CVE-2026-27681 ist eine kritische SQL-Injection-Schwachstelle in SAP Business Planning and Consolidation (BPC) und SAP Business Warehouse (BW), die im Rahmen des SAP Security Patch Day am 8. April 2026 unter dem SAP-Hinweis 3719353 veröffentlicht wurde. Der CVSS-Score liegt bei 9,9 von 10, was die Schwachstelle in die höchste Risikoklasse einordnet (Quelle: SAP Hinweis 3719353; SecurityWeek, April 2026; Onapsis, April 2026). Die Schwachstelle erlaubt einem authentifizierten Benutzer mit niedrigen Berechtigungen, eine Datei mit beliebigen SQL-Statements hochzuladen, die das System anschließend ausführt. Die Wurzelursache ist eine fehlende Berechtigungsprüfung in einem ABAP-Programm, das eine Upload-Funktionalität exponiert. Der Angreifer kann darüber Daten lesen, ändern oder löschen, mit erheblichen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit der Datenbank. Eine zweite Schwachstelle aus demselben Patch Day, CVE-2026-34256 mit CVSS 7,1, betrifft eine fehlende AUTHORITY-CHECK in SAP ERP und S/4HANA. Sie erlaubt einem Angreifer, ABAP-Programme auszuführen und vorhandene achtstellige ausführbare Programme zu überschreiben (Quelle: SAP Hinweis 3731908; CCB Belgien, April 2026). Beide Schwachstellen treffen auf dieselbe strukturelle Frage: Wer prüft den ABAP-Code vor der Produktivsetzung systematisch auf solche Muster?
Der Zusammenhang zwischen CVE-2026-27681 und AI-generiertem ABAP-Code ist nicht direkt, sondern strukturell. Der Blindspot entsteht dort, wo AI-generierter Code die normalen Qualitätsprozesse umgeht. AI-Coding-Werkzeuge wie Claude Code, GitHub Copilot, Cursor und SAP-ABAP-1 (das neue SAP-Foundation-Model für ABAP) können ABAP-Code erzeugen, der technisch korrekt aussieht, aber Sicherheitsmängel enthält. Ein Modell, das ABAP erzeugt, ohne auf aktuelle SAP-Sicherheitsrichtlinien trainiert zu sein, kann fehlende AUTHORITY-CHECKs oder SQL-Injection-Anfälligkeiten produzieren. Das ist kein hypothetisches Risiko. Es ist das Muster, das CVE-2026-27681 repräsentiert: ein ABAP-Programm ohne ausreichende Berechtigungsprüfung. Die operative Gefahr liegt in der Kombination: AI erzeugt Code schneller als Menschen, der Code wird unter Zeitdruck übernommen, die Sicherheitsprüfung (ATC, Code Inspector) wird übersprungen oder ist nicht konfiguriert. Das Ergebnis sind Produktivsysteme mit AI-generiertem Code, dessen Sicherheitsqualität nicht systematisch geprüft wurde.
Die SAP-eigene Antwort auf ABAP-Sicherheitsmängel ist der ABAP Test Cockpit (ATC). ATC ist ein statisches Code-Analyse-Werkzeug, das ABAP-Code gegen eine Regelkonfiguration prüft. Die Regeln umfassen Sicherheitschecks (fehlende AUTHORITY-CHECKs, SQL-Injection-Anfälligkeiten, Cross-Site-Scripting), Performance-Checks und Code-Qualitätsprüfungen. ATC als Quality Gate im Transport-Prozess. ATC kann so konfiguriert werden, dass ein Transport mit kritischen ATC-Befunden nicht in die Produktivlandschaft importiert werden kann. Dieser Mechanismus ist die technische Verteidigungslinie gegen unsicheren ABAP-Code, ob human-generiert oder AI-generiert. SAP Cloud ALM hat in Q1 2026 die ATC-Integration ausgebaut: ATC-Export-Check seit 25. Juni 2025 verfügbar, automatischer ATC-Trigger beim CTS-managed Transport-Release für Q1 2026 angekündigt. Change-Prozess als organisatorischer Rahmen. Der Change-Prozess legt fest, welche Prüfungen ein ABAP-Änderung durchlaufen muss, bevor sie produktiv gesetzt wird. Wenn AI-generierter Code Teil des Change-Prozesses ist, dann müssen die Quality Gates explizit adressiert werden: Welche ATC-Checks sind verpflichtend? Wer reviewed den generierten Code? Wie wird dokumentiert, dass der Code aus einem AI-Werkzeug stammt?
Der ABAP-Sicherheits-Blindspot. CVE-2026-27681 offenbart einen strukturellen Blindspot: ABAP-Code, der sicherheitsrelevante Funktionen exponiert, ohne AUTHORITY-CHECK. Dieser Blindspot existiert in produktiven SAP-Systemen über Jahre, weil er während der Entwicklung nicht erkannt wird. AI-generierter Code erhöht das Risiko, wenn die Erzeugungsgeschwindigkeit die Prüfkapazität übersteigt. Patch-Verzögerungen in komplexen Landschaften. SAP empfiehlt das sofortige Einspielen von CVSS-9.9-Patches. In der Praxis dauert das Einspielen sicherheitskritischer Patches in SAP-Produktivsystemen oft Wochen bis Monate. Gründe: Abhängigkeiten zu anderen Anpassungen, Testaufwand, Release-Zyklen, Change-Advisory-Board-Prozesse. Dieser Zeitraum ist ein Angriffsfenster. Ungepatchte Systeme und Compliance. Für NIS2-relevante Unternehmen ist ein ungepatchtes kritisches System mit CVSS 9.9 ein potenzielles Compliance-Problem. NIS2 verlangt Risikomanagement-Maßnahmen und schnelle Reaktion auf bekannte Schwachstellen. DORA ergänzt für Finanzunternehmen mit ICT-Resilienz-Anforderungen.
Security-Gate im Change-Prozess. Jeder Change an ABAP-Code durchläuft obligatorisch eine ATC-Prüfung mit aktivierten Sicherheitsregeln. Kritische ATC-Befunde blockieren den Transport. Diese Regel gilt auch für AI-generierten Code. Es gibt keine Ausnahme für „snell generierter Code“ oder „AI hat das überprüft“. Schnelles Patching für kritische Schwachstellen. CVSS 9.9 rechtfertigt einen Emergency Change. Der Emergency-Change-Prozess für sicherheitskritische Patches wird vorab definiert, damit er im Ernstfall nicht erst improvisiiert werden muss. AI-Code-Dokumentation im Change-Record. Wenn AI-Werkzeuge ABAP-Code erzeugen, der in den Change-Prozess einfliesst, wird das im Change-Record dokumentiert. Welches Werkzeug? Welcher Prompt? Welches Modell? Welcher Review? Diese Dokumentation ist nicht bürokratisch, sondern Grundlage für die Fehleranalyse wenn Sicherheitsmängel auftreten.
CVE-2026-27681 ist nicht primär ein Patch-Problem, sondern ein Symptom des ABAP-Sicherheits-Blindspots. AI-generierter ABAP-Code erhöht dieses Risiko strukturell, wenn Security-Gates fehlen. ATC als obligatorisches Quality Gate im Transport-Prozess, schnelle Emergency-Change-Prozesse für CVSS-9.9-Schwachstellen und Dokumentation von AI-Code im Change-Record sind die drei operativen Konsequenzen.