OWASP Top 10 2025

Die OWASP Top 10 ist seit langem als weltweiter Maßstab für das Verständnis und die Bewältigung der wichtigsten Herausforderungen im Bereich der Webanwendungssicherheit anerkannt. Sie wird alle paar Jahre aktualisiert, um die neuesten Angriffstrends, technologische Veränderungen und Erkenntnisse aus realen Vorfällen aufzuzeigen.

Die Ausgabe 2025 stellt eine der bedeutendsten Aktualisierungen der letzten Jahre dar. Durch die Einführung von zwei neuen Kategorien und die Konsolidierung bestehender Kategorien verlagert OWASP seinen Fokus auf die Ursachen und nicht auf isolierte Symptome, so dass diese Version besser auf die heutigen Bedrohungen abgestimmt ist.

Was ist neu in der OWASP Top 10 2025?

Die aktualisierte Liste enthält nun zehn verfeinerte Kategorien:

  1. Fehlerhafte Zugriffskontrolle
    Wenn Benutzer Dinge sehen oder tun können, die sie nicht sehen sollten – oft eine der Hauptursachen für Datenschutzverletzungen.
  2. Sicherheitsfehlkonfiguration
    Einfache Einrichtungsfehler in Servern, Cloud-Diensten oder Frameworks, die Angreifern Tür und Tor öffnen.
  3. Software Supply Chain Failures (neu)
    Risiken, die von Tools, Bibliotheken und Komponenten von Drittanbietern ausgehen, auf die Ihre Software angewiesen ist – ein wachsendes Ziel für Angreifer.
  4. Kryptografische Fehler
    Probleme mit dem Schutz sensibler Daten, einschließlich veralteter oder falsch verwendeter Verschlüsselung.
  5. Injection
    Situationen, in denen Angreifer schädlichen Code oder Befehle in eine Anwendung einschleusen, weil die Eingaben nicht ordnungsgemäß überprüft wurden
  6. Unsicheres Design
    Sicherheitslücken, die von Anfang an eingebaut wurden, oft weil Bedrohungsmodelle oder sichere Designpraktiken ausgelassen wurden.
  7. Authentifizierungsfehler
    Schwache Anmeldeprozesse oder fehlerhafte Identitätsprüfungen, die es Angreifern ermöglichen, sich als echte Benutzer auszugeben.
  8. Software- oder Datenintegritätsfehler
    Wenn Systeme den falschen Daten oder Aktualisierungsquellen vertrauen und Angreifern so die Möglichkeit geben, in wichtige Komponenten einzugreifen.
  9. Fehler bei der Protokollierung und Alarmierung
    Ineffektive (oder fehlende) Überwachung, die dazu führt, dass Angriffe unbemerkt bleiben, bis der eigentliche Schaden entstanden ist.
  10. Falscher Umgang mit außergewöhnlichen Bedingungen (neu)
    Wenn Anwendungen mit unerwarteten Situationen wie Timeouts, Überlastungen oder seltsamen Eingaben nicht gut zurechtkommen und so Angreifern Tür und Tor öffnen.

Praktischer Leitfaden für Entwickler, CISOs und Compliance-Teams

Die OWASP Top 10 ist ein praktischer Leitfaden für Entwickler, CISOs und Compliance-Teams, um Risiken zu priorisieren und Schutzmaßnahmen zu stärken. Mit der Aufnahme von Sicherheit in der Lieferkette und Fehlerbehandlung unterstreicht das Update 2025 die sich entwickelnde Bedrohungslandschaft und die Notwendigkeit einer proaktiven Widerstandsfähigkeit.

Wir entwickeln eine Reihe von Inhalten und Ressourcen, die Unternehmen helfen sollen, jedes dieser Risiken zu verstehen und zu bewältigen, und die im neuen Geschäftsjahr eingeführt werden sollen. Ziel dieser Ressourcen ist es, Unternehmensleitern und ihren Teams umsetzbare Erkenntnisse und Schulungen an die Hand zu geben, um den sich entwickelnden Risiken einen Schritt voraus zu sein.

Um über die neuesten Sicherheitstrends auf dem Laufenden zu bleiben, besuchen Sie unsere Ressourcen-Seite.

Häufig gestellte Fragen zu den OWASP Top 10 2025

Was ist OWASP?

OWASP (Open Web Application Security Project) ist eine globale Non-Profit-Organisation, die sich für die Verbesserung der Sicherheit von Webanwendungen einsetzt. Sie stellt Best Practices, Tools und Ressourcen zur Verfügung, die Organisationen dabei helfen, Cybersecurity-Risiken zu erkennen und zu minimieren.