Zusammenfassung
Die OWASP Top 10 sind das maßgebliche Ranking der Web-Anwendungs-Sicherheitsrisiken. Am 6. November 2025 veröffentlichte OWASP die Ausgabe 2025 – das erste große Update seit 2021. Es ist nicht nur eine inkrementelle Überarbeitung, sondern reflektiert grundlegende Veränderungen in der Bedrohungslandschaft und in unserem Denken über Anwendungssicherheit.
Zwei neue Kategorien dominieren das Update: Software Supply Chain Failures (A03) adressiert die wachsende Bedrohung durch kompromittierte Abhängigkeiten, bösartige Pakete und manipulierte Build-Pipelines. Mishandling of Exceptional Conditions (A10) erkennt an, dass das Versagensverhalten von Anwendungen ebenso wichtig ist wie ihr Funktionieren. Broken Access Control hält Platz 1, während Security Misconfiguration von Platz 5 auf Platz 2 vorrückt.
Über das Ranking hinaus stellt die Ausgabe 2025 einen philosophischen Wandel von Symptomen zu Grundursachen dar. Wo frühere Versionen 'Sensitive Data Exposure' markierten, identifiziert das neue Framework 'Cryptographic Failures' – die zugrunde liegende Schwäche, die die Exposition ermöglicht. Dieser Bericht analysiert jede Kategorie, erklärt die Ranking-Verschiebungen und gibt umsetzbare Empfehlungen für Sicherheitsprogramme, die sich an das neue Framework anpassen.
2021 vs. 2025: Vollständiger Ranking-Vergleich
Das Update 2025 ordnet mehrere Kategorien neu und führt zwei neue Einträge ein. Das Verständnis dieser Veränderungen hilft, Sicherheitsinvestitionen zu priorisieren.
| Rang 2025 | Kategorie | Rang 2021 | Veränderung | CWEs |
|---|---|---|---|---|
| A01 | Broken Access Control | #1 | Stabil (SSRF integriert) | 40 |
| A02 | Security Misconfiguration | #5 | +3 Plätze | 16 |
| A03 | Software Supply Chain Failures | NEU | Top-Priorität der Community | 5 |
| A04 | Cryptographic Failures | #2 | -2 Plätze | 32 |
| A05 | Injection | #3 | -2 Plätze | 38 |
| A06 | Insecure Design | #4 | -2 Plätze | — |
| A07 | Authentication Failures | #7 | Stabil | 36 |
| A08 | Software/Data Integrity Failures | #8 | Stabil | — |
| A09 | Logging & Alerting Failures | #9 | Stabil (umbenannt) | 5 |
| A10 | Mishandling of Exceptional Conditions | NEU | 24 CWEs konsolidiert | 24 |
A01:2025 – Broken Access Control
Broken Access Control hält in der zweiten Ausgabe in Folge Platz 1 und bleibt das wichtigste Sicherheitsrisiko für Webanwendungen. 2025 wird SSRF in diese Kategorie integriert.
Verbreitung: 3,73 %
Von allen getesteten Anwendungen wiesen 3,73 % Broken-Access-Control-Schwächen auf. Mit über 318.000 Vorkommen ist die Häufigkeit am höchsten.
40 abgedeckte CWEs
Die größte Kategorie umfasst CWE-200 (Sensitive Information Disclosure), CWE-352 (CSRF) und nun CWE-918 (SSRF).
94 % Testabdeckung
Nahezu alle Anwendungen (94 %) wurden auf Broken Access Control getestet – ein Zeichen branchenweiter Sensibilisierung.
SSRF jetzt enthalten
Server-Side Request Forgery, zuvor A10:2021, wurde in Broken Access Control integriert.
A02:2025 – Security Misconfiguration (von #5)
Die markanteste Ranking-Veränderung 2025 betrifft Security Misconfiguration, das von Platz 5 auf Platz 2 vorrückt. Das spiegelt die wachsende Erkenntnis wider, dass viele Sicherheitsvorfälle nicht auf raffinierte Exploits zurückgehen, sondern auf grundlegende Konfigurationsfehler, die ausnutzbare Bedingungen schaffen.
Die Kategorie umfasst unveränderte Standardkonfigurationen, aktivierte unnötige Funktionen, ausführliche Fehlermeldungen mit Informationsleck, fehlende Sicherheits-Header, veraltete Software und unsichere Cloud-Storage-Berechtigungen. Der Aufstieg auf Platz 2 sendet eine klare Botschaft: Konfigurationsmanagement muss als sicherheitskritische Funktion behandelt werden.
Mit 16 CWEs, die 3,00 % der getesteten Anwendungen betreffen, sind Fehlkonfigurationen oft das niedrig hängende Obst für Angreifer. Sie erfordern keine Spezialwerkzeuge oder Zero-Days, sondern lediglich die Geduld, gängige Schwächen zu sondieren.
Die Top-Priorität der Community wird offizielle Kategorie. Supply-Chain-Angriffe nutzen Vertrauen in Abhängigkeiten, Build-Systeme und Distributionskanäle. Prominente Vorfälle sind SolarWinds (2020), Log4j (2021) und XZ Utils (2024). Die Kategorie weist die geringste Datenausprägung (5 CWEs) auf, aber die höchsten durchschnittlichen Exploit- und Impact-Werte – erfolgreiche Angriffe sind katastrophal. Organisationen müssen Komponentenintegrität verifizieren, Abhängigkeitsupdates überwachen und Software Composition Analysis einführen.
Der Rückgang der Injection: von #1 auf #5
Injection-Schwachstellen, einst unbestrittener König der Web-Risiken, sind von Platz 1 (2017) auf Platz 3 (2021) und nun auf Platz 5 (2025) gerutscht. Dieser Rückgang spiegelt echte Sicherheitsfortschritte wider.
Verbreitung moderner Frameworks
Moderne Frameworks mit parametrisierten Queries, Prepared Statements und ORM-Schichten haben SQL-Injection strukturell deutlich seltener gemacht.
Statische Analyse
SAST-Tools erkennen Injection-Muster wirksam bereits in der Entwicklung und verhindern, dass Schwachstellen in die Produktion gelangen.
Entwicklerschulung
Zwei Jahrzehnte Sensibilisierung haben Injection-Prävention zu einer Grundkompetenz gemacht, die in jeder Sicherheitsschulung vermittelt wird.
A04:2025 – Cryptographic Failures (von #2)
Cryptographic Failures rückt um zwei Plätze auf #4, was jedoch keine geringere Bedeutung anzeigt. Vielmehr wurde sie durch den Aufstieg von Fehlkonfigurationen und Supply-Chain-Bedenken relativ verdrängt. Mit 32 CWEs und einer Verbreitung von 3,80 % bleiben kryptografische Schwächen erheblich.
Die Kategorie adressiert Versagen beim Schutz von Daten in Ruhe und bei der Übertragung: schwache Algorithmen, unzureichendes Schlüsselmanagement, mangelnde Entropie, veraltete Protokolle und Umgehungen der Zertifikatsprüfung. Die Betonung auf 'Failures' statt 'Exposure' spiegelt den OWASP-Wandel hin zu Grundursachen wider.
A10:2025 – Mishandling of Exceptional Conditions (NEU)
Die zweite neue Kategorie erkennt an, dass das Versagensverhalten von Anwendungen ebenso wichtig ist wie ihr Funktionieren.
Diese Kategorie enthält 24 CWEs zu unsachgemäßer Fehlerbehandlung, Logikfehlern, 'fail open', Race Conditions und weiteren Szenarien aus abnormalen Bedingungen. Treffen Systeme auf unerwartete Eingaben oder Zustände, bestimmt ihr Versagensmodus, ob ein Angreifer Zugang erhält.
Sichere Systeme 'fail closed' – bei einem Fehler verweigern sie den Zugriff. Unsichere Systeme 'fail open' – Fehler führen zur Umgehung von Kontrollen. Klassisches Beispiel: ein Login-System, das den Zugriff gewährt, wenn die Authentifizierungsdatenbank nicht erreichbar ist.
Ausführliche Fehlermeldungen offenbaren Stack Traces, Datenbankschemata, Dateipfade und interne Logik. Angreifer nutzen diese Informationen, um ihre Angriffe zu verfeinern. Produktionssysteme sollten generische Fehler anzeigen und Details serverseitig protokollieren.
Time-of-Check-to-Time-of-Use (TOCTOU)-Schwachstellen erlauben Angreifern, die Lücke zwischen der Prüfung einer Bedingung und der Aktion auszunutzen. Solche Logikfehler können Authentifizierung, Autorisierung und Finanzkontrollen umgehen.
Diese Schwächen wurden bisher unter 'mangelhafter Codequalität' gruppiert, ihre Sicherheitswirkung rechtfertigt jedoch eine eigene Kategorie. Mit zunehmender Komplexität von Anwendungen und verteilten Architekturen ist die Zahl der Ausnahmebedingungen – und damit der Möglichkeiten zu Fehlbehandlungen – explodiert.
Die Ausgabe 2025 priorisiert Grundursachen ausdrücklich vor Symptomen. Frühere Versionen vermischten beides – 'Sensitive Data Exposure' beschreibt das Was, nicht das Warum. Das Framework 2025 fragt: Welche zugrunde liegende Schwäche hat das Ergebnis ermöglicht? Damit verlagert sich die Sicherheitsdiskussion von Incident Response ('Daten wurden exponiert') zu Prävention ('Kryptografie war fehlkonfiguriert'). Für die Praxis heißt das: Adressieren Sie Kategorien an ihrer Wurzel statt einzelne Erscheinungen zu behandeln.
Was das für Ihr Sicherheitsprogramm bedeutet
Software Composition Analysis implementieren
Mit Supply-Chain-Fehlern auf A03 benötigen Sie kontinuierliche Sichtbarkeit auf Abhängigkeiten. Setzen Sie SCA-Tools ein, die verwundbare Komponenten erkennen, bösartige Pakete identifizieren und auf Integritätsverletzungen alarmieren.
Konfigurationsmanagement priorisieren
Der Sprung von Security Misconfiguration auf Platz 2 verlangt Aufmerksamkeit. Implementieren Sie Konfigurations-Baselines, automatisieren Sie Compliance-Prüfungen und behandeln Sie Configuration Drift als Sicherheitsvorfall.
Tests der Zugriffskontrolle verstärken
Broken Access Control auf Platz 1 mit über 318.000 Vorkommen bedeutet, dass Ihr Zugriffskontrollmodell rigoros geprüft werden muss. Implementieren Sie automatisiertes Autorisierungstesting und verifizieren Sie jeden Endpunkt.
Fehlerbehandlungsmuster überprüfen
Die neue Kategorie Exceptional Conditions erfordert eine Überprüfung des Versagensverhaltens Ihrer Anwendungen. Auditieren Sie Fehlerbehandlung auf Informationslecks, prüfen Sie 'fail closed'-Verhalten und testen Sie Race Conditions.
Schulungsunterlagen aktualisieren
Falls Ihre Entwicklerschulung Injection weiterhin als Risiko Nr. 1 betont, sollten Sie sie überarbeiten. Konzentrieren Sie Schulungen auf Zugriffskontrolle, Konfiguration und die neuen Kategorien.
WAAP-Regeln an den Kategorien 2025 ausrichten
Stellen Sie sicher, dass Ihr Web-Anwendungs- und API-Schutz-Regelsatz alle Kategorien 2025 abdeckt. Auf Injection optimierte Legacy-Regelsätze gewichten Zugriffskontrolle und Fehlkonfiguration möglicherweise zu schwach.
TR7-Schutz entlang der OWASP Top 10:2025
Broken Access Control
Granulare Zugriffsrichtlinien, BOLA/IDOR-Erkennung, SSRF-Prävention und CSRF-Schutz verteidigen gegen das Risiko Nr. 1.
Security Misconfiguration
Härtungsempfehlungen, Alerts bei Standardkonfigurationen und Durchsetzung von Sicherheits-Headern helfen, das Risiko Nr. 2 zu verhindern.
Injection-Abwehr
Erweiterte WAAP-Regeln erkennen SQL-, NoSQL-, OS-Command- und LDAP-Injection-Versuche mit Verhaltensanalyse.
Durchsetzung kryptografischer Vorgaben
SSL/TLS-Terminierung mit modernen Cipher Suites, Zertifikatsmanagement und Protokoll-Enforcement.
Schutz der Fehlerbehandlung
Eigene Fehlerseiten, Unterdrückung von Stack Traces und Anomalieerkennung für fehlerbasierte Angriffe.
Echtzeit-Monitoring
Umfassendes Logging, Alerting und Analysen unterstützen die Erfüllung von A09 und bieten Sichtbarkeit über alle Angriffskategorien hinweg.
Referenzen & Quellen
OWASP Top 10:2025 RC1 – Primärquelle für Kategorien, Statistiken und Methodikänderungen. https://owasp.org/Top10/2025/0x00_2025-Introduction/
Offizielle Projektseite mit historischen Versionen und ergänzenden Materialien. https://owasp.org/www-project-top-ten/
Entwicklerorientierte Analyse der Änderungen 2025. https://www.aikido.dev/blog/owasp-top-10-2025-changes-for-developers
Branchenperspektive auf die Änderungen und ihre Bedeutung. https://www.fastly.com/blog/new-2025-owasp-top-10-list-what-changed-what-you-need-to-know
Vertiefte Betrachtung der neuen Supply-Chain-Kategorie. https://eclypsium.com/blog/owasp-top-10-2025-software-supply-chain-risk/
Richten Sie Ihre Sicherheit an OWASP 2025 aus
Die OWASP Top 10:2025 verändern, wie wir Web-Anwendungssicherheit priorisieren. Die integrierte Sicherheitsplattform von TR7 bietet mehrschichtige Verteidigung gegen alle zehn Kategorien.
WAAP-Schutz entdecken