Im Oktober 2025 sorgt Oracle wieder für Schlagzeilen: Bereits kurz nach einem kritischen Notfall-Update für die beliebte E-Business Suite hat das Unternehmen eine weitere Schwachstelle entdeckt und erneut ein außerplanmäßiges Sicherheits-Update veröffentlicht. Die Vorfälle stehen nicht isoliert da – sie sind Teil eines gravierenden Trends: Digitale Lieferketten, transnationale Geschäftsprozesse und ERP-Systeme wie Oracles E-Business Suite gehören mittlerweile zu den Kronjuwelen der Angriffsziele krimineller Akteure.
Was ist daran besonders riskant? Die Antwort ist ebenso simpel wie bedrohlich: ERP-Systeme sind das digitale Rückgrat jedes modernen Unternehmens. Ein erfolgreicher Angriff kompromittiert nicht nur Daten, sondern gefährdet unmittelbar Geschäftsprozesse, Lieferketten, Kundenbeziehungen – und in letzter Konsequenz Ihre wirtschaftliche Existenz.
Hier lesen Sie, welche Bedrohung konkret besteht, warum die meisten Unternehmen diese unterschätzen, welche unternehmerischen – nicht IT-technischen – Konsequenzen drohen und wie Sie als CEO, CIO, CISO oder CSO sofort und strukturiert handeln können.
Oracles E-Business Suite (EBS) ist eine unternehmenskritische Plattform. Sie integriert Finanzen, Einkauf, Auftragsmanagement, Projektorganisation, HR und mehr – zentral, vernetzt, automatisiert. Genau deshalb ist sie aber auch besonders verwundbar.
Im Zentrum der heise-Berichterstattung steht die Sicherheitslücke CVE-2025-61882, die es Angreifern über sogenannte Remote Code Execution ermöglicht, Schadcode aus der Ferne einzuschleusen. Der CVSS-Score liegt bei fast maximalen 9.8. Die Angriffe erfolgten ohne Authentifizierung und waren Teil einer Ransomware-Kampagne.
Kurz darauf folgte CVE-2025-61884 – mit einem offiziellen Score von 7.5 zwar formell „nur“ als „hoch“ eingestuft, jedoch potenziell ebenso gefährlich im Zusammenspiel mit anderen Schwachstellen. Laut Oracle können auch hier nicht-authentifizierte Angreifer über Fernzugriff auf sensible Daten zugreifen und dadurch grundlegende Unternehmenswerte kompromittieren.
Mit CVE-2025-61884 wurde ein weiteres offenes Einfallstor bekannt. Es ist ein klares Warnsignal: Wenn Schwachstellen in dieser Frequenz und Kritikalität auftauchen, gehen wir nicht von Einzelfällen aus – sondern von einem strukturellen Sicherheitsversagen.
In Gesprächen mit Vorständen fällt auf: Viele behandeln Sicherheitslücken als Problem der IT-Abteilung. Eine gefährliche Fehleinschätzung.
Wenn zentrale Anwendungen wie EBS Ransomware-Angriffen ausgesetzt sind, entstehen Schäden, die weit über IT hinausgehen: Produktionsstopps, verstopfte Lieferketten, Vertrauensverlust auf Kundenseite, Verluste an der Börse – mitunter irreparabel.
Unternehmen müssen verstehen: Schwachstellen in ERP-Systemen gefährden nicht nur Systeme, sondern Reputation, Compliance und Marktposition. Ihre Absicherung ist Führungsverantwortung – nicht Systemadministration.
Hand aufs Herz: Würden Sie Ihre Buchhaltung durch einen Praktikanten prüfen lassen? Wohl kaum. Aber genau das entspricht der Praxis in vielen Unternehmen, die glauben, dass ihre Standard-Patch-Zyklen oder externe IT-Provider eine ausreichende Sicherheitsstrategie darstellen.
In diesem Fall war scheinbar die Ausbeute groß: Cl0p konnte – laut öffentlich zugänglichen Hinweisen – mehrere Terabyte an Daten aus EBS-Systemen extrahieren. Der Schaden ist nicht nur technischer Natur, sondern trifft den Kern jedes Unternehmens: Vertrauen, Reputation – und mitunter sogar die operative Geschäftstätigkeit.
Derzeit erleben wir einen Paradigmenwechsel in der Angriffslandschaft. Die moderne Wirtschaftskriminalität agiert mit einer Präzision, die früher nur von Geheimdiensten bekannt war. Tätergruppen wie FIN7, Carbanak oder „Silk Typhoon“ kombinieren öffentlich bekannte Sicherheitslücken mit maßgeschneiderten Angriffstools – teils automatisiert per KI.
Angriffe erfolgen gezielt entlang digitaler Lieferketten. Wer ein Unternehmen wie Oracle ins Visier nimmt, trifft potenziell tausende angeschlossene Unternehmenssysteme gleich mit. Genau das ist passiert. Laut Sicherheitsforschern von Google könnten Hunderte bis Tausende Unternehmen von der Oracle-EBS-Lücke betroffen sein.
Und das ist erst der Anfang: Bereits jetzt weisen Forschungen darauf hin, dass sich kriminelle Gruppen auch Zugriff auf Softwarequalitätssicherungssysteme, interne DevOps-Prozesse und Update-Mechanismen sichern, um Täuschung und Manipulation auf tiefster Ebene zu betreiben.
Diese neue Qualität der Bedrohung lässt sich nur verstehen, wenn man vom IT-Schema auf das Wirtschaftsdimensionale umdenkt: Es geht um systematische Industriespionage, koordinierte Angriffe gegen kritische Infrastruktur und gezielte Destabilisierung von Geschäftsmodellen.
Sicherheitsvorfälle dieser Art verschieben endgültig die Diskussion, ob IT-Sicherheit ein „IT-Thema“ oder eine Top-Level-Vorstandsverantwortung ist. Sie ist beides: strategisches Risikomanagement und wirtschaftlicher Muss-Faktor. Ein Angriff wie CVE-2025-61882 kann nicht nur Bußgelder und regulatorische Konsequenzen nach sich ziehen, sondern führt in vielen Fällen zu hohem Reputationsverlust und direkten Betriebsausfällen – mit potenziellen Millionenschäden auf Tagesbasis.
Natürlich ist das rasche Einspielen des von Oracle bereitgestellten Patches (wie in CVE-2025-61884 empfohlen) eine Pflichtmaßnahme. Doch wird sie zur trügerischen Beruhigung, wenn sie nicht von einer umfassenderen Sicherheitsstrategie flankiert wird.
Warum? Weil Angriffe selten auf Einzellücken angewiesen sind. Clevere Angreifer verketten mehrere scheinbar „harmlose“ Schwachstellen miteinander, um über Umwege in das Herz Ihrer Architektur vorzudringen. Genau deshalb sind Systeme wie Oracle EBS so anfällig – und gleichzeitig immer noch zu wenig überwacht.
Unternehmen benötigen ein holistisches Sicherheitsverständnis. Es reicht nicht, defensiv zu patchen. Notwendig ist ein durchgängiges Kontroll- und Überwachungskonzept, das über folgende zentrale Komponenten verfügt:
Diese Maßnahmen sind kein Luxus – sie sind betriebswirtschaftliche Notwendigkeit. Ihre unterlassene Durchführung ist kein Versehen, sondern ein Organisationsversagen.
Immer öfter geraten Unternehmen auch juristisch unter Druck. Die EU-Behörden sind wachsam: Wer systemkritische Lücken nicht rechtzeitig schließt oder kritische Infrastrukturen nicht adäquat schützt, riskiert nicht nur Imageschäden – sondern empfindliche Bußgelder, Marktverbote und im Extremfall persönliche Haftung der Geschäftsführung.
Die NIS2-Direktive, die bereits ab Mitte 2024 in vielen Ländern in Kraft getreten ist, definiert klare Anforderungen an Cybersicherheitsmaßnahmen und Meldepflichten. Unmittelbar betroffene Sektoren umfassen dabei nicht nur Energie oder Gesundheit – sondern ebenso „Digitale Dienste“, „Verwaltungseinheiten“ und technologieintensive Wirtschaftsunternehmen.
❝ Die Zeit, in der man Security delegieren konnte, ist vorbei. Verantwortlich ist nicht der Provider. Sondern die erste Führungsebene. ❞
Als ProSec sehen wir täglich, wie zielgerichtet, unsichtbar und effizient heutige Angreifer operieren. Wir arbeiten branchenübergreifend mit Unternehmen jeder Größenordnung und helfen ihnen, aus der Angriffsopferrolle in eine resiliente Zukunft zu kommen – durch technische Exzellenz, aber vor allem durch aktive Führung und greifbare Sicherheitsstrategien.
Unsere Leistungen im Kontext der aktuellen ERP-Bedrohungen:
Was uns besonders macht? Wir sprechen nicht nur Technik. Wir sprechen C-Level – und denken in Wirtschaftsszenarien, nicht in Patches.
Wenn Sie nicht darauf warten möchten, in der nächsten Welle von Erpressungsversuchen zu landen – sprechen Sie mit uns. Diskret. Auf Augenhöhe. Und vor allem: proaktiv.
