gelber-und-blauer-datencode-der-auf-dem-bildschirm-angezeigt-wird

Die OWASP Top 10 2025

14. November 2025

Christopher Baumann, Sven Faßbender OWASP DevSecOps Wissen Penetrationstest

Der aktuelle Release-Candidate der OWASP Top Ten 2025 wurde am 6. November 2025 auf der OWASP Global AppSec USA in Washington, D.C. vorgestellt. Es handelt sich um die achte Ausgabe der OWASP Top Ten. Für 2025 wurden zwei neue Kategorien aufgenommen und eine weitere konsolidiert. Die OWASP Top 10 sind eine Liste der häufigsten und kritischsten Schwachstellen in Web-Anwendungen.

Entwicklern und Informationssicherheitsbeauftragten bietet die Liste eine wertvolle Orientierung, um aktuelle Risiken zu verstehen und frühzeitig geeignete Schutzmaßnahmen zu planen, umzusetzen und deren Wirksamkeit zu überprüfen.

In diesem Blogpost werfen wir einen Blick darauf,

  • welche Veränderungen sich gegenüber 2021 ergeben haben und
  • was das für Entwickler und Informationssicherheitsbeauftragte bedeutet.

TL;DR

Die OWASP Top 10 2025 ähneln der Version von 2021. So bleibt beispielsweise A01:2025 - Broken Access Control das dominierende Thema und erneut die Nummer 1. Dennoch gab es einige nennenswerte Anpassungen:

  • A03:2021 - Injection befindet sich weiter im Abstieg und belegt nun A05:2025 - Injection. Dies deutet darauf hin, dass die vielfältigen Schutzmaßnahmen wie Eingabevalidierung, Ausgabekodierung, Security-Header und ORMs zunehmend Wirkung zeigen.

  • A05:2021 - Security Misconfiguration ist zu A02:2025 - Security Misconfiguration aufgestiegen, dies verdeutlicht die Notwendigkeit in diesem Bereich wirksamere Schutzmaßnahmen zu implementieren. Häufig reicht heute noch eine falsch markierte Checkbox um den gesamten Datenbestand ungeschützt im Internet zu exponieren.

  • Viele Sicherheitsexperten sehen A03:2025 Software Supply Chain Failures derzeit als wichtigste Kategorie damit wird A06:2021 - Vulnerable and Outdated Components deutlich erweitert und höher priorisiert. Ein infiziertes Paket kann beispielsweise die Integrität, Vertraulichkeit und Verfügbarkeit einer gesamten Software gefährden.

  • Als komplett neue Kategorie ist A10:2025 - Mishandling of Exceptional Conditions aufgeführt. Sie umfasst unzureichende Fehlerbehandlung, die sowohl Denial-of-Service Szenarien (DoS) begünstigen als auch ungewollte Informationspreisgaben verursachen kann.

  • A10:2021 - Server-Side Request Forgery (SSRF) wurde in A01:2025 - Broken Access Control integriert, da durch die Ausnutzung dieser Schwachstelle häufig, auf vermeintlich durch Firewalls geschützte, interne Ressourcen oder Schnittstellen zugegriffen werden kann.

Was sind die Neuerungen von 2025?

# 20252025 Kategorie# 20212021 Kategorie
A01Broken Access Control (🟰🟰)A01Broken Access Control
A02Security Misconfiguration (⬆⬆)A02Cryptographic Failures
A03Software Supply Chain Failures (A06:2021➕)A03Injection
A04Cryptographic Failures (⬇⬇)A04Insecure Design
A05Injection (⬇⬇)A05Security Misconfiguration
A06Insecure Design (⬇⬇)A06Vulnerable and Outdated Components (➕A03:2025)
A07Authentication Failures (🟰🟰)A07Identification and Authentication Failures
A08Software and Data Integrity Failures (🟰🟰)A08Software and Data Integrity Failures
A09Logging and Alerting Failures (🟰🟰)A09Security Logging and Monitoring Failures
A10Mishandling of Exceptional Conditions (➕)A10Server-Side Request Forgery (SSRF) (⛙ in A01:2025)

A03 2025 – Software Supply Chain Failures

Die OWASP Top 10 2025 rücken das Thema Software Supply Chain Failures als eines der dringlichsten Risiken moderner Applikationssicherheit in den Mittelpunkt. OWASP benennt erstmals explizit Schadsoftware innerhalb von Software-Ökosystemen als zentrale Bedrohung, darunter bösartige Pakete, kompromittierte Maintainer sowie manipulierte Build-Prozesse. Diese Angriffe treffen Unternehmen dort, wo ihre Schutzmechanismen am schwächsten sind: in der Entwicklungs- und Build-Phase. Denn Supply-Chain-Angriffe beginnen selten in produktiven Umgebungen. Häufig erfolgt der erste Angriffsschritt auf Entwicklerrechnern oder über weit verbreitete Dritt-anbieter-Bibliotheken. Durch eine einzige manipulierte Abhängigkeit können Angreifer innerhalb kürzester Zeit in CI-Systeme, Containerumgebungen oder Cloud-Infrastrukturen eindringen, oft ohne von klassischen Sicherheitsscannern erkannt zu werden.

Auch regulatorisch gewinnt die Sicherung der Lieferkette zunehmend an Bedeutung. Die NIS2-Richtlinie verpflichtet Unternehmen ausdrücklich dazu, Risiken innerhalb ihrer Software-lieferketten systematisch zu bewerten und zu minimieren. Dazu gehören strenge Anforderungen an den Schutz von Entwicklungsumgebungen, die Integrität eingesetzter Softwarekomponenten sowie die Dokumentation und Überprüfung von technischen und organisatorischen Sicherheitsmaßnahmen. Unternehmen, die diese Vorgaben nicht erfüllen, müssen mit erheblichen Haftungs- und Sanktionsrisiken rechnen.

Unsere Erfahrung bei zentrust bestätigt diese Entwicklungen. In nahezu jedem Penetrationstest stoßen wir auf mangelhaft geprüfte oder veraltete Drittanbieter-Bibliotheken, unzureichend gehärtete Entwicklerarbeitsplätze, schwach geschützte Build-Umgebungen sowie unzureichend abgesicherte CI/CD-Pipelines. Wir empfehlen daher, dass Unternehmen ihre Sicherheitsstrategie deutlich über klassische Perimeter- oder Anwendungssicherheit hinaus erweitern müssen. Moderne Softwareentwicklung erfordert eine ganzheitliche Betrachtung der gesamten Lieferkette, vom Entwicklerrechner über die Build-Pipeline bis hin zur Auslieferung.

A10:2025 – Mishandling of Exceptional Conditions

Die neue Kategorie A10:2025 - Mishandling of Exceptional Conditions hebt einen Bereich hervor, der in vielen Entwicklungsprojekten bislang zu wenig Beachtung findet: den sicheren Umgang mit Fehler- und Ausnahmesituationen. Wenn Anwendungen unerwartete Zustände nicht korrekt verarbeiten, entstehen leicht sicherheitsrelevante Probleme wie Informationsleckagen oder Verfügbarkeitsausfälle. OWASP hat diese Schwachstellen bewusst aus dem früheren Sammelbegriff „mangelhafte Codequalität“ herausgelöst und ihnen eine eigene Kategorie zugeordnet, um ihre Bedeutung stärker zu betonen.

Zu den häufigsten Ursachen gehören

  • Fehlermeldungen, die zu viele interne Details preisgeben
  • Berechtigungsmechanismen, die im Fehlerfall zu großzügig reagieren
  • uneinheitlich behandelte Ausnahmen
  • nicht abgefangene Speicher- oder Eingabefehler

Dies verdeutlicht, dass Sicherheit nicht nur darin besteht, Angriffe zu verhindern. Software muss auch dann stabil und kontrolliert reagieren, wenn etwas Unvorhergesehenes passiert. Sicheres Fehlverhalten wird damit zu einem Qualitätsmerkmal moderner Anwendungen.

Gleichzeitig greift OWASP ein organisatorisches Thema auf, das wir bei zentrust häufig erleben:

  • In vielen Unternehmen ist unklar, welches Team welche Verantwortung für sichere Entwicklung trägt.

Um solchen strukturellen Problemen vorzubeugen, empfiehlt zentrust, den Reifegrad des Software-Development-Lifecycle (SDLC) regelmäßig anhand von Modellen wie SAMM oder DSOMM zu überprüfen. Nicht das Erfüllen aller Kriterien steht im Vordergrund, sondern das Erkennen von Bereichen, in denen mehr Transparenz, Automatisierung und konsistente Verbesserung die größte Wirkung entfalten.

Für wen sind die OWASP Top 10

Die OWASP Top 10 dienen in erster Linie der Sensibilisierung der Entwickler für die wichtigsten Sicherheitsrisiken in Web-Anwendungen. Sie sind bewusst kein vollständiger Sicherheitsstandard, sondern ein kompakter Überblick über die kritischsten Schwachstellen. Für weitergehende Anforderungen empfiehlt OWASP ergänzend Reife- und Prüfmodelle wie SAMM (Software Assurance Maturity Model), DSOMM (DevSecOps Maturity Model) und ASVS (Application Security Verification Standard).

Informationssicherheitsbeauftragte nutzen sie zudem häufig, um den Geltungsbereich und die Prüftiefe von Penetrationstests zu definieren oder zielgerichtete Sicherheitsschulungen zu entwickeln.

Wie die OWASP TOP 10 entstehen

Acht der zehn Punkte der Liste basieren auf empirischen Daten, die von zahlreichen Organisationen bereitgestellt werden. Diese Daten spiegeln reale Sicherheitsvorfälle und identifizierte Schwachstellen wider. Dabei wird nicht die Häufigkeit einzelner Befunde bewertet, sondern die Gesamtzahl der betroffenen Systeme. Denn ein Mangel wie etwa Cross-Site-Scripting (XSS) tritt oft nicht nur vereinzelt auf, sondern als systemisches Problem, das sich durch eine gesamte Anwendung ziehen kann. Einzelne Vorkommen werden daher nicht separat gezählt.

Die zwei verbleibenden Punkte der Liste entstehen durch Befragungen erfahrener Sicherheitsexperten, die auf Basis ihrer Praxiserfahrung angeben, welche Mängel sie besonders häufig beobachten. Dieses Vorgehen ist notwendig, da die verfügbaren Datenquellen, insbesondere automatisierte Scans, nicht alle Schwachstellen erfassen können. Erfahrene Penetrationstester erkennen oft komplexe oder kontextabhängige Sicherheitslücken, die über das hinausgehen, was automatisierte Verfahren aufdecken können. Diese qualitative Expertise fließt deshalb gezielt in die OWASP Top 10 ein.