SAP hat zum letzten Patchday des Jahres 14 neue Sicherheitsmitteilungen veröffentlicht. Die behandeln teils kritische Sicherheitslücken in der Business-Software. Admins sollten die bereitstehenden Aktualisierungen zügig anwenden.

Die Übersicht von SAP listet die einzelnen Sicherheitsnotizen und betroffene Produkte auf. Drei als kritisches Risiko eingestufte Sicherheitslecks stechen dabei hervor. Angemeldete Nutzer können aufgrund fehlender Eingabefilterung bösartigen Code beim Aufruf eines Moduls mit aktiviertem Fernzugriff einschleusen. Das ermöglicht die vollständige Übernahme betroffener SAP Solution Manager (CVE-2025-42880, CVSS 9.9, Risiko „kritisch“). Der mitgelieferte Apache-Tomcat-Server in SAP Commercial Cloud enthält zudem mehrere, teils als kritisches Risiko eingestufte Sicherheitslücken (CVE-2025-55754, CVSS 9.6, Risiko „kritisch“, sowie CVE-2025-55752, ohne eigene CVSS-Einstufung). Weiterhin warnt SAP davor, dass Angreifer mit erhöhten Rechten eine Deserialisierungslücke in SAP jConnect missbrauchen können, um beliebigen Schadcode aus der Ferne auszuführen (CVE-2025-42928, CVSS 9.1, Risiko „kritisch“).

Übersicht der Sicherheitsnotizen

IT-Verantwortliche sollten prüfen, ob sie verwundbare Produkte einsetzen und gegebenenfalls die Updates zügig installieren. Die Sicherheitsnotizen im Einzelnen:

• Code Injection vulnerability in SAP Solution Manager (CVE-2025-42880, CVSS 9.9, Risiko „kritisch“)
• Multiple vulnerabilities in Apache Tomcat within SAP Commerce Cloud (CVE-2025-55754, CVSS 9.6, „kritisch“, sowie CVE-2025-55752)
• Deserialization Vulnerability in SAP jConnect – SDK for ASE (CVE-2025-42928, CVSS 9.1, „kritisch“)
• Sensitive Data Exposure in SAP Web Dispatcher and Internet Communication Manager (ICM) (CVE-2025-42878, CVSS 8.2, „hoch“)
• Denial of service (DOS) in SAP NetWeaver (remote service for Xcelsius) (CVE-2025-42874, CVSS 7.9, „hoch“)
• Denial of service (DOS) in SAP Business Objects (CVE-2025-48976, CVSS 7.5, „hoch“)
• Memory Corruption vulnerability in SAP Web Dispatcher, Internet Communication Manager and SAP Content Server (CVE-2025-42877, CVSS 7.5, „hoch“)
• Missing Authorization Check in SAP S/4 HANA Private Cloud (Financials General Ledger) (CVE-2025-42876, CVSS 7.1, „hoch“)
• Missing Authentication check in SAP NetWeaver Internet Communication Framework (CVE-2025-42875, CVSS 6.6, „mittel“)
• Information Disclosure vulnerability in Application Server ABAP (CVE-2025-42904, CVSS 6.5, „mittel“)
• Cross-Site Scripting (XSS) vulnerability in SAP NetWeaver Enterprise Portal (CVE-2025-42872, CVSS 6.1, „mittel“)
• Denial of Service (DoS) in SAPUI5 framework (Markdown-it component) (CVE-2025-42873, CVSS 5.9, „mittel“)
• Missing Authorization check in SAP Enterprise Search for ABAP (CVE-2025-42891, CVSS 5.5, „mittel“)
• Server-Side Request Forgery (SSRF) in SAP BusinessObjects Business Intelligence Platform (CVE-2025-42896, CVSS 5.4, „mittel“)

Der November-Patchday von SAP brachte IT-Verantwortlichen 18 Sicherheitsmitteilungen und zugehörige Patches zum Schließen der Sicherheitslücken. Davon galten zwei als kritisches Risiko, eine erreichte sogar den Höchstwert von CVSS 10.

(dmk)

Eine Woche, nachdem der größte Onlinehändler Südkoreas einen massiven Datenabgriff öffentlich gemacht hat, hat die Polizei jetzt die Zentrale von Coupang durchsucht. Das berichtet die Nachrichtenagentur Yonhap und erklärt, dass dabei nach Beweisen gesucht wurde, die bei der Rekonstruktion des Angriffs helfen sollen. Man wolle den gesamten Sachverhalt umfassend aufklären, unter anderem auch die Identität der Person, die die Daten weitergegeben hat, zitiert Yonhap eine Mitteilung der Polizei. Auch den Grund für den Datendiebstahl sucht man demnach noch. Laut der Nachrichtenagentur basierten die Ermittlungen bislang ausschließlich auf freiwillig von Coupang herausgegebenen Daten. Der Bericht deutet an, dass zentrale Punkte des Angriffs noch unklar sind.

Zentrale Punkte weiterhin unklar

Coupang hatte vorige Woche öffentlich gemacht, dass ein ehemaliger Angestellter personenbezogene Daten zu mehr als 33 Millionen Kunden beziehungsweise Kundinnen abgegriffen und das Land verlassen haben soll. Zuvor war zwar ein Datenleck eingestanden worden, da war aber nur von 4500 betroffenen Konten die Rede. Stattdessen geht es aber wohl um die Namen, E-Mail- und Lieferadressen sowie teilweise die Kaufhistorie von wahrscheinlich allen Kunden und Kundinnen des Marktführers in Südkorea. In dem Land leben gerade einmal rund 52 Millionen Menschen, der Verantwortliche könnte also Daten zu einer übergroßen Mehrheit der Wohnungen haben. Der Eingriff soll im Juni begonnen haben.

Der Cybersicherheitsvorfall dürfte deshalb der größte in der Geschichte Südkoreas sein. Coupang ist in Südkorea für extrem zügige Lieferungen bekannt, mehr als 99 Prozent der Bestellungen werden innerhalb von 24 Stunden zugestellt. Schon seit Jahren gibt es aber auch Kritik an den Arbeitsbedingungen bei dem Konzern. Laut der Korea Times sind dort seit 2020 mehr als 20 Menschen während der Arbeit verstorben. Der Datenabgriff beschäftigt in dem Land längst auch die Politik, laut der Tageszeitung Hankyoreh gab es vergangene Woche eine Anhörung im Parlament. Dort hätten Vertreter des Konzerns unter anderem angedeutet, dass der Verantwortliche das Land schon Ende 2024 verlassen hat. Auch der genaue zeitliche Ablauf des Datenabgriffs ist also noch unklar.

(mho)

Der Chef von Palantir, Alex Karp, residiert auch in einem Anwesen in der Schweiz. Der US-Tech-Konzern expandiert sein Geschäft mit Analysesoftware schon mehrere Jahre nach Europa. Was liegt da näher, als auch den Eidgenossen die Palantir-Systeme anzudienen? Genau das versuchte das militärnahe Unternehmen über Jahre – aber biss sich die Zähne aus.

Das berichtet das Magazin „Republik“ aus der Schweiz. Die Journalisten haben mit Hilfe von 59 Anfragen nach dem Öffentlichkeits­gesetz in einer lesenswerten Analyse nachvollzogen, wie sich der Konzern an öffentliche Stellen ranwanzte, um seine Software bei den Schweizer Bundes­behörden und beim Militär an den Mann zu bringen. Der Palantir-CEO und Milliardär Karp gab sich höchstselbst die Ehre und empfing den damaligen Bundeskanzler Walter Thurnherr.

Die Analyse enthält auch einen 20-seitigen internen Evaluationsbericht der Armee. Darin werden Vorzüge, aber auch Risiken eines Palantir-Einsatzes beschrieben, die letztlich zur Ablehnung einer Kooperation mit dem Konzern führten. Die Militärexperten kommen zu dem Schluss, dass ein Abfluss von Daten aus den Palantir-Systemen technisch nicht verhindert werden könne.

Das jedoch lässt die von polizeilichen Palantir-Nutzern in Deutschland gebetsmühlenartig wiederholte Behauptung, ein Abfluss der polizeiinternen Daten sei technisch gar nicht möglich, unglaubwürdig erscheinen. Sie dürfte sich eher auf bloße Zusicherungen des US-Konzerns, nicht aber auf technische Fakten stützen. Denn die Software ist proprietär, weswegen technische Einblicke darin nur begrenzt möglich sind.

Die vier deutschen Landespolizeien und deren Innenminister, die Verträge mit Palantir eingegangen sind, wirken einmal mehr ignorant gegenüber diesen ernsten Risiken, die eine Kooperation mit dem Konzern mit sich bringen: Nordrhein-Westfalen, Hessen, Bayern und nun auch Baden-Württemberg.

Daumen runter für Palantir

Palantir-Software, wie sie auch von deutschen Polizeien eingesetzt wird, verbindet heterogene Datenbanken und analysiert Verbindungen von Datenpunkten oder Mustern darin. Zuvor fragmentierte Daten werden also zusammengeführt. Damit werden beispielsweise Verbindungen von Menschen sichtbar oder geographische Bewegungen verfolgbar.

Im Evaluationsbericht heißt es zu den Risiken für die in die Palantir-Systeme eingepflegten Daten:

Palantir ist ein Unternehmen mit Sitz in den USA, bei dem die Möglichkeit besteht, dass sensible Daten durch die amerikanische Regierung und Geheim­dienste eingesehen werden können.

Die Risikoeinschätzung der Militärs weist auf weitere Problemfelder, die von den polizeilichen Palantir-Vertragspartnern in Deutschland auch gern wegdiskutiert werden. Die Palantir-Software führe zu einer Abhängigkeit vom US-Anbieter, insbesondere „von externem hochqualifizierten Personal“. Ob „für die Implementierung, den Betrieb und die Wartung der Systeme dauerhaft technisches Fachpersonal von Palantir vor Ort benötigt wird“, sei unklar.

Auch drohe der Verlust der Daten­hoheit und der „nationalen Souveränität“. Das Kostenrisiko sei außerdem schwer abzuschätzen, da es keine Preislisten gebe. Das betrifft die Implementierung und Anpassung der Software und die Datenmigration, aber auch Lizenzgebühren und Wartungskosten. Man könne „genaue Beträge nur durch direkte Verhandlungen“ ermitteln.

Zudem werden die starken Eingriffe in die Privatsphäre in dem Bericht problematisiert, die durch die umfassende Daten­sammlung und -analyse entstehe. Auch die Diskriminierung spielt dabei eine Rolle, denn es könne dazu kommen, „dass bestimmte Personen aufgrund statistischer Zusammen­hänge ungewollt ins Visier geraten“.

Das Schweizer Bundesamt für Rüstung prüfte den Einsatz von Palantir-Software für ein bestimmtes Softwaresystem, das „Informatiksystem Militärischer Nachrichtendienst“. Dafür lagen vorgegebene Kriterien der Ausschreibung vor. Eines davon erfüllt das Palantir-Angebot nicht. Das Amt gibt den Journalisten aber keine Auskunft, um welches Kriterium es sich handelte. Das dazu veröffentlichte Schreiben besteht fast nur aus Schwärzungen.

Das Problem heißt nicht nur Palantir

Nimmt Dobrindt die Risiken in Kauf?

Die Eidgenossen entschieden sich gegen den Einsatz von Palantir-Produkten. Es war ihnen ein zu großes Risiko. Die Empfehlung lautet knapp: „Die Schweizer Armee sollte Alternativen zu Palantir in Betracht ziehen.“

Der Bericht stammt von Anfang Dezember 2024. Seither hat der 2003 gegründete US-Anbieter seine überaus engen Verbindungen zur Trump-Regierung noch intensiviert und durch Karp-Interviews medial begleitet. Die Software wird zwar in Kriegsgebieten von US-Geheimdiensten und -Militärs schon jahrelang intensiv genutzt. Doch seit dem Börsengang im Jahr 2020 wuchs Palantir zu einem der größten US-Tech-Konzerne heran.

Wenn die Risiken der Zusammenarbeit in Fragen der Datenhoheit und gar dauerhaften Abhängigkeit, der digitalen Souveränität, des Datenabflusses und bei den Grundrechtseingriffen von den Schweizern als so erheblich eingeschätzt werden, drängt sich die Frage auf, warum die deutschen Landespolizeien und Landesinnenminister zu einer anderen Einschätzung kommen. Es bleibt ihr Geheimnis.

Der deutsche Bundesinnenminister Alexander Dobrindt (CSU) weigert sich bisher, diese Fakten anzuerkennen. Denn er schließt nicht aus, Palantir-Produkte bei den Polizeien des Bundes einzuführen. Sein geplantes „Sicherheitspaket“ umfasst auch die sog. automatisierte Datenanalyse, so dass auch die Polizeien des Bundes ihre Datenbanken automatisiert erschließen und auswerten könnten.

Wenn er für die polizeiliche Datenanalyse­software mit dem US-Konzern kooperieren wollte, würden Millionen Datensätze, auch von völlig unverdächtigen Menschen, diesen nun hinlänglich bekannten Risiken ausgesetzt. Aber eigentlich müsste Palantir als möglicher Vertragspartner schon wegfallen, weil er mit der vielgepriesenen „digitalen Souveränität“ nicht kompatibel ist. Denn selbst bei lockerer Auslegung von „digital souverän“ kann die proprietäre Softwarelösung des US-Konzerns nicht akzeptabel sein.