Admins von SAP-Installationen bekommen am Dienstag dieser Woche Arbeit: SAP hat Mitteilungen zu 15 Schwachstellen in Produkten des Unternehmens herausgegeben. Es handelt sich teils um kritische Schwachstellen, die das Einschleusen von Schadcode ermöglichen. Das zügige Anwenden der bereitstehenden Aktualisierungen ist daher ratsam.

Auf der Patchday-Übersichtsseite für den März listet SAP die 15 Sicherheitsmitteilungen auf. Insgesamt stufen die Entwickler zwei der Schwachstellen als Risikostufe kritisch ein, eine als hochriskant, elf als mittleren Bedrohungsgrad und eine erhält die Einordnung als niedriges Risiko.

SAP: Kritische Sicherheitslücken

Eine Codeschmuggel-Lücke in der SAP Quotation Management Insurance Application (FS-QUO) basiert auf einer Schwachstelle in einer SocketServer-Klasse in Log4j. Die deserialisiert nicht vertrauenswürdige Daten und kann zum Einschmuggeln und Ausführen von Schadcode aus dem Netz missbraucht werden. Es handelt sich nicht um die Log4Shell genannte Schwachstelle, die das Internet seit Ende 2021 beschäftigt. Sie ist sogar noch älter und wurde 2019 öffentlich bekannt (CVE-2019-17571, CVSS 9.8, Risiko „kritisch“).

In NetWeaver Enterprise Portal Administration klafft eine Sicherheitslücke, die Nutzer mit Rechten im System durch das Hochladen nicht vertrauenswürdiger oder bösartiger Inhalte missbrauchen können. Die gelangen bei der Deserialisierung zur Ausführung und haben „starken Einfluss auf Vertrauenswürdigkeit, Integrität und Verfügbarkeit des Host-Systems“, erklärt SAP in der Schwachstellenbeschreibung (CVE-2026-27685, CVSS 9.1, Risiko „kritisch“).

Eine Schwachstelle in SAPs Supply Chain Management können Angreifer für einen Denial-of-Service-Angriff (DoS) missbrauchen. Durch wiederholtes Aufrufen einer nicht genauer genannten Funktion mit einem ausufernd großen Loop-Kontrollparameter können sie durch verlängerte Loop-Ausführungen massiv Systemressourcen belegen, bis das System nicht mehr verfügbar ist (CVE-2026-27689, CVSS 7.7, Risiko „hoch“).

Die weiteren Sicherheitslecks mit niedrigerem Bedrohungsgrad betreffen SAP NetWeaver Application Server for ABAP, SAP NetWeaver (Feedback Notification), SAP Business One (Job Service), SAP Business Warehouse (Service API), SAP S/4HANA HCM Portugal und SAP ERP HCM Portugal, SAP Customer Checkout 2.0, SAP GUI for Windows, SAP Solution Tools Plug-In (ST-PI) sowie SAP NetWeaver AS Java (Adobe Document Services).

Im Februar dieses Jahres hatte SAP zum Patchday sogar 26 Sicherheitsmitteilungen veröffentlicht. Davon galten zwei als kritisches Sicherheitsrisiko.

(dmk)

Die Sicherheit von Messenger-Diensten wie Signal und WhatsApp basiert maßgeblich auf ihrer starken Ende-zu-Ende-Verschlüsselung. Das macht sie nun zum Ziel einer „großangelegten weltweiten“ Spionagekampagne, warnen die niederländischen Geheimdienste MIVD und AIVD, die für die Bereiche Militär sowie Inlandsschutz und Spionageabwehr zuständig sind. Russische Staatshacker versuchten derzeit weltweit, Zugriff auf die Konten von hochrangigen Würdenträgern, Militärpersonal und Regierungsbeamten zu erlangen.

Laut dem Hinweis der beiden Spionagebehörden stehen auch Journalisten und andere Personen von strategischem Interesse für den russischen Staat im Fadenkreuz der Operation. Diese mache deutlich, dass die sicherste Verschlüsselung wenig bringe, wenn der Zugang zum Endgerät oder zum Nutzerkonto selbst kompromittiert werde.

Social Engineering statt Software-Exploits

Die Angreifer verwenden laut MIVD und AIVD keine technischen Schwachstellen oder Zero-Day-Exploits in der Software der Messenger. Stattdessen setzten sie auf manipulatives Social Engineering, um legitime Funktionen der Apps gegen die Nutzer zu verwenden, heißt es. Eine häufig beobachtete Methode sei die Täuschung über gefälschte Support-Chatbots. Die staatlichen Hacker gäben sich etwa als offizieller Signal-Support aus und versuchten, den Opfern Verifizierungs- oder PIN-Codes zu entlocken. Sobald ein Nutzer solche Informationen preisgibt, können die Angreifer das Konto auf einem eigenen Gerät übernehmen.

Eine weitere Taktik soll der Missbrauch der Funktion für verknüpfte Geräte sein. Dabei koppelten die Angreifer heimlich ein weiteres Gerät mit dem bestehenden Account. Dies ermögliche es ihnen, alle ein- und ausgehenden Nachrichten in Echtzeit mitzulesen, ohne dass das Opfer den Fernzugriff unmittelbar bemerke.

Die Folgen einer erfolgreichen Übernahme können gravierend sein. Die Übeltäter lesen nicht nur private Chats mit, sondern erhalten auch Zugriff auf alle Gruppenunterhaltungen, in denen das Opfer Mitglied ist. In diesen Kanälen vermuten die russischen Akteure sensible Informationen, die aufgrund des hohen Vertrauens in die App-Sicherheit dort oft unvorsichtig geteilt werden. Um der Bedrohung entgegenzuwirken, haben die niederländischen Behörden einen Leitfaden veröffentlicht, der Nutzer für verdächtige Anzeichen sensibilisieren soll.

Prävention und Identifikation verdächtiger Accounts

Die Geheimdienste raten dazu, bei jedem Verdacht auf Unregelmäßigkeiten sofort die zuständigen IT-Sicherheitsstellen zu informieren. Die Identität verdächtiger Konten sollte über alternative Kommunikationswege wie E-Mail oder Telefon verifiziert werden. Erhärte sich ein Verdacht, müssten die betroffenen Accounts umgehend durch den Gruppenadministrator entfernt werden. Falls der Administrator selbst kompromittiert zu sein scheint, bleibt als sicherste Option nur das Verlassen der bestehenden Gruppe und die Eröffnung eines neuen, gesicherten Kommunikationskanals.

Die Spionageaktivitäten finden vor dem Hintergrund einer verschärften Internetzensur in Russland seit Beginn der Ukraine-Invasion statt. Dienste wie WhatsApp und Signal sind in Russland bereits offiziell gesperrt. Zuletzt geriet auch Telegram verstärkt unter Druck. Gegen dessen Gründer Pawel Durow ermitteln russische Behörden im Rahmen eines Strafverfahrens. Sie werfen ihm die Unterstützung terroristischer Aktivitäten vor, da der Messenger angeblich bei zahlreichen Straftaten als Werkzeug genutzt worden sei. Durow selbst hat Russland bereits vor Jahren verlassen, um dem wachsenden Einfluss des Staates auf seine Plattform zu entgehen.

Die gleichzeitige Verfolgung von Plattformbetreibern im Inland und die gezielten Angriffe auf ausländische Nutzerkonten verdeutlichen die Doppelstrategie des Kreml: Er will die Kontrolle über den digitalen Informationsraum sowohl defensiv als auch offensiv sichern.

(nie)

Manchmal vollzieht sich Wandel so langsam, dass man ihn kaum bemerkt. Jahrzehntelang wurde marktmächtigen Netzbetreibern wie der Telekom Deutschland besonders genau auf die Finger geschaut, damit sich in dem einst monopolisierten Bereich so etwas wie Wettbewerb entwickeln kann. Schritt für Schritt wird dieser „asymmetrische“ Ansatz nun abgebaut.

Zuletzt war es Digitalminister Karsten Wildberger (CDU), der vergangene Woche einen lange erwarteten Gesetzentwurf vorgelegt hat. Dieser „zielt darauf ab, bürokratische Hürden zu senken, Rahmenbedingungen zu verbessern und den Netzausbau zu beschleunigen“, wie ihn das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) beschreibt.

Demnach soll es der Bundesnetzagentur künftig möglich sein, „Zugangsverpflichtungen zu Netzen bzw. Netzelementen aufzuerlegen, die von anderen Unternehmen aufgrund wirtschaftlicher oder physischer Hindernisse nicht repliziert werden können“, heißt es im Entwurf. Die Regelung werde „symmetrisch“ gelten, also „für alle Unternehmen unabhängig von beträchtlicher Marktmacht“, schreibt das Digitalministerium (BMDS) unmissverständlich.

Mehr Spielraum für die Telekom – mit Auflagen

Erst kürzlich hat die Bundesnetzagentur bekannt gegeben, in vier deutschen Städten erstmals von asymmetrischer Vorab-Regulierung der bundesweiten Marktführerin abrücken zu wollen. Begründet hat sie dies mit den sinkenden Marktanteilen der Telekom und dem robusten Wettbewerb, der in den Städten herrsche. Eben diese entscheidende Stütze bei der Bewertung des regulatorischen Augenmaßes soll nun entfallen.

Das heißt nicht, dass die Telekom künftig im ganzen Land ungehindert schalten und walten kann, wie es ihr gefällt. Selbst wenn der BMDS-Vorschlag in der vorliegenden Form durchginge, sieht das Ministerium ein mehrstufiges Verfahren vor, bevor sie Zugangsverpflichtungen auferlegen kann.

Zunächst soll die Netzagentur festlegen, in welchen Gebieten nur ein Glasfasernetz wirtschaftlich tragfähig ist. Dort tätige Betreiber wären dann verpflichtet, in Verhandlungen „über einen offenen Netzzugang zu fairen und angemessenen Bedingungen“ einzutreten. Den Rahmen dafür soll die Regulierungsbehörde abstecken und dabei auch Entgeltmaßstäbe festlegen. Scheitern die Verhandlungen, kann sie den Zugang zum fremden Netz anordnen.

Mehr Glasfaser, weniger Doppelausbau

Offenkundig will das BMDS damit mehrere Fliegen mit einer Klappe schlagen. Zum einen klagen Wettbewerber der Telekom seit Jahren über sogenannten Doppelausbau. Den Vorwurf, die Telekom würde strategisch die Glasfasernetze ihrer Konkurrenz überbauen, konnte eine eigens eingerichtete Monitoringstelle zwar nicht belegen. Indes ändert dies nichts daran, dass sich der teure Ausbau mehrerer Netze in dünn besiedelten Regionen oft schlicht nicht rechnet – und dort kein Infrastrukturwettbewerb entstehen kann, der weiterhin den Rahmen vorgibt.

Zum anderen bereitet sich das BMDS auf die anstehende Migration von althergebrachter Kupferinfrastruktur auf moderne Glasfaserleitungen vor. Bevor DSL-Anschlüsse abgeschaltet werden können, brauche es ein „funktionierendes Zugangsregime zu den korrespondierenden Glasfasernetzen“, heißt es im Gesetzentwurf. Anstatt aufwändiger Einzelverfahren, die laut BMDS in der Praxis bislang keine Anwendung fanden, soll ein bundesweit einheitliches Verfahren samt zentraler Zugangsbedingungen die Kosten senken und zugleich die Wahlmöglichkeiten für Nutzer:innen in Gebieten mit nur einem Netzbetreiber verbessern.

Freiwilliger Ansatz gescheitert

Über diese eng miteinander verknüpften Punkte diskutiert die Branche seit Jahren im Gigabitforum. Dort kommen Netzbetreiber, Regulierungsbehörden und Ministerien zusammen, um sich auf den richtigen Rahmen der deutschen Ausbaupolitik zu verständigen. Auf eine gemeinsame, auf Freiwilligkeit basierende Linie konnten sie sich dort jedoch nicht einigen, wie der Gesetzesentwurf ausführt. Existierende Open-Access-Dienstleistungen hätten bestenfalls bilaterale Abkommen ermöglicht. Zu einer branchenweiten Lösung hat es bislang nicht gereicht.

Dass nun viele kleinere Netzbetreiber auf die Barrikaden steigen, verwundert nicht. Unter Umständen müssten sie in Regionen, die sie – womöglich exklusiv – mit Glasfaserleitungen ausgebaut haben, ausgerechnet die Telekom in ihre Netze lassen. Ihr Wettbewerbsvorteil, oder gar ihr regionales Glasfasermonopol, wäre dann dahin.

Betreiberverbände warnen vor „ökonomischem Druck“

So verweisen Betreiberverbände auf den ökonomischen Druck, der freiwillige Open-Access-Modelle attraktiv mache oder warnen vor verunsicherten Investoren. Zudem trage auch die Marktführerin Schuld, indem sie eine aggressive Re-Monopolisierungsstrategie fahre: „Open Access scheitert heute nicht am Angebot, sondern einzig an der Verweigerung der Telekom“, schreibt etwa der Betreiberverband BREKO.

Dagegen betont das BMDS, genügend Sicherungen eingebaut zu haben, um ausbauenden Unternehmen Planungssicherheit zu bieten. Der Fokus auf wirtschaftlich unattraktive Gebiete sowie regulierte Zugangsbedingungen sollen sicherstellen, dass Investitionen in Glasfaser weiter fließen und zugleich ein missbräuchlicher Doppelausbau verhindert wird.

Wer hierbei mehr vom Zuckerbrot abbekommen wird als von der Peitsche, bleibt vorerst offen: Netzbetreiber und Investoren würden geänderten Rahmenbedingungen mit neuen Kalkulationen begegnen, während die Telekom weiterhin ein ungebrochenes Interesse daran hat, ihre Vormachtstellung auf dem Breitbandmarkt zu erhalten.

Still und leise entstehen Open-Access-Netze

Als lachender Sieger könnten am Ende vielleicht sogar jene Projekte dastehen, die besonders lange für den Ausbau brauchen. Rund 21 Milliarden Euro haben Bundesregierungen über einen Zeitraum von zehn Jahren inzwischen in den staatlich geförderten Ausbau gesteckt. Trotz des Schneckentempos hat sich vor allem in bislang digital abgehängten Regionen die Breitbandsituation spürbar verbessert – und das, obwohl viele der derzeit knapp 4.000 Ausbauprojekte noch nicht fertiggestellt sind.

Für derart geförderte Netze, die mitunter von regionalen Stadtwerken gebaut werden, besteht bereits heute eine Open-Access-Pflicht. Im Idealfall werden Kund:innen dann per Mausklick ihren Anbieter wechseln können, wie dies etwa in Schweden vielerorts möglich ist. Das dürfte vor allem der Telekom die Schweißperlen auf die Stirn treiben, denn das Internet hört bei der sogenannten letzten Meile nicht auf, sondern beginnt aus Sicht von Nutzer:innen dort erst. Taktiken wie absichtlich geschaffene, künstliche Engpässe, die Telekom-Kund:innen über tröpfelnde Daten zu bestimmten Internet-Diensten klagen lassen, könnten dann über Nacht verschwinden.