zur Folge hatte, erwähnte Dobrindt nicht.

Auch Link sieht im Auslaufen der Inhaltescanberechtigung für Facebook, Instagram, Snapchat, Microsoft, Apple und Co. ein großes Problem. Sie kann aber noch keine konkreten Zahlen beisteuern, um wieviel das Meldeaufkommen der US-Anbieter, das über die Meldestelle NCMEC in Deutschland zentral beim BKA eingeht, seit dem Auslaufen der Übergangsregelung Anfang April denn nun zurückgegangen ist. Die „Barmherziger Samariter“-Klausel im Digital Services Act (DSA) biete keine ausreichende Rechtssicherheit für die Anbieter, sagt Link, die rechtlichen Rahmenbedingungen seien nicht eindeutig genug.

(afl)

In der seit Monaten laufenden Debatte um ein Social-Media-Verbot für Minderjährige hat Ursula von der Leyen (CDU) den Druck auf das von ihr einberufene Expert*innen-Gremium erhöht. In ihrer Rede auf dem Europäischen Gipfel zu künstlicher Intelligenz und Kindern in Kopenhagen sprach sie sich einmal mehr für ein solches Verbot aus. Zum Einsatz kommen soll dafür die geplante Alterskontroll-App der EU.

Im Vorfeld hatten mehrere EU-Staats- und Regierungschef*innen der Kommissionspräsidentin Druck gemacht, allen voran der französische Präsident Emmanuel Macron.

Die heutigen Äußerungen von Ursula von der Leyen sind ein Wink mit dem Zaunpfahl an das von der EU-Kommission selbst einberufene Gremium aus Fachleuten für Kinder- und Jugendschutz im Netz. Sie sollen bis zum Sommer Empfehlungen vorlegen. Nun dürfte den Expert*innen bewusst sein, dass die EU-Kommission dabei eine klare Erwartungshaltung hat.

Eine Überzeugung, die nichts vorwegnehmen soll

Konkret sagt von der Leyen:

Ohne Ergebnisse des Gremiums vorwegzunehmen: Es ist meine Überzeugung, dass wir einen zeitlichen Aufschub für soziale Medien in Betracht ziehen müssen. Je nachdem, wie die Ergebnisse ausfallen, könnten wir diesen Sommer einen Vorschlag für einen Rechtsakt vorlegen.

Zwei Aspekte fallen bei diesem Zitat ins Auge. Erstens: Die Kommissionspräsidentin nimmt klar Einfluss auf die Arbeit des Gremiums, auch wenn sie das mit dem vorangestellten Satz relativiert. Mit Blick auf ein Social-Media-Verbot für Minderjährige spricht sie von „Überzeugung“ und „müssen“. Dadurch macht sie klar: Falls die Expert*innen etwas anderes empfehlen, müssten sie ihr unmittelbar in die Parade fahren.

Zweitens: Von der Leyen spricht nicht von einem Verbot, sondern von einem „zeitlichen Aufschub“. In der englischen Fassung der Rede steht: „delay“. Diese Formulierung ist ein Euphemismus, also ein sprachliches Stilmittel zur Beschönigung. „Aufschub“ klingt weniger hart als „Verbot für Minderjährige“ – auch wenn es auf dasselbe hinausläuft.

Der Euphemismus ist jedoch keine Erfindung der Kommissionspräsidentin oder ihres Teams. Er stammt direkt aus der Kommunikations-Strategie der australischen Regierung, die von der Leyen in ihrer Rede als „Pionier“ bezeichnet. So schreibt die australische Aufsichtsbehörde am 10. Dezember 2025, als das australische Social-Media-Verbot in Kraft trat: „Es ist kein Verbot, es ist ein Aufschub, wann man Accounts haben darf.“

Emotionen statt Fakten

Die damalige Situation in Australien ist vergleichbar mit der in der EU. Während die Regierung auf ein Social-Media-Verbot mit Alterskontrollen drängt, warnen Fachleute aus den Bereichen Jugendschutz, Medienpädagogik, Bürgerrechte, Datenschutz und IT-Sicherheit eindringlich davor. Die Argumente australischer und europäischer Expert*innen sind im Kern die gleichen. Hier wie dort sprechen sich auch betroffene Jugendliche vehement gegen ein Verbot aus – zuletzt rund 30 europäische Jugendverbände. Die Reaktionen der Verbots-Befürworter*innen ähneln sich ebenso: strategische Kommunikation statt stichhaltige Argumente.

Besonders anschaulich macht das eine weitere Formulierung, die Ursula von der Leyen aus dem australischen Diskurs übernimmt. In ihrer Rede sagt sie: „Geben wir den Kindern die Kindheit zurück.“ In die gleiche Kerbe schlug die australische Kampagne „Let them be kids“ (auf Deutsch: „Lasst sie Kinder sein“). Dahinter steckte der Medienkonzern News Corp aus dem konservativen Murdoch-Firmenimperium.

Die Kommissionspräsidentin setzt an dieser Stelle nicht auf Fakten, sondern auf Emotionen. Über Kinder sagt sie weiter: „Ihre Seelen sind so empfindlich, ihre psychologische Verletzlichkeit ist so groß, psychische Wunden können sich auf das ganze Leben auswirken.“ Das ist korrekt – könnte aber ebenso ein Grund sein, junge Menschen nicht von sozialen Medien abzuschneiden, weil sie dort Gemeinschaft und Gleichgesinnte finden.

Im Vorfeld des australischen Social-Media-Verbots mahnte etwa die „Australian Psychological Society“: Ohne sinnvolle Alternativen könne der Entzug sozialer Medien eine Lücke ins soziale Leben junger Menschen reißen und Gefühle wie „Einsamkeit, Angst und Kummer“ erhöhen.

Vier Lücken in der Argumentation

Vier weitere inhaltliche Lücken stechen in von der Leyens Rede zum Social-Media-Verbot hervor.

Erstens: Die Kommissionspräsidentin sagt über Kinder: „Je mehr sie der digitalen Welt ausgesetzt sind, desto größer sind die Gefahren.“ Für diese Behauptung gibt es keine wissenschaftlichen Belege. Stattdessen zeigt die Forschung: Der Grad der Gefährdung lässt sich nicht anhand der Nutzungsdauer ablesen. Das geht auch aus dem Zwischenbericht der deutschen Jugendschutz-Expert*innen hervor, die im Auftrag des Familienministeriums den Forschungsstand zusammengefasst haben. Demnach sei es „entscheidend, nicht nur die Nutzungsdauer zu betrachten, sondern auch typische Nutzungsweisen sowie die Inhalte, denen Jugendliche ausgesetzt sind.“ Relevant seien demnach auch Persönlichkeit und Lebenslage junger Menschen.

Für eine im Frühjahr veröffentliche groß angelegte Studie hatten Forschende der Universität Manchester 25.000 Jugendliche zwischen 11 und 14 Jahren drei Schuljahre lang begleitet. Sie wollten wissen, ob die für Gaming und Social Media aufgebrachte Zeit ihrer psychischen Gesundheit schadet – und fanden darauf keine Hinweise.

Zweitens: Von der Leyen sagt, Kinder müssten die „Logik der sozialen Medien verstehen“ und „lernen, sich vor negativen Auswirkungen zu schützen und gleichzeitig die positiven Seiten zu nutzen“. Sie spricht von Lehrer*innen, „die Kindern helfen können, diese Kompetenzen von klein auf zu erwerben“. Mit einem Social-Media-Verbot ist das eher schwer zu vereinbaren: Kinder sollen demnach mehr digitale Kompetenzen aufbauen, obwohl die EU ihnen weniger Zugang zur digitalen Welt erlaubt.

Anders und schlüssiger argumentiert etwa der Präsident des Deutschen Lehrerverbands, Stefan Düll, in einer Stellungnahme vom Juni 2025. „Digitale Teilhabe ist Realität – und die muss man lernen, nicht verbieten“, schreibt er. Es könne nicht die Lösung sein, Jugendlichen „plötzlich mit dem 16. Geburtstag“ einen Zugang zu geben.

Drittens: Von der Leyen wiederholt ihre teilweise falschen Aussagen über die Alterskontroll-App der EU. Sie sagt erneut, die App „funktioniert auf jedem Gerät“. Das ist falsch. Die App funktioniert derzeit nur auf iOS und Google-basiertem Android – nicht etwa auf MacOS, Windows oder Linux. Das führt zu einem Handy-Zwang und zur Abhängigkeit von US-amerikanischen Tech-Unternehmen.

Weiter sagt von der Leyen, die App „bietet die höchsten Datenschutzstandards der Welt“. Das ist irreführend. Zum Beispiel ist der anonyme „Zero Knowledge Proof“ laut offiziellen Spezifikationen der App keine Pflicht („shall“), sondern nur eine Empfehlung („should“). Das heißt: Es gibt höhere Standards – und sie stehen sogar in den Spezifikationen der App selbst.

Viertens: Über das Social-Media-Verbot in Australien sagt die Kommissionspräsidentin: „Wir können die Fortschritte sehen“. Weniger Kinder und Jugendliche hätten Konten in den sozialen Medien. Das ist irreführend. Selbst die zuständige Aufsichtsbehörde in Australien hat festgestellt, dass viele unter 16-Jährige noch immer ihre Accounts haben oder neue erstellen, und deshalb Untersuchungen gegen Tech-Unternehmen angekündigt.

Der Erfolg der Regelung lässt sich zudem nicht anhand der Anzahl gesperrter Accounts messen – sondern daran, ob sich das Wohlbefinden von Kindern und Jugendlichen verbessert. Das muss noch erforscht werden.

Räume sicherer machen, Minderjährige ausschließen

Ein großer Teil der Rede handelt von Tech-Regulierung, die nicht nur Minderjährige betrifft, sondern alle. Das ist schlüssig, denn nicht nur Minderjährige sind Gefahren im Netz ausgesetzt. Auch unter Erwachsenen gibt es viele vulnerable Gruppen.

Von der Leyen sagt: „Technologieanbieter sind für die Sicherheit ihrer Produkte und deren sichere Verwendung verantwortlich.“ Der kommende Digital Fairness Act soll etwa „Design-Praktiken adressieren, die auf Abhängigkeit abzielen und schädlich sind“. Die Kommissionspräsidentin kritisiert zudem Geschäftsmodelle, die Aufmerksamkeit „als Ware nutzen“, sowie Spiele für junge Männer, „die darauf ausgelegt sind, sie zu manipulieren, damit sie immer mehr Geld ausgeben“.

Viele Kritiker*innen eines Social-Media-Verbots dürften diesen Ausführungen zustimmen. Im Kern fordern sie, dass Regulierung Risiken direkt adressieren sollte – sichere digitale Räume für alle statt Ausschluss von Minderjährigen. Die Kommissionspräsidentin will offenbar beides: digitale Räume sicherer machen und trotzdem Minderjährige davon ausschließen. Das ist nicht schlüssig.

Auf einer Pressekonferenz in Brüssel hieß es vonseiten der EU-Kommission: Man werde auf die Empfehlungen des Expert*innen-Gremiums im Juni warten. Noch im selben Sommer könne ein Gesetzentwurf folgen. Zeit sei dafür genug, der Sommer ende schließlich erst am 21. September.