Die kritischsten Sicherheitsrisiken für Webanwendungen – Die OWASP Top 10:2025

Nach vier Jahren erscheint die neue Liste der zehn häufigsten Sicherheitsrisiken für Webanwendungen. Die OWASP Top Ten zeigen erneut, wie dynamisch sich die Sicherheitslage verändert.

Die OWASP Top 10 gelten als der führende Standard für Web Application Security. Sie dienen als Standardreferenz für die sichere Softwareentwicklung und werden von seriösen Penetration-Testern verwendet, um Schwachstellen im Rahmen von Web-Penetrationstests zu klassifizieren.

Mit nahezu drei Millionen analysierten Anwendungen ist die aktuelle Fassung der Top Ten die umfangreichste Analyse von Sicherheitsdaten, die vom Open Worldwide Application Security Project (OWASP) jemals vorgestellt wurde. Die Top Ten ermöglichen somit ein realistisches, datengestütztes Lagebild zu aktuellen Schwachstellen.

Aufbau der Top Ten

Die Kategorien der OWASP Top Ten bieten diverse Informationen zu jeder Risikokategorie. Dazu gehören neben möglichen Angriffsszenarien und ihren Auswirkungen auch Präventionsmaßnahmen, sowie die Zuordnung dazugehöriger „Common Weakness Enumerations (CWEs)“. Bei CWEs handelt es sich um eine offizielle Liste für Sicherheitslücken und -risiken. Der Durchschnitt von 25 verschiedenen CWEs pro Risikokategorie verdeutlicht die Vielfalt der Bedrohungen, die in der OWASP Top Ten behandelt werden.

Neues: Schutz von Lieferketten und sichere Fehlerbehandlung

Im Vergleich zur vorherigen Ausgabe aus dem Jahr 2021 sind mehrere Änderungen bemerkenswert. Interessant ist vor allem die Einführung zwei neuer Kategorien: Die „Software Supply Chain Failures“ und das „Mishandling of Exceptional Conditions“:

OWSAP Top Ten, tabellenartig: links von 2021, verschiedene Punkte sind grün, gelb oder orange gekennzeichnet; Pfeile in den jeweils selben Farben führen zur rechten Spalte für 2025
Abbildung 1: Die OWASP Top Ten 2021 & 2025 im Vergleich [OWASP Top Ten]

Moderne Webanwendungen bestehen nicht mehr aus isoliertem Code, sondern sind meist ein komplexes Zusammenspiel verschiedener Technologien, bestehend aus Software-Bibliotheken, Frameworks und Build-Infrastrukturen.

Damit rückt die Sicherheit der Lieferkette stark in den Mittelpunkt. Die neuen OWASP Top Ten spiegeln diese Verschiebung, indem aus der früheren Kategorie „Vulnerable and Outdated Components“ ein deutlich breiteres Thema rund um die Sicherheit der gesamten Software-Lieferkette geworden ist. Diese Kategorie landete auf Platz drei der häufigsten Risiken.  

Die zweite große Neuerung dreht sich um den Umgang mit Softwarefehlern. Fehlerzustände, Edge Cases und unvorhergesehene Abläufe sind Aspekte, die Entwicklerinnen und Entwickler oft vernachlässigen, während bei Angriffen potenzielle Einfallstore sind.

Die neue Kategorie macht deutlich, dass robuste Fehlerbehandlung nicht nur für die Usability, sondern auch für die Anwendungssicherheit relevant ist.

Die größten Risikofaktoren 2025

Auch ein Blick auf die „Dauerbrenner“ unter den Schwachstellen ist interessant. Broken Access Control, seit der ersten Ausgabe von 2003 aufgelistet, bleibt weiterhin das größte Risiko. Dabei waren ungesicherte API-Endpunkte sowie fehlende oder unzulängliche Zugriffskontrollen für eine Vielzahl von Schwachstellen verantwortlich.

Fehlkonfigurationen stiegen 2025 auf Platz zwei der häufigsten Risiken auf. Diese Risikokategorie zeigt, dass selbst kleine Fehlkonfigurationen enorme Sicherheitsfolgen mit sich bringen können.

Injection, kryptografische Fehler, unsicheres Software-Design und Authentifizierungsfehler bleiben ebenfalls zentrale Themen. Auch wenn sich ihre Position leicht verschiebt, bleibt ihre Bedeutung für die IT-Sicherheit unverändert hoch.

OWASP Top Ten in der Praxis

Die OWASP Top Ten bieten einen wertvollen Einblick, wie Angreifer typische Schwachstellen technisch ausnutzen. Insbesondere Entwicklerinnen und Entwickler und IT-Admins sollten die Top 10 daher kennen und verstehen, um bei der Entwicklung neuer Software und der Einrichtung ihrer IT-Systeme das Risiko von Sicherheitslücken zu minimieren.

Zusätzlich ermöglichen die Top Ten eine Standardisierung bei Web-Penetrationstests. IT-Teams können damit nach einer Sicherheitsprüfung die gefundenen Schwachstellen besser priorisieren, verstehen und beheben.

 

Ansprechperson

Haben Sie Fragen oder Hinweise zum Thema IT-Sicherheitsprüfungen und Penetrationstests? Wenden Sie sich gerne an Nimrod Briller.