Das United States Computer Emergency Readiness Team (US-Cert) hat zum ersten Mal überhaupt eine Sicherheitswarnung veröffentlicht, die sich an SAP-Anwender richtet. Im Wesentlichen werden sie darin dazu aufgerufen, sich doch bitte endlich einmal dazu zu befleissigen, eine längst bekannte Schwachstelle zu beheben, für die SAP schon 2010 einen Patch veröffentlicht hat.

Laut dem Security-Unternehmen Onapsis, auf dessen Erkenntnisse sich US-Cert stützt, können Angreifer bei SAP-Anwendern mit nicht gepatchten oder falsch konfigurierten Systemen eine Schwachstelle im "Invoker Servlet", einer in SAPs Java-Platform eingebauten Funktion, ausnützen.

Wie viele Unternehmen tatsächlich betroffen sind, ist nicht bekannt. Onapsis hat in einem chinesischen Forum Informationen über konkrete Angriffe auf 36 global tätige Unternehmen gefunden, die zwischen 2013 und 2016 gepostet wurden. Dieses Forum ist öffentlich zugänglich. Unter den 36 genannten Unternehmen befinden sich Firmen aus den USA, Grossbritannien und Deutschland, aber nicht aus der Schweiz. Die bekannten Angriffe dürften jedoch, so Onapsis, nur die "Spitze des Eisbergs" darstellen. (hjm)