Stand: 16. April 2026
Im Rahmen kontinuierlicher Sicherheitsüberprüfungen hat Esri im April 2026 eine kritische Sicherheitslücke im Zusammenhang mit den Developer Credentials (API Keys und OAuth2.0Credentials) identifiziert. Die Schwachstelle betrifft ArcGIS Online, ArcGIS Location Platform und ArcGIS Enterprise. Dieser Beitrag fasst die wichtigsten Informationen zusammen und gibt konkrete Handlungsempfehlungen für Kundinnen und Kunden in Deutschland und der Schweiz.
Handlungsempfehlung
- ArcGIS Online und ArcGIS Location Platform: Überprüfen Sie, ob Ihre Anwendungen / Skripte, die Developer Credentials verwenden, nach dem Update voll funktionsfähig sind.
- ArcGIS Enterprise: Die CISA empfiehlt, kritische Sicherheitspatches innerhalb von 15 Tagen zu installieren.
- Durch Patches/Updates werden Developer Credentials, deren Zugriffsbereich möglicherweise zu weit gefasst ist, zurückgesetzt.
Zusammenfassung auf einen Blick
- Betroffen sind ArcGIS Online, die ArcGIS Location Platform sowie ArcGIS Enterprise
- Ursache ist eine zu weitreichende Berechtigungsvergabe bei bestimmten Developer Credentials
- Für ArcGIS Online und die Location Platform wurden bereits serverseitige Updates durchgeführt
- Für ArcGIS Enterprise steht ein kritischer Sicherheitspatch zur Verfügung, der dringend installiert werden sollte
- Überprivilegierte Developer Credentials werden durch den Patch auf Standardberechtigungen zurückgesetzt.
Betroffene Produkte und aktueller Status
Nachfolgend haben wir für Sie den aktuellen Status zu den jeweils betroffenen Produkten zusammengefasst:
ArcGIS Online & ArcGIS Location Platform
Für ArcGIS Online und die ArcGIS Location Platform wurden die notwendigen Sicherheitsupdates am 13. April 2026 durch Esri eingespielt. Sie müssen hier keine Patchinstallation vornehmen, sollten jedoch prüfen, ob eigene Anwendungen oder Skripte, die Developer Credentials verwenden, weiterhin wie erwartet funktionieren.
ArcGIS Enterprise
Für ArcGIS Enterprise wurde am 13. April 2026 ein kritischer Sicherheitspatch für die betroffenen Versionen veröffentlicht:
- Portal for ArcGIS 11.5
- Portal for ArcGIS 12.0
Der Patch behebt zwei Sicherheitslücken mit Kritikalitätsgrad „Critical“ (CVSS Base Score 9,8) und sollte mit höchster Priorität installiert werden.
Wichtige Hinweise zur Installation:
- Die Installation wird außerhalb der Geschäftszeiten empfohlen.
- Der Patch setzt potenziell überprivilegierte Developer Credentials dauerhaft zurück.
- Eine spätere Deinstallation des Patches macht diese Änderung nicht rückgängig.
- Vor der Installation sollten daher vollständige Backups erstellt werden.
Den Patch für Windows und Linux finden Sie hier.
Kundinnen und Kunden mit Kubernetes-Umgebungen sollten das Update 12.0 Update 3 gemäß der hier beschriebenen Anleitung installieren.
Bin ich betroffen?
Ihr System gilt als nicht betroffen, wenn Sie keine Developer Credentials einsetzen, darunter:
- API Keys
- OAuth2.0Credentials zur App oder Skriptauthentifizierung
Falls Developer Credentials genutzt werden und der Patch kurzfristig nicht installiert werden kann, empfiehlt Esri, diese Credentials temporär zu deaktivieren, bis das Update erfolgt ist.
Prüfung der Developer Credentials
Sie können selbst einfach prüfen, ob in Ihrer Organisation Developer Credentials im Einsatz sind:
- Melden Sie sich in Ihrer ArcGISOrganisation an.
- Navigieren Sie zu: Organisation → Einstellungen → Sicherheit → Developer Credentials
- Sind dort API Keys oder OAuth2.0Einträge vorhanden, werden Developer Credentials verwendet.
Mögliche Auswirkungen auf Anwendungen und Skripte
Durch die Sicherheitsmaßnahmen kann es in Einzelfällen dazu kommen, dass bestehende Anwendungen oder Automatisierungen nicht mehr funktionieren, weil nicht mehr ausreichend Berechtigungen vorhanden sind.
Empfohlene Vorgehensweise bei Problemen:
- Bestätigen Sie alle eingesetzten Developer Credentials, indem Sie die oben beschriebene Überprüfung der Developer Credentials durchführen.
- Prüfen Sie die betroffene Anwendung oder das betroffene Skript, bei dem ein Fehler auftritt, und identifizieren Sie, welches Developer Credential die Ursache ist.
- Bevor Sie Änderungen vornehmen, empfehlen wir, sicherzustellen, dass die in dieser Mitteilung aufgeführten aktuellen Best Practices für Developer Credentials eingehalten werden.
- Validieren Sie die dem Developer Credential zugewiesenen Berechtigungen (Infos hier) und ermitteln Sie ggf. zusätzliche Anforderungen der Anwendung oder des Skripts, indem Sie das Credential als Parameter an die self-Ressource des Portals übergeben.
Beispiel: https://www.arcgis.com/sharing/rest/community/self?f=pjson&token=[Your_API_Key] - Prüfen Sie, ob sich die erforderlichen Berechtigungen Ihrer Anwendung oder Ihres Skripts reduzieren lassen, und passen Sie diese entsprechend an.
- Falls erhöhte Berechtigungen zwingend erforderlich sind, erstellen Sie ein neues Developer Credential für Ihre Anwendung bzw. Ihr Skript, verifizieren Sie die korrekte Funktion und löschen Sie anschließend das ursprünglich verwendete Developer Credential.
- Wenn Sie weitere Unterstützung benötigen, wenden Sie sich bitte an das Esri Support-Team.
Hintergrund: Warum sind API Keys kritisch?
Esri folgt – wie die gesamte Software-Industrie – dem Trend, API Keys zunehmend abzulösen, da sie:
- schwer zu kontrollieren sind
- leicht kompromittiert werden können
- oft mit zu weitreichenden Berechtigungen eingesetzt werden
Stattdessen empfiehlt Esri stärker kontrollierte Authentifizierungsmechanismen wie OAuth 2.0 mit klar definierten Berechtigungen. Entsprechende Leitfäden und Best Practices wurden im ArcGIS Trust Center aktualisiert.
Was ist, wenn ich noch alte API-Keys habe?
Auch wenn diese Sicherheitslücke alte API-Schlüssel nicht betrifft, sollten Sie diesen Sicherheitspatch unverzüglich installieren und anschließend alle alten API-Schlüssel gemäß den oben genannten Best-Practice-Empfehlungen ersetzen. Alle alten API-Keys laufen am 27.06.2026 endgültig ab.
Technische Details zu den Schwachstellen (CVE)
ArcGIS Enterprise Details
CVE-2026-33518
