Google Cloud hat ein kritisches Update für den Agent for SAP veröffentlicht. Grund sind eine neu entdeckte Sicherheitslücke und wachsende Bedrohungen durch KI-gestützte Angriffe auf SAP-Systeme.
Die Version 3.13 des Agents, die am 8. Mai 2026 erschien, schließt eine als CVE-2026-34986 bekannte Schwachstelle, die Denial-of-Service-Angriffe ermöglicht. Gleichzeitig warnt die Google Threat Intelligence Group (GTIG) vor einer neuen Bedrohungslage: Kriminelle nutzen zunehmend künstliche Intelligenz, um Zero-Day-Lücken aufzuspüren und Lieferkettenangriffe durchzuführen.
Angesichts der zunehmenden Bedrohung durch KI-gestützte Angriffe müssen Unternehmen ihre IT-Sicherheit strategisch neu ausrichten. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und neuen Cyberrisiken Unternehmer jetzt kennen müssen. Neue KI-Gesetze und Cyberrisiken verstehen
Sicherheitslücke gefährdet Backup-Prozesse
Die Schwachstelle betrifft den google-cloud-sap-agent auf verschiedenen Linux-Distributionen, darunter SUSE Linux Enterprise. Ein Angreifer könnte den Agenten zum Absturz bringen und damit kritische Backup- oder Überwachungsdienste lahmlegen. Für Unternehmen, die SAP HANA oder NetWeaver auf Google Cloud betreiben, wäre dies fatal: Ein Ausfall des Agents führt zum Verlust der Datenbank-Überwachung und könnte Backups zu Cloud Storage verhindern.
Das Update behebt das Problem, indem es die Ressourcenverwaltung des Agents bei intensiven Operationen verbessert. Zusätzlich wurden die Zugriffskontrollen verschärft – besonders bei sicherheitskritischen Aufgaben wie der Datenträgerwiederherstellung auf Basis von Snapshots.
TeamPCP: Neue Angriffswelle auf SAP-Entwickler
Noch alarmierender sind die Erkenntnisse aus dem GTIG-Bericht vom 11. Mai. Eine als TeamPCP (auch UNC6780) bekannte Gruppe hat vier SAP-npm-Pakete kompromittiert, die von Entwicklern in Cloud-Umgebungen genutzt werden.
Die Schadsoftware sammelt sensible Zugangsdaten – darunter GitHub-Tokens und Cloud-Zugriffsschlüssel – direkt aus den Entwicklungsumgebungen. Mit diesen gestohlenen Daten bewegen sich die Angreifer lateral durch Unternehmensnetzwerke und arbeiten anschließend mit Erpresserbanden zusammen. Die Taktik ist neu: Statt einzelne Systeme anzugreifen, zielen die Hacker auf die Werkzeuge und Bibliotheken ab, die SAP-Integrationen in der Cloud überhaupt erst ermöglichen.
KI als zweischneidiges Schwert
Besonders brisant: GTIG-Forscher beobachteten einen Kriminellen, der einen Zero-Day-Exploit einsetzte, der vermutlich mit Hilfe eines KI-Modells erstellt wurde. Der Angriff wurde zwar abgefangen, doch er zeigt, wohin die Reise geht. „Die Sicherheit von Verwaltungsagenten wie dem Google Cloud Agent for SAP wird zur kritischen Verteidigungslinie“, heißt es in dem Bericht.
Google selbst setzt auf KI-gestützte Abwehr. Das Unternehmen stellte kürzlich CodeMender vor – einen experimentellen Agenten, der auf Basis von Gemini-Modellen automatisch kritische Schwachstellen in Codebasen identifiziert und behebt.
Da Cyberkriminelle verstärkt KI einsetzen, um Sicherheitslücken in Unternehmen aufzuspüren, wird proaktiver Schutz zur Pflicht. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Gratis-Leitfaden für IT-Sicherheit herunterladen
Was Administratoren jetzt tun müssen
Der Google Cloud Agent for SAP ist Pflicht für den Support auf der Google Cloud Platform (SAP Note 2456406). Er verbindet die SAP-Anwendungsebene mit der Cloud-Infrastruktur und benötigt umfangreiche Berechtigungen – genau das macht ihn zum attraktiven Angriffsziel.
Google empfiehlt:
– Sofortige Aktualisierung aller Agent-Instanzen auf Version 3.13
– Überprüfung der IAM-Berechtigungen – besonders in Umgebungen mit mehreren Datenträgern
– Einführung einer Cloud Isolated Recovery Environment (CIRE) – einer isolierten Datenumgebung für unveränderliche Backups
– Monitoring der Entwicklungspipelines auf unberechtigte Nutzung der kompromittierten npm-Pakete
Die Zeiten, in denen einfache Fehlkonfigurationen die größte Gefahr darstellten, sind vorbei. Gestohlene Zugangsdaten und ausgeklügelte API-Angriffe bestimmen heute das Bedrohungsbild. Für SAP-Kunden auf Google Cloud gilt: Der Schutz beginnt beim Agenten.
