Entdecken Sie das TÜV-zertifizierte GoogleTest mit Agentic AI für C/C++-Tests!
Details ansehen »
Die Einhaltung der OWASP-Richtlinien ist in der heutigen digitalen Landschaft unerlässlich für die Sicherheit von Software. Die OWASP Top 10:2025 berücksichtigt die aktuellsten Bedrohungsdaten und führt zwei neue Kategorien sowie bedeutende Neubewertungen ein, basierend auf der Analyse von über 175,000 CVE-Einträgen und dem Feedback von Sicherheitsexperten weltweit.
Die gemeinnützige Gruppe Open Web Application Security Project® (OWASP) versucht, die Softwaresicherheit zu verbessern. Entwicklungsteams auf der ganzen Welt und in allen Branchen wenden sich an die OWASP Foundation, um Tools, Ressourcen und Schulungen zum Schutz ihrer Webanwendungen vor Cyberangriffen zu erhalten. Projekte mit Community-getriebenen Initiativen stehen jedem zur Teilnahme offen.
Bauen Sie Sicherheit in Ihre DevOps-Strategie ein
OWASP veröffentlicht in regelmäßigen Abständen eine Liste der dringendsten Probleme für die Entwicklergemeinschaft insgesamt. Diese Probleme wirken sich auf die Gesamtsicherheit von Projekten aus, und die Liste beleuchtet die größten Bedrohungen.
Die OWASP Top 10:2025 Die Liste führt zwei völlig neue Kategorien ein und fasst eine bestehende zusammen, um der aktuellen Bedrohungslandschaft Rechnung zu tragen. Basierend auf der Analyse von über 175,000 CVE-Einträgen, Umfragen unter Sicherheitsexperten, Empfehlungen von Sicherheitsanbietern, Bug-Bounty-Programmen und Beiträgen der Community erstellte OWASP seine Liste für 2025. Platz 1 kennzeichnet das häufigste und folgenreichste Problem. Die nach Schweregrad und Häufigkeit geordneten Einträge repräsentieren jeweils mehrere Common Weakness Enumerations (CWEs) – insgesamt 248 in den 10 Kategorien.
Die OWASP Top 10 hilft Teams, sich auf die kritischsten und wahrscheinlichsten Probleme zu konzentrieren, bevor sie sich anderen Problemen zuwenden.
Alle diese potenziellen Schwachstellen stellen eine erhebliche Bedrohung für jedes Entwicklungsteam dar, aber denken Sie daran, dass dies keine vollständige Liste aller Fehler ist, die während der Entwicklung schief gehen können. Die Top 10 sind zwar keine umfassende Strategie oder die einzige Methode zum Identifizieren von Schwachstellen, aber sie sind ein hervorragender Einstieg.
Die Top 10 ist am wirkungsvollsten, wenn sie an beiden Enden der Entwicklung zum Einsatz kommt: Entwicklern beibringen, von Anfang an sicheren Code zu schreiben, und sie dann nutzen, um zu überprüfen, ob sie dies auch getan haben.
Mit der zunehmenden Entwicklung von APIs hat OWASP auch ein spezielles Projekt, das sich ausschließlich auf die API-Sicherheit und ihre Top Ten in Bezug auf Schwachstellen konzentriert. Der OWASP API-Sicherheit Top 10 wurde 2019 eingeführt und 2023 aktualisiert.
Fehlerhafte Zugriffskontrolle bleibt im vierten Bewertungszyklus in Folge die häufigste Schwachstelle. Laut OWASP wiesen 100 % der getesteten Anwendungen (gegenüber 94 % im Vorjahr) dieses Problem auf, das sich nun auf 40 kritische Arbeitsumgebungen (CWEs) erstreckt (gegenüber 34 im Jahr 2021). Im Jahr 2025 nahm OWASP auch Server-Side Request Forgery (SSRF) in diese Kategorie auf und erkannte SSRF als spezifische Ausprägung unzureichender Zugriffskontrolle an.
Die wichtigsten CWEs im Zusammenhang mit dieser Schwachstelle sind:
Diese Sicherheitslücke ermöglicht den Zugriff auf private Ressourcen für nicht autorisierte Benutzer. Angreifer können alle vorhandenen Sicherheitsprotokolle umgehen, um auf sensible Systeme und Informationen zuzugreifen.
Es bleibt die häufigste Schwachstelle in den OWASP Top 10. Schwache Autorisierungs- und Authentifizierungsmethoden ermöglichen dieses Sicherheitsrisiko. Fehlerhafte Zugriffskontrolle umfasst 40 CWEs (gegenüber 34 im Jahr 2021), einschließlich SSRF-Szenarien. Sie ist in der OWASP-Umfrage für mehr Probleme verantwortlich als jede andere Kategorie.
Fehlkonfigurationen im Bereich der Sicherheit werden 2025 auf Platz 2 klettern, gegenüber Platz 5 im Jahr 2021. Dies spiegelt die rasante Zunahme von Cloud- und Containerumgebungen wider, in denen Konfigurationsfehler immer häufiger auftreten. Alle getesteten Anwendungen weisen dieses Problem in irgendeiner Form auf.
Eine Fehlkonfiguration der Sicherheit liegt vor, wenn wichtige Sicherheitseinstellungen fehlen, falsch konfiguriert sind oder auf Standardwerten belassen werden, z. B. wenn Standardpasswörter nicht zurückgesetzt werden, unnötige Funktionen aktiviert werden oder der Cloud-Speicher nicht ausreichend abgesichert wird.
Fehlkonfigurierte Systeme, Cloud-Dienste und Container tragen maßgeblich zu Sicherheitslücken bei. Ein bekanntes Beispiel ist der Ausfall der FAA-NOTAM-Meldung im Jahr 2023, der auf eine Fehlkonfiguration zurückzuführen war. Die Absicherung der Konfigurationen, die Entfernung ungenutzter Funktionen und regelmäßige Infrastrukturprüfungen sind daher entscheidende Gegenmaßnahmen.
Fehler in der Software-Lieferkette bilden ab 2025 eine neue Kategorie, die Risiken durch Drittanbieterkomponenten, Open-Source-Bibliotheken, Build-Pipelines und Vertriebsmechanismen umfasst. Die Identifizierung dieser Risiken ist eine Herausforderung und stellt eine schnell wachsende Angriffsfläche mit fünf kritischen Fehlerquellen dar, darunter beispielsweise:
Diese Fehler treten auf, wenn Softwarekomponenten, Build-Pipelines oder Bereitstellungsmechanismen kompromittiert oder manipuliert werden. Beispiele hierfür sind Pakete aus nicht vertrauenswürdigen Quellen, unsichere Build-Skripte und fehlende Codesignatur oder Integritätsprüfung.
Angreifer, die eine Komponente der Lieferkette kompromittieren, können Tausende nachgelagerter Anwendungen gleichzeitig beeinträchtigen. Ein bekanntes Beispiel ist der Angriff auf SolarWinds. Lieferkettenangriffe entgehen oft vollständig der CVE-basierten Erkennung – es handelt sich um Vertrauensbrüche in Prozessen, nicht um Fehler im Code.
Präventionshinweise:
Kryptografische Sicherheitslücken rücken bis 2025 auf Platz 4 vor, nach Platz 2 im Jahr 2021. Dies spiegelt das wachsende Bewusstsein in der Branche wider – obwohl es weiterhin ein kritisches Risiko darstellt. Die Bezeichnung wurde 2021 von „Offenlegung sensibler Daten“ geändert, um die Ursachen stärker zu betonen als die Symptome.
Ein kryptografischer Fehler liegt vor, wenn sensible Daten offengelegt werden, weil die Kryptografie fehlt, unzureichend, falsch konfiguriert oder fehlerhaft implementiert ist. Solche Fehler führen häufig zu Datenschutzverletzungen. Beispiele hierfür sind fehlende HTTP-Strict-Transport-Security-Header, schwache Algorithmen, die Übertragung von Daten im Klartext oder mangelhaftes Schlüsselmanagement.
Sie können zu Datenschutzverletzungen und Systemkompromittierungen führen. Ein bekanntes Beispiel für einen kryptografischen Fehler ist der LinkedIn-Datendiebstahl von 2012, bei dem Angreifer durch einen nicht gesalzenen SHA-1-Passwort-Hash Millionen von Zugangsdaten problemlos knacken konnten, nachdem die Datenbank gestohlen worden war. Um solche Fehler zu verhindern, sind ein geeignetes kryptografisches Design, sicherer Code, gründliche Tests und die Integration von Sicherheitsmaßnahmen in DevSecOps-Workflows erforderlich.
Die Injektionsgefahr sinkt bis 2025 auf Platz 5, nach Platz 3 im Jahr 2021 – ein anhaltender Rückgang nach einem Jahrzehnt als größtes Risiko, der die Fortschritte der Branche bei der Validierung von Inputmaterialien widerspiegelt. Sie bleibt jedoch hochgefährlich und weit verbreitet.
Injection-Schwachstellen entstehen, wenn Angreifer speziell präparierte Daten senden, die eine Anwendung dazu zwingen, unbeabsichtigte Befehle auszuführen. Beispielsweise kann SQL-Injection ganze Datenbanken extrahieren oder verändern. Dies umfasst Cross-Site-Scripting (XSS) und andere Arten von Injection.
Injection zählt weiterhin zu den häufigsten und am besten vermeidbaren Sicherheitslücken. OWASP-Testdaten zeigen über 1.4 Millionen beobachtete Injection-Vorfälle in verschiedenen Anwendungen. Strenge Eingabevalidierung, parametrisierte Abfragen und die Verwendung sicherer APIs, die Daten von Befehlen trennen, können diese Schwachstellen weitgehend verhindern. Häufige CWEs sind CWE 79 (Cross-Site-Scripting) und CWE 89 (SQL-Injection). Weitere Injection-Risiken treten beispielsweise bei der Verarbeitung von Befehlen, Pfaden und Ausdrücken auf.
Unsicheres Design rutscht im Jahr 2025 von Platz 4 auf Platz 6 ab, was die allmähliche Übernahme von Prinzipien für sicheres Design widerspiegelt – obwohl Designfehler weiterhin ein erhebliches und oft unterschätztes Risiko darstellen.
Unsicheres Design entsteht, wenn Teams Bedrohungen in der Architekturphase nicht vorhersehen. Im Gegensatz zu Implementierungsfehlern spiegelt es umfassendere Designmängel wider. Beispiele hierfür sind fehlende Autorisierungsschritte in einem Workflow oder schwache Passwortzurücksetzungsprozesse.
Unsicheres Design macht Anwendungen angreifbar, selbst wenn die Implementierungen sicher erscheinen. OWASP empfiehlt, Bedrohungsmodellierung, sichere Designmuster und bewährte Bibliotheken frühzeitig im Softwareentwicklungszyklus (SDLC) zu integrieren, noch bevor eine einzige Zeile Code geschrieben wird.
Authentifizierungsfehler bleiben auch 2025 auf Platz 7. Der Name wurde von „Identifizierungs- und Authentifizierungsfehler“ (2021) auf „Authentifizierungsfehler“ verkürzt, wodurch der Fokus stärker auf die Sicherheit von Anmeldeinformationen und Sitzungen gelegt wird.
Diese Fehler treten auf, wenn Anmeldeinformationen, Sitzungs-IDs oder Berechtigungen nicht sicher gehandhabt werden – beispielsweise durch Speichern von Passwörtern im Klartext oder durch Festcodieren von Anmeldeinformationen.
Die Folgen von Sicherheitslücken gemäß A07:2025 sind Kontoübernahmen und Identitätsdiebstahl, wodurch Angreifer sämtliche nachgelagerten Sicherheitskontrollen umgehen und so Datenlecks, Betrug, Rechteausweitung und die vollständige Kompromittierung von Systemen verursachen können. Multifaktor-Authentifizierung und strengere Passwortrichtlinien können diese Risiken mindern.
A08:2025 behandelt Fehler, bei denen Anwendungen Software-Updates, Code oder Daten vertrauen, ohne deren Integrität zu überprüfen. Dadurch können nicht vertrauenswürdige oder manipulierte Artefakte – wie Updates, Abhängigkeiten, CI/CD-Artefakte oder serialisierte Daten – als legitim behandelt und ausgeführt werden. Die Änderung des Namens von „und“ zu „oder“ verdeutlicht, dass die Integrität von Software oder Daten jeweils unabhängig voneinander beeinträchtigt sein kann.
Beispiele hierfür sind unsichere Software-Updates, ungeschützte CI/CD-Pipelines und nicht validierte automatische Updates.
Sie öffnen Angreifern die Tür, Schadcode einzuschleusen. Zu den gravierenden Problemen zählt die unsichere Deserialisierung, ein häufiger Weg für Denial-of-Service-Angriffe und die Ausführung von Remote-Code. Zu den schwerwiegenden A08-Fehlern gehören das signierte Malware-Update von CCleaner, die Übernahme von Open-Source-Paketen durch Schadsoftware wie Event Stream sowie die Ausnutzung unsicherer Deserialisierungsmethoden, bei denen manipulierte Software oder Daten ohne Integritätsprüfung als vertrauenswürdig eingestuft und ausgeführt wurden.
Fehler bei der Sicherheitsprotokollierung und -benachrichtigung bleiben auch 2025 auf Platz 9. Die Bezeichnung ändert sich von „Überwachungsfehler“ zu „Benachrichtigungsfehler“. Unzureichende Protokollierung und Benachrichtigung verhindern die rechtzeitige Erkennung, Reaktion oder Untersuchung von Sicherheitsvorfällen.
Diese Ausfälle treten auf, wenn Systeme Bedrohungen nicht ordnungsgemäß erkennen, Warnungen ausgeben oder darauf reagieren. Mit zunehmender Komplexität der Umgebungen (Mikrodienste, Container und Cloud) ist eine integrierte Warnmeldung unerlässlich, passive Protokollierung allein reicht nicht aus.
Ohne angemessene Warnmeldungen bleiben Sicherheitsvorfälle oft lange unentdeckt und führen zu Datenschutzverletzungen. Vorschriften wie HIPAA und PCI DSS fordern eine ordnungsgemäße Protokollierung. Unzureichende Warnmeldungen verstärken zudem andere Schwachstellen, wie beispielsweise fehlerhafte Zugriffskontrollen, da eine schnelle Erkennung und Reaktion unmöglich wird. Zu den bekanntesten Fällen zählen die Datenpannen bei Target und Equifax, bei denen unzureichende Protokollierung, Überwachung und Warnmeldungen es Angreifern ermöglichten, über lange Zeiträume unentdeckt zu agieren und die Auswirkungen drastisch zu vergrößern.
Der unsachgemäße Umgang mit Ausnahmesituationen ist eine neue Kategorie im Jahr 2025. Sie rückt eine lange übersehene Risikoklasse in den Fokus: Anwendungen, die bei unerwarteten Eingaben, Ressourcenengpässen, Zeitüberschreitungen oder internen Fehlern unsicher versagen.
Hinweis: Server-Side Request Forgery (SSRF), ehemals A10:2021, wurde in A01:2025 Broken Access Control integriert.
Mangelhafte Ausnahmebehandlung kann sensible Daten wie Stacktraces oder API-Schlüssel preisgeben, Zugriffskontrollen durch Fail-Open-Logik umgehen oder Denial-of-Service-Angriffe auslösen. Diese Schwachstellen entgehen oft Standard-Schwachstellenscans, da sie sich erst unter Stressbedingungen manifestieren. Die Kategorie umfasst 24 CWEs, darunter CWE-209 (Fehlermeldungen, die sensible Daten offenlegen), CWE-476 (Dereferenzierung eines Nullzeigers) und CWE-636 (Fail-Open-Logik).
50 % der Befragten der OWASP-Umfrage stuften dies als ihr wichtigstes neues Sicherheitsproblem ein. Anwendungen sollten sichere Fehlermodi definieren (z. B. automatisches Schließen, Zugriffsverweigerung bei Fehlern) und konsistente Fehlerbehandlungsmechanismen verwenden, die Details intern protokollieren und gleichzeitig generische Fehlermeldungen extern zurückgeben.
Wichtige CWEs und Prävention:
Parasofts umfassende Unterstützung für OWASP, einschließlich der OWASP Top 10:2025, hilft Anwendern dabei, DevSecOps zu erreichen, indem sicherheitsorientierte Entwicklungspraktiken von Beginn der Projektentwicklung an durchgesetzt werden.
Mit der Parasoft-Lösung erhalten Sie:
Vorkonfigurierte Richtlinien-/Testkonfigurationen, die vollständig konfigurierbar sind.
Standardnative Berichterstattung basierend auf OWASP- oder CWE-ID-Nummern.
Anleitung zum Beheben von Schwachstellen mit unterstützter Dokumentation und Schulungsinhalten.
Einzigartiges Echtzeit-Feedback, das den Nutzern einen kontinuierlichen Überblick über die Einhaltung der OWASP-Richtlinien und Unterstützung bei der Behebung von Sicherheitslücken bietet, um Bedrohungsvektoren besser zu identifizieren und zu beseitigen.
Ausführung innerhalb der IDE und über den CI / CD-Prozess, um die Sicherheitsanfälligkeit früher im SDLC schnell zu lokalisieren.
Interaktive Berichte und anpassbare Dashboards, die Informationen zur Ausnutzbarkeit, zur Verbreitung im Feld, zur Erkennbarkeit und zu den Auswirkungen von Fehlern enthalten, mit KI-gestützter Automatisierung, um den Benutzern zu helfen, Prioritäten zu setzen und die manuelle Triage zu minimieren.
