IT-Sicherheitsstandards nicht erfüllt – SAP muss bei Cloud-Produkten nachbessern

Der Softwarekonzern SAP muss bei der Sicherheit einiger Cloud-Produkte nachbessern. Ein oder mehrere vertraglich vereinbarte oder gesetzlich vorgeschriebene IT-Sicherheitsstandard(s) würden derzeit nicht erfüllt, teilte das Unternehmen am späten Montagabend in Walldorf mit. Dies sei im Rahmen einer internen Untersuchung zu Tage getreten, die nicht als Reaktion auf einen Sicherheitszwischenfall vorgenommen worden sei.

Zwar dauere die Überprüfung noch an, das Unternehmen gehe jedoch derzeit nicht davon aus, dass aufgrund der festgestellten Mängel Daten von SAP-Kunden kompromittiert worden seien. Die Kosten für die notwendigen Maßnahmen zur Schließung der Sicherheitslücken erfordern dem Konzern zufolge keine Änderung des aktuellen Finanzausblicks für das Geschäftsjahr 2020.

"Dem Unternehmen sind aktuell keine Auswirkungen auf Kundendaten bekannt", heißt es in einem Statement von SAP. Alle (Cloud-)Produkte könnten unverändert eingesetzt werden. Handlungsbedarf auf Kundenseite besteht demnach nicht.

SAP: Betroffene Kunden werden informiert

Zur Frage, welche Cloud-Produkte die betreffenden Sicherheitsmängel aufweisen und worin diese bestehen, machte SAP gegenüber heise Security keine konkreten Angaben. Das Unternehmen teilte lediglich mit, dass die Mängel "ausschließlich Produkte der zugekauften Unternehmen SAP Success Factors, SAP Concur, SAP/CallidusCloud Commissions, SAP/Callidus Cloud CPQ; sowie SAP C4C/Sales Cloud, SAP Cloud Platform and SAP Analytics Cloud" beträfen.

Kunden, die betroffene Produkte nutzten – und dies treffe auf etwa neun Prozent der weltweit mehr als 440.000 Kunden zu – werde das Unternehmen "proaktiv" informieren und "vollen Produkt- und Kunden-Support" leisten. (ovw)