Am 9. Juni 2026 hat SAP im Rahmen seines monatlichen Patch Days 15 neue Security Notes veröffentlicht — darunter vier mit der Einstufung kritisch. Die schwerwiegendste Schwachstelle trägt die Kennung CVE-2026-44748 und erreicht einen CVSS-Score von 9.9 von 10. Das ist praktisch die Höchstwertung. Betroffen ist die SAML-Authentifizierung in SAP NetWeaver AS ABAP und der ABAP Platform — Systeme, die in nahezu jedem großen deutschen Unternehmen im Einsatz sind.
Ich beschäftige mich seit über 15 Jahren mit SAP-Sicherheit, und ich sage es direkt: Diese Lücke gehört zu den gefährlichsten, die SAP je gepatcht hat. Nicht weil sie technisch besonders exotisch wäre, sondern weil sie ein Authentifizierungsverfahren betrifft, das tief in den Geschäftsprozessen verankert ist — und weil der einzige Workaround darin besteht, SAML vollständig zu deaktivieren. Für die meisten Unternehmen im Produktivbetrieb ist das keine Option.
In diesem Artikel analysiere ich die technischen Details, ordne die Lücke in den breiteren SAP-Sicherheitskontext ein und erkläre, warum der Patch Day vom Juni 2026 ein Wendepunkt für die Einstellung von Security-Entwicklern in Deutschland ist.
CVE-2026-44748: Was genau ist die Schwachstelle?
Bei CVE-2026-44748 handelt es sich um eine XML Signature Wrapping-Schwachstelle (XSW) in der SAML-Authentifizierung von SAP NetWeaver AS ABAP und der ABAP Platform. SAP hat die Lücke in Security Note #3746332 dokumentiert.
Der Angriffsmechanismus funktioniert so: Ein authentifizierter Angreifer mit normalen Berechtigungen — kein Superadmin, kein externer Hacker mit Spezialtool — kann gültig signierte SAML-Nachrichten abfangen. Anschließend manipuliert er die XML-Dokumente und fügt veränderte Identitätsinformationen ein. Das Perfide: Die Verifikation auf Seiten des SAP-Systems akzeptiert diese manipulierten Dokumente, weil die XML-Signatur technisch intakt bleibt — sie wurde lediglich an eine andere Stelle im Dokument verschoben.
Das Ergebnis: Der Angreifer erhält unbefugten Zugriff auf sensible Benutzerdaten. In einem SAP-System, das Personalwesen, Finanzbuchhaltung oder Supply-Chain-Management abbildet, kann das katastrophale Folgen haben — von Datenschutzverletzungen nach DSGVO bis hin zur Industriespionage.
💡 Unsere Experteneinschätzung
CVSS 9.9 — das ist praktisch die Höchstwertung. Jedes deutsche Unternehmen, das SAP NetWeaver AS ABAP mit SAML-Authentifizierung einsetzt, muss SOFORT patchen. Keine Ausreden, keine Warteschlangen. Wer bis Montag nicht gepatcht hat, spielt russisches Roulette mit seinen Geschäftsdaten.
Warum XML Signature Wrapping so tückisch ist
XML Signature Wrapping-Angriffe sind in der Sicherheitsforschung seit über einem Jahrzehnt bekannt. Das Grundproblem: XML-Signaturen schützen die Integrität eines bestimmten Elements im Dokument — aber nicht dessen Position. Ein Angreifer kann das signierte Element verschieben, ein manipuliertes Element an die ursprüngliche Stelle setzen, und die Signaturprüfung bestätigt trotzdem: „alles korrekt“.
In SAML-Szenarien bedeutet das: Der Angreifer präsentiert sich dem System als ein anderer Benutzer — mit dessen Berechtigungen. Da SAP-Systeme häufig Single-Sign-On (SSO) über SAML implementieren und dabei Zugriff auf Dutzende Module gewähren, multipliziert sich der Schaden exponentiell.
Alle 4 kritischen Schwachstellen im Überblick
CVE-2026-44748 war nicht die einzige kritische Lücke am Patch Day. Insgesamt stufte SAP vier der 15 Security Notes als kritisch ein. Hier die Übersicht:
| CVE | CVSS | Komponente | Beschreibung |
|---|---|---|---|
| CVE-2026-44748 | 9.9 | NetWeaver AS ABAP (SAML) | XML Signature Wrapping in SAML-Authentifizierung |
| CVE-2026-44751 | 9.1 | Business Objects BI Platform | Deserialisierung nicht vertrauenswürdiger Daten |
| CVE-2026-44753 | 9.0 | S/4HANA Cloud Private Edition | Server-Side Request Forgery (SSRF) |
| CVE-2026-44756 | 9.0 | Solution Manager 7.2 | Fehlende Autorisierungsprüfung in Diagnose-Agent |
Was auffällt: Drei der vier kritischen Lücken betreffen Kernkomponenten der SAP-Landschaft — NetWeaver, S/4HANA Cloud und Solution Manager. Das sind keine Randsysteme. Das sind die Systeme, auf denen deutsche Unternehmen ihre gesamte Geschäftslogik aufbauen.
CVSS-Score-Vergleich: Juni 2026 im Kontext
💡 Unsere Experteneinschätzung
Die Ironie ist bemerkenswert: SAP erhält am selben Tag die VS-NfD-Freigabe für seine Cloud-Infrastruktur UND muss eine CVSS-9.9-Lücke schließen. Das zeigt, wie eng Sicherheitszertifizierung und reale Bedrohung beieinanderliegen. Für Entwickler bedeutet das: Security-Kompetenz ist keine Nice-to-have-Skill mehr — sie ist überlebenswichtig.
Der größere Kontext: SAPs turbulenter Juni 2026
Der Patch Day vom 9. Juni steht nicht isoliert. SAP erlebt einen der dichtesten Monate seiner Unternehmensgeschichte. Parallel zur Sicherheitskrise laufen mehrere strategische Initiativen, die den Bedarf an qualifizierten Entwicklern zusätzlich verschärfen.
VS-NfD-Freigabe: SAP wird „regierungssicher“
Am selben Tag, an dem SAP die CVSS-9.9-Lücke patcht, erhält das Unternehmen die VS-NfD-Sicherheitsfreigabe (Verschlusssache — Nur für den Dienstgebrauch) für seine Cloud-Infrastruktur. Das ist die Voraussetzung dafür, dass Behörden und Unternehmen mit Sicherheitsanforderungen SAP-Cloud-Dienste nutzen dürfen. Die Zertifizierung eröffnet einen neuen Markt — und erhöht gleichzeitig die Anforderungen an jeden Entwickler, der an diesen Systemen arbeitet.
13 Joule-KI-Assistenten für HCM
Ebenfalls im Juni 2026 launcht SAP 13 neue Joule-KI-Assistenten für Human Capital Management. Joule ist SAPs hauseigene KI-Plattform, die zunehmend in alle Module integriert wird. Für Entwickler-Teams bedeutet das: Wer SAP-Projekte betreut, muss künftig nicht nur ABAP und Security beherrschen, sondern auch verstehen, wie KI-Assistenten in Geschäftsprozesse eingebettet werden.
Prior Labs: 1,16 Milliarden Euro für KI aus Freiburg
SAPs Akquisition von Prior Labs für 1,16 Milliarden Euro unterstreicht die KI-Ambitionen. Prior Labs, ein Freiburger KI-Forschungslabor, bringt Frontier-Modell-Expertise in den SAP-Konzern. Die Botschaft ist klar: SAP will nicht nur KI-Assistenten auf bestehende Module setzen, sondern eigene Foundation-Modelle für Enterprise-Anwendungen entwickeln. Das erzeugt einen massiven Bedarf an Entwicklern, die an der Schnittstelle von Enterprise-Software und KI-Forschung arbeiten können.
SAP Patch Day Schweregrad-Entwicklung 2026
Microsoft patcht 206 Lücken: Die Branche brennt
SAP steht mit seinen Sicherheitsproblemen nicht allein. Microsoft hat im selben Monat einen Rekord von 206 Schwachstellen gepatcht. Die gesamte Enterprise-Software-Branche erlebt einen beispiellosen Anstieg kritischer Sicherheitslücken. Die DSAG Personaltage 2026 in Heidelberg am 17. und 18. Juni werden dieses Thema zweifellos dominieren.
Für Arbeitgeber in Deutschland bedeutet das: Die Nachfrage nach Security-Kompetenz steigt nicht linear, sondern exponentiell. Jedes Unternehmen, das SAP und Microsoft-Produkte gleichzeitig einsetzt — und das sind die meisten Großunternehmen und viele Mittelständler — braucht Entwickler, die beide Ökosysteme sicherheitstechnisch absichern können.
💡 Unsere Experteneinschätzung
Gleichzeitig 13 Joule-KI-Assistenten für HCM launchen und kritische Sicherheitslücken patchen — das ist die Realität der modernen SAP-Landschaft. Unternehmen, die jetzt SAP-Entwickler mit Security-Know-how einstellen, werden in 12 Monaten die einzigen sein, die beides beherrschen: KI-Integration UND Sicherheit.
SAP-Security-Entwickler einstellen — bevor die Lücke zum Problem wird?
Wir vermitteln vorgeprüfte SAP-Entwickler mit Security- und ABAP-Kompetenz — DACH-basiert, in 21 Tagen einsatzbereit. Ob Patch-Management, SAML-Absicherung oder KI-Integration: Sprechen wir über Ihr Team.
Jetzt Gespräch vereinbaren →Was das für die Einstellung von Entwicklern in Deutschland bedeutet
Der SAP Patch Day vom Juni 2026 ist mehr als ein technisches Ereignis. Er markiert den Moment, in dem drei Trends konvergieren, die den deutschen IT-Arbeitsmarkt grundlegend verändern.
Trend 1: Security wird zur Pflicht-Skill
Eine CVSS-9.9-Lücke in der SAML-Authentifizierung — dem Herzstück jedes SSO-Systems — macht eines klar: Security ist keine Spezialdisziplin mehr, die man an ein separates Team delegiert. Jeder Entwickler, der an SAP-Systemen arbeitet, muss Sicherheitskonzepte verstehen und anwenden können. Das verändert die Anforderungsprofile bei der Einstellung fundamental.
Trend 2: KI und Security wachsen zusammen
Mit den Joule-KI-Assistenten und der Prior-Labs-Akquisition treibt SAP die KI-Integration in alle Module voran. Gleichzeitig entstehen neue Angriffsflächen. Entwickler, die sowohl KI-Integration als auch Security beherrschen, sind die seltenste und wertvollste Kombination auf dem Markt. In Deutschland gibt es aktuell 85.000 Softwareentwickler (Stand 2026, Anstieg um 50 Prozent seit 2021) — aber die Zahl derer, die ABAP, Security und KI-Integration kombinieren, liegt im niedrigen vierstelligen Bereich.
Trend 3: Die Fachkräftelücke wird zum Sicherheitsrisiko
Mit rund 106.000 unbesetzten IT-Stellen in Deutschland (Bitkom) ist der Fachkräftemangel längst kein abstraktes HR-Problem mehr. Wenn Unternehmen Patches nicht rechtzeitig einspielen können, weil ihnen die Leute fehlen, wird der Fachkräftemangel zum direkten Sicherheitsrisiko. CVE-2026-44748 zeigt: Zwischen Veröffentlichung einer Lücke und deren Ausnutzung vergehen oft nur Stunden, nicht Wochen.
Die deutsche IT-Fachkräftelücke: 106.000 offene Stellen
💡 Unsere Experteneinschätzung
Meine Prognose: Die Fachkräftelücke von 106.000 IT-Stellen in Deutschland wird sich 2027 auf 130.000 ausweiten — nicht weil weniger Entwickler da sind, sondern weil die Anforderungen an Security-Kompetenz exponentiell steigen. Wer ABAP + Security + KI kann, wird 2027 zu den bestbezahlten Entwicklern Deutschlands gehören.
Welche Profile deutsche Unternehmen jetzt einstellen sollten
Basierend auf der aktuellen Bedrohungslage und SAPs strategischer Ausrichtung empfehle ich deutschen Unternehmen, vier Profile zu priorisieren. Wir vermitteln ähnliche Profile auch international, etwa über hiredeveloper.ae für den Nahen Osten und hiredeveloper.sg für den asiatisch-pazifischen Raum.
- SAP-Security-Entwickler (ABAP + Security): Patch-Management, Schwachstellenanalyse, SAML/SSO-Absicherung. Gehalt: 95.000–145.000 €.
- SAP-KI-Integrations-Entwickler: Joule-Agenten, BTP AI Services, RAG auf SAP-Daten. Gehalt: 90.000–140.000 €.
- DevSecOps-Engineer mit SAP-Fokus: CI/CD-Pipelines für SAP-Patches, automatisierte Sicherheitstests, Infrastructure as Code. Gehalt: 85.000–130.000 €.
- Security-Architekt (Enterprise): Ganzheitliche Sicherheitsstrategie über SAP- und Microsoft-Landschaften hinweg. Gehalt: 110.000–160.000 €.
Wichtig: Der ideale erste Hire ist oft ein Senior ABAP-Entwickler mit nachweisbarer Security-Erfahrung, der gleichzeitig Patch-Zyklen managen, Schwachstellen analysieren und ein Team anleiten kann. Solche Profile sind in Deutschland extrem rar — und werden mit jeder neuen CVSS-9.9-Lücke rarer.
Sofortmaßnahmen: Was Sie diese Woche tun sollten
- Patchen Sie CVE-2026-44748 sofort. Keine Ausnahmen, keine Warteschlangen. Wenn Sie SAML-Authentifizierung in SAP NetWeaver AS ABAP verwenden, ist dies die höchste Priorität.
- Prüfen Sie alle 15 Security Notes des Juni Patch Days. Auch die nicht-kritischen Lücken können in Kombination gefährlich werden.
- Aktivieren Sie SAP Early Watch Alert, um künftige Patches schneller zu erkennen.
- Bewerten Sie Ihre Security-Teamkapazität. Wenn das Einspielen eines kritischen Patches mehr als 48 Stunden dauert, haben Sie ein Personalproblem.
- Starten Sie den Recruiting-Prozess für SAP-Security-Entwickler. Die DSAG Personaltage in Heidelberg (17.–18. Juni) sind eine gute Gelegenheit, Kontakte zu knüpfen.
Häufig gestellte Fragen (FAQ)
Was ist CVE-2026-44748 und warum ist die Lücke so kritisch?
CVE-2026-44748 ist eine XML Signature Wrapping-Schwachstelle in der SAML-Authentifizierung von SAP NetWeaver AS ABAP und ABAP Platform. Mit einem CVSS-Score von 9.9 (von 10) gehört sie zu den kritischsten SAP-Schwachstellen aller Zeiten. Ein authentifizierter Angreifer mit normalen Berechtigungen kann gültig signierte SAML-Nachrichten abfangen, die XML-Dokumente manipulieren und veränderte Identitätsinformationen einschleusen, die von der Verifizierung akzeptiert werden. Dies führt zu unbefugtem Zugriff auf sensible Benutzerdaten.
Welche SAP-Systeme sind von der SAML-Sicherheitslücke betroffen?
Betroffen sind SAP NetWeaver AS ABAP und die ABAP Platform, sofern SAML-Authentifizierung aktiviert ist. SAP hat die Schwachstelle in Security Note #3746332 dokumentiert. Der einzige Workaround, wenn ein sofortiges Patchen nicht möglich ist, besteht darin, die SAML-Authentifizierung vollständig zu deaktivieren — was für die meisten Unternehmen im Produktivbetrieb keine praktikable Option ist.
Wie viele Sicherheitslücken hat SAP am Patch Day Juni 2026 geschlossen?
Am SAP Patch Day vom 9. Juni 2026 wurden 15 neue Security Notes veröffentlicht, davon 4 mit der Einstufung kritisch. CVE-2026-44748 (CVSS 9.9) war die schwerwiegendste. Zum Vergleich: Microsoft hat im selben Monat einen Rekord von 206 Schwachstellen gepatcht — die gesamte Branche erlebt einen Anstieg kritischer Sicherheitslücken.
Warum sollten deutsche Unternehmen jetzt SAP-Security-Entwickler einstellen?
Die Kombination aus steigender Bedrohungslage (CVSS 9.9 in SAML), SAPs gleichzeitiger KI-Offensive (13 Joule-Assistenten, Prior-Labs-Akquisition für 1,16 Milliarden Euro) und der deutschen Fachkräftelücke von 106.000 offenen IT-Stellen schafft eine akute Nachfrage nach Entwicklern, die ABAP, Security und KI-Integration beherrschen. Wer diese Profile jetzt einstellt, sichert sich einen 12-Monats-Vorsprung.
Was kostet ein SAP-Security-Entwickler in Deutschland 2026?
Ein Senior SAP-Security-Entwickler mit ABAP- und Sicherheitskompetenz verdient in Deutschland 2026 zwischen 95.000 und 145.000 Euro brutto pro Jahr, je nach Region und Erfahrung. In München und Frankfurt liegen die Gehälter am oberen Ende. Profile, die zusätzlich KI-Integrationskompetenz mitbringen, können über 150.000 Euro erzielen.
Verwandte Analysen
Für tiefere Einblicke in die Themen, die dieser Artikel berührt:
- SAP kauft Prior Labs für 1,16 Mrd. €: Die KI-Akquisition und ihre Auswirkungen auf den deutschen Entwickler-Arbeitsmarkt.
- Wie man SAP BTP-Entwickler für KI-Agenten-Projekte einstellt: Praktischer Leitfaden zum Aufbau eines SAP-KI-Teams.
- Qilin-Ransomware und IT-Sicherheit in Deutschland: Warum Cyberangriffe den Bedarf an Security-Entwicklern treiben.
- Entwickler einstellen: Unsere Plattform für vorgeprüfte Entwickler in Deutschland.
- Standorte: Entwickler in Berlin, München, Hamburg, Frankfurt und weiteren Städten finden.
Externe Quellen: SAP Security Notes, DSAG, Bitkom.
Fazit: Patchen ist Pflicht — Einstellen ist Strategie
CVE-2026-44748 mit ihrem CVSS-Score von 9.9 ist eine der gefährlichsten SAP-Schwachstellen der letzten Jahre. Jedes deutsche Unternehmen, das SAP NetWeaver AS ABAP mit SAML-Authentifizierung einsetzt, muss sofort patchen. Das ist nicht verhandelbar.
Aber das Patchen allein löst nicht das strukturelle Problem. SAPs gleichzeitige KI-Offensive — 13 Joule-Assistenten, Prior Labs für 1,16 Milliarden Euro, VS-NfD-Freigabe — erzeugt eine SAP-Landschaft, die immer komplexer und immer sicherheitskritischer wird. Wer diese Landschaft beherrschen will, braucht Entwickler, die ABAP, Security und KI-Integration als integrierte Kompetenz mitbringen.
Diese Profile sind in Deutschland mit seinen 106.000 unbesetzten IT-Stellen ohnehin knapp. Mit jedem Patch Day, der vier kritische Lücken bringt, werden sie knapper. Mein Rat: Stellen Sie jetzt ein — nicht nach dem nächsten Patch Day, wenn alle anderen es auch tun.
Bereit, Ihr SAP-Security-Team aufzubauen?
Wir helfen deutschen Unternehmen, SAP-Security-Entwickler, ABAP-Experten und DevSecOps-Engineers in 21 Tagen einzustellen — vorgeprüft, DACH-basiert, mit nachweisbarer Security-Erfahrung.
Sprechen wir darüber →Quellen: SAP Security Advisory (Patch Day Juni 2026), Security Note #3746332, DSAG, Bitkom, IW Köln. Letztes Update: 20. Juni 2026.