Cyberangriff auf Jaguar Land Rover über nicht geschlossene SAP NetWeaver Lücke?

Redaktion IT-Onlinemagazin 6. Oktober 2025

Jaguar Land Rover (JLR) beginnt nach dem schweren Cyberangriff im August 2025 mit einem stufenweisen Anlaufen seiner IT- und Geschäftsprozesse. Das Finanz- und Ersatzteilsystem ist teilweise wieder funktionsfähig, wodurch Zahlungsrückstände bei Zulieferern abgebaut und Fahrzeuge schneller verkauft sowie registriert werden können.

Die Produktion in den britischen Werken bleibt jedoch aktuell noch gestoppt – mit massiven Folgen: Rund 30.000 Mitarbeitende sind seit 1. September zu Hause, zusätzlich stehen etwa 100.000 Arbeitsplätze in der Zulieferkette unter Druck. Die britische Regierung arbeitet an einem Hilfspaket. Die gute Nachricht: Teile der Produktion sollen in den kommenden Tagen wieder aufgenommen werden.

Diese Krise zeigt, wie abhängig hochautomatisierte Lieferketten von stabilen IT-Infrastrukturen sind – und welche systemischen Risiken Cyberangriffe im industriellen Umfeld auslösen können. Bei diesem Cyberangriff wurde offenbar eine bekannte, kritische Lücke ausgenutzt: eine fehlende Autorisierungsprüfung im SAP NetWeaver, für die der Hersteller seit April einen Patch bereitstellt.

 

Wahrscheinliche Ursache für den Cyberangriff

Wir haben in der SAP-Community nachgefragt: Laut dem SAP-Security Spezialisten Onapsis wurde „mit hoher Wahrscheinlichkeit SAP CVE-2025-31324 ausgenutzt, um Zugriff auf das System zu erlangen“. Ein SAP-Patch für diese Zero-Day Schwachstelle der Kritikalität 9,8/10 existiert seit dem 24. April 2025, als SAP die Sicherheitsnote 3594142 (Emergency Release) veröffentlicht hat.

Ein Angreifer könnte ohne vorherige Anmeldung Dateien auf das System hochladen. Durch einen unkontrollierten Dateiupload könnten Schadprogramme auf dem SAP-Server platziert und ausgeführt werden, was potenziell eine vollständige Kompromittierung des Systems ermöglicht.

 

Mögliche Risiken bekannter Schwachstellen

Die konkreten Auswirkungen auf betroffene Unternehmen sind vielfältig und hängen zum einen von den Sicherheitsmaßnahmen des Unternehmens selbst, aber auch von den Zielen der Angreifer ab.

Zu den möglichen Folgen eines potenziellen Angriffs zählen laut Onapsis:

  • Kritische Betriebsunterbrechungen
  • Ransomware-Angriffe
  • Unautorisierte Geschäftstätigkeiten (z. B. Manipulation von Finanzdaten oder Zahlungen)
  • Diebstahl vertraulicher, sensibler oder regulierter Daten (z. B. Kundendaten oder Materialdaten)
  • Seitliche Bewegungen zu anderen wichtigen internen Systemen
  • Verletzung von regionalen und internationalen Regularien wie DSGVO, NIS2, SOX, HIPAA, NERC usw.

Zudem ist jederzeit auch die laterale Ausweitung möglich und kann dann auch andere kritische interne Systeme umfassen. Deshalb ist es wichtig, alle Systeme und Anwendungen im Unternehmen zu kennen und die ERP-Sicherheit ganzheitlich zu betrachten. „Die größte Gefahr liegt nicht im einzelnen Angriff, sondern in der Fähigkeit von Angreifern, bekannte Schwachstellen als Einfallstor zu nutzen und sich von dort aus tief in die Unternehmenssysteme vorzuarbeiten“, verweist Maike Rose, Chefredakteurin und Geschäftsführerin IT-Onlinemagazin.

 

Bestmöglicher Schutz für SAP-Landschaften

Wir fragten Onapsis nach Möglichkeiten, die gegen derartige Angriffe zu schützen und bekamen folgende Empfehlung:

„Unternehmen sollten die folgenden drei Punkte beachten, um sich bestmöglich zu schützen:

  • Prüfung, ob wichtige Sicherheitspatches, insbesondere der SAP Security Note 3604119 (vom 13.5.2025) für CVE-2025-31324 und CVE-2025-42999 sowie die Patches für damit verbundene De-Serialisierungslücken, auf allen gefährdeten SAP-Systemen innerhalb der Umgebung angewendet wurden.
  • Ausführliche Bewertung der Kompromittierung potenziell betroffener SAP-Systeme. Onapsis hat in Zusammenarbeit mit Mandiant ein Whitebox-Open-Source-Tool zur Unterstützung von Schutzmaßnahmen veröffentlicht, das auf GitHub verfügbar ist.
  • Implementierung spezieller, von SAP empfohlener Sicherheitslösungen für SAP-Anwendungen, wie die von Onapsis für proaktiven Schutz.“

 

SAP-Landschaften = Geschäftskritische Infrastruktur

Wenn Sie zu diesem und weiteren Themen aus der SAP-Community informiert bleiben möchten, abonnieren Sie jetzt den IT-Onlinemagazin Newsletter.
 Der Cyberangriff auf Jaguar Land Rover verdeutlicht, wie gravierend die Folgen nicht geschlossener Sicherheitslücken sein können. Eine einzelne, bekannte Schwachstelle kann ausreichen, dass Kriminelle kritische Produktions- und Lieferprozesse weltweit lahmlegen. Das Beispiel zeigt: Cyberrisiken in ERP-Systemen sind längst nicht mehr nur ein Thema für die IT-Abteilung, sondern bedrohen unmittelbar die Wertschöpfungsketten und die Existenz von Unternehmen.

„Wer seine SAP-Landschaft nicht konsequent patcht, absichert und überwacht, riskiert nicht nur Datenverluste und Compliance-Verstöße, sondern auch massive wirtschaftliche Schäden. CIOs, CISOs und Fachbereiche sind daher gleichermaßen gefordert, ERP-Sicherheit als kontinuierlichen, strategischen Prozess zu verankern – bevor Angreifer dies übernehmen“, meint SAP-Community Insider Helge Sanden.

Wir danken Ihnen, wenn Sie diesen Artikel jetzt weiterempfehlen:

Tags

Anzeige

Anzeige

Über die Redaktion IT-Onlinemagazin

SAP-Community Nachrichten, die Entscheider kennen sollten: Abonnieren Sie jetzt unseren IT-Onlinemagazin Newsletter. Lesen Sie Umfrageergebnisse, Insights aus dem SAP-Ecosystem, Interviews und Artikel ... und Sie bleiben kompakt informiert.

Lesetipp für Sie:

ITOK Public Cloud

Die S/4HANA Public Cloud ist gesetzt, was nun? Modelle für den Umstieg

Die digitale Transformation vieler Unternehmen ist an einem Wendepunkt angekommen. Jahrzehntelang gewachsene IT-Landschaften, geprägt von …

Telefon: +49 5121 102865 E-Mail: info [ a t ] it-onlinemagazin.de
© Copyright 2025 IT-Onlinemagazin. Alle Texte sind urheberrechtlich geschützt. All Rights Reserved