Die neue OWASP Top 10-Liste 2025: Was sich geändert hat und was Sie wissen müssen
Senior Content Marketing Manager
Die lang erwartete OWASP Top 10-Liste für 2025 liegt in ihrer fast endgültigen Form vor* – ihre „Release Candidate“- oder „Draft“-Version wurde am Donnerstag, den 6. November 2025, auf der Global AppSec Conference vom Open Worldwide Application Security Project (OWASP) angekündigt.
Die OWASP Top 10 werden etwa alle vier Jahre aktualisiert und spiegeln die Veränderungen in der Cybersicherheitslandschaft wider, wobei neue Bedrohungen hervorgehoben werden. In dieser Liste werden Common Weakness Enumerations (CWEs) oder häufige Software- und Hardware-Schwachstellen aufgeführt. Die Liste dient als Referenzstandard und bietet eine Rangfolge sowie Hinweise zur Behebung der zehn kritischsten Anwendungssicherheitsrisiken. Das Ziel von OWASP ist es, Entwicklern und Sicherheitsexperten dabei zu unterstützen, Bedrohungen besser zu verstehen und zu bewältigen.
** Wir werden diesen Beitrag aktualisieren, falls Änderungen an der Liste für 2025 vorgenommen werden sollten (was jedoch unwahrscheinlich ist). **
Was steht also auf der neuen (fast fertigen) OWASP Top 10-Liste 2025?
Kurze Antwort – viele der gleichen CWEs, aber zwei wichtige Aktualisierungen, auf die Sie achten sollten. Diese Änderungen, die wir im nächsten Abschnitt näher betrachten werden, weisen auf die zunehmende Komplexität und Vernetzung von Software (und die damit verbundenen Risiken) hin. Das Verständnis dieser Aktualisierungen für 2025 ist für alle AppSec-Programme unerlässlich.
A01:2025 – Mangelhafte Zugriffskontrolle (A01 in 2021)
Beschreibung des OWASP: Die Zugriffskontrolle setzt Richtlinien so durch, dass Benutzer nicht außerhalb ihrer beabsichtigten Berechtigungen handeln können. Fehler führen in der Regel zur unbefugten Offenlegung, Änderung oder Zerstörung aller Daten oder zur Durchführung einer Geschäftsfunktion außerhalb der Nutzerlimits.
A02:2025 – Sicherheitsrelevante Fehlkonfiguration (A05 in 2021)
Beschreibung des OWASP: Von einer Sicherheitsfehlkonfiguration spricht man, wenn ein System, eine App oder ein Cloud-Service aus der Sicherheitsperspektive falsch konfiguriert ist und dadurch Schwachstellen entstehen.
A03:2025 – Fehler in der Software-Lieferkette (Neu in 2025)
Beschreibung des OWASP: Fehler in der Software-Lieferkette sind Störungen oder andere Beeinträchtigungen im Prozess der Erstellung, Verteilung oder Aktualisierung von Software. Sie werden oft durch Schwachstellen oder böswillige Änderungen im Code von Drittanbietern, Tools oder anderen Abhängigkeiten, auf die das System angewiesen ist, verursacht.
A04:2025 – Fehlerhafter Einsatz von Kryptographie (A02 in 2021)
Beschreibung des OWASP: Diese Schwachstelle konzentriert sich auf Fehler im Zusammenhang mit fehlender Kryptografie, unzureichend starker Kryptografie, dem Durchsickern von kryptografischen Schlüsseln und damit verbundenen Fehlern.
A05:2025 – Injection (A03 in 2021)
Beschreibung des OWASP: Eine Injektionsschwachstelle ist ein Systemfehler, der es einem Angreifer ermöglicht, bösartigen Code oder Befehle (wie SQL- oder Shell-Code) in die Eingabefelder eines Programms einzufügen und das System so zu täuschen, dass der Code oder die Befehle ausgeführt werden, als wären sie Teil des Systems. Dies kann zu wirklich gravierenden Folgen führen.
A06:2025 – Unsicheres Anwendungsdesign (A04 in 2021)
Beschreibung des OWASP: Unsicheres Anwendungsdesign ist eine breite Kategorie, die verschiedene Schwächen umfasst, die als „fehlendes oder unwirksames Kontrolldesign“ ausgedrückt werden.
A07:2025 – Fehlerhafte Authentifizierung (A07 in 2021)
Beschreibung des OWASP: Wenn es einem Angreifer gelingt, ein System dazu zu bringen, einen ungültigen oder falschen Nutzer als legitim anzuerkennen.
A08:2025 – Fehlerhafte Prüfung der Software- und Datenintegrität (A08 in 2021)
Beschreibung des OWASP: Software- und Datenintegritätsfehler beziehen sich auf Code und Infrastruktur, die keinen Schutz davor bieten, dass ungültiger oder nicht vertrauenswürdiger Code oder Daten als vertrauenswürdig und gültig behandelt werden.
A09:2025 – Unzureichendes Logging und Sicherheitsmonitoring (A09 in 2021)
Beschreibung des OWASP: Ohne Logging und Monitoring können Angriffe und Sicherheitsverletzungen nicht erkannt werden, und ohne Alarmierung ist es sehr schwierig, bei einer Sicherheitsstörung schnell und effektiv zu reagieren. Es kann jederzeit vorkommen, dass Logging, kontinuierliches Monitoring, Erkennung und Alarmierung zur Initiierung aktiver Antworten unzureichend sind.
A10:2025 – Fehlerhafter Umgang mit Ausnahmebedingungen (Neu in 2025)
Beschreibung des OWASP: Fehlerhafter Umgang mit Ausnahmebedingungen in Software tritt auf, wenn Programme ungewöhnliche und unvorhersehbare Situationen nicht verhindern, erkennen und darauf reagieren können, was zu Abstürzen, unerwartetem Verhalten und manchmal auch zu Sicherheitslücken führt. Dies kann einen oder mehrere der folgenden drei Fehler beinhalten: Die Anwendung verhindert nicht, dass eine ungewöhnliche Situation eintritt, sie erkennt die Situation nicht, während sie eintritt, und/oder sie reagiert im Nachhinein schlecht oder gar nicht auf die Situation.
Was hat sich in der OWASP Top 10-Liste für 2025 geändert?
Auf der Liste für 2025 wurden zwei neue Kategorien hinzugefügt: Fehler in der Software-Lieferkette und Fehlerhafter Umgang mit Ausnahmebedingungen. Außerdem erfolgte eine Konsolidierung, bei der die Kategorie A10: Server-Side Request Forgery (SSRF) aus dem Jahr 2021 in A01:2025 Mangelhafte Zugriffskontrolle integriert wurde.
A02, A03 und A04 aus der Ausgabe 2021 sind um einige Plätze nach unten gerutscht, blieben jedoch in derselben Reihenfolge. Dies zeigt, dass sie zwar nach wie vor häufig vorkommen, es jedoch andere CWEs gibt, die in der neuen Liste für 2025 dringlicher sind.
Das übergeordnete Thema der Änderungen für 2025 war ein Hinweis darauf, das große Ganze zu betrachten: Anstatt sich auf bestimmte Mängel zu konzentrieren, entstanden Themen, die sich mit dem gesamten Lebenszyklus der Softwareentwicklung (SDLC) befassten.
NEU A03 – Fehler in der Software-Lieferkette
Die erste Kategorie, A03 – Fehler in der Software-Lieferkette, ist eine Erweiterung der Kategorie „Anfällige und veraltete Komponenten“ aus dem Jahr 2021. Ziel dieser Erweiterung war es, die gesamte Software-Lieferkette einzubeziehen, nicht nur die begrenzten Auswirkungen von Komponenten auf die Lieferkette. Im Jahr 2025 umfasst sie nun alles, was mit dem "Prozess der Erstellung, Verteilung oder Aktualisierung von Software" zu tun hat.
OWASP merkt an, dass „Fehler in der Lieferkette weiterhin schwer zu identifizieren sind“. Die Ausweitung dieser Kategorie deutet auf ein Anerkennen der Komplexität der Software-Lieferkette hin; alles, was einen Teil des Entwicklungsprozesses berührt, kann sich negativ auf das Ergebnis auswirken – ein riesiger Sicherheitsumfang, den es abzudecken gilt.
NEU A10 – Fehlerhafter Umgang mit Ausnahmebedingungen
Die zweite neue Kategorie, A10 – Fehlerhafter Umgang mit Ausnahmebedingungen, bezieht sich auf die Wichtigkeit, sich auf die Resilienz zu konzentrieren. OWASP mahnt, dass „das Erkennen und Bewältigen von Ausnahmesituationen sicherstellt, dass die zugrunde liegende Infrastruktur unserer Programme nicht unvorhersehbaren Situationen ausgesetzt bleibt“. Unternehmen wird geraten, „mit dem Schlimmsten zu rechnen“, wenn es darum geht, jeden möglichen Systemfehler zu erkennen.
Dieser Zusatz deutet auf die Notwendigkeit eines teamübergreifenden Kulturwandels hin, um sich auf das Scheitern vorzubereiten – das heißt, dass Organisationen vorhersagen müssen, wann und wie Dinge schiefgehen können (und davon ausgehen, dass sie es tun). Dazu gehört die Einführung von Praktiken und Verfahren, um mit Fehlern elegant umzugehen (anders ausgedrückt: „Resilienz aufbauen“). OWASP empfiehlt Organisationen, ihre AppSec-Programme anhand von Standard-Frameworks zu messen, um den Reifegrad zu ermitteln und gegebenenfalls Anpassungen vorzunehmen.
ZUSAMMENGEFÜHRT: A10:2021 Server-Side Request Forgery in A01:2025 Mangelhafte Zugriffskontrolle
In der Liste von 2021 bildete A10:2021 Server-Side Request Forgery eine eigene Kategorie. Im Jahr 2025 wurde Server-Side Request Forgery (SSRF) in die Kategorie Mangelhafte Zugriffskontrolle von 2025 aufgenommen.
Dies spiegelt die Auffassung wider, dass es bei vielen SSRF-Problemen im Kern um eine unzureichende Zugriffskontrolle geht, die es einem Angreifer ermöglicht, einen Server dazu zu zwingen, Anforderungen zu stellen, die er eigentlich nicht stellen sollte (zum Beispiel an interne Services oder Metadaten-Endpunkte). Anstatt SSRF separat zu verfolgen, behandelt OWASP es jetzt als eine spezifische Manifestation einer fehlerhaften Zugriffskontrolle.
Was bedeutet das für Ihr Sicherheitsprogramm?
Die Änderungen an der Top-10-Liste verdeutlichen die Notwendigkeit einer umfassenderen Sicht auf die Sicherheit im gesamten Lebenszyklus der Softwareentwicklung. Auf höchster Ebene empfiehlt OWASP, wiederholbare Sicherheitsprozesse und standardisierte Sicherheitskontrollen in allen Umgebungen zu etablieren und zu nutzen. Genauer gesagt hat die Organisation auf der Grundlage der Ergebnisse der Liste für 2025 fünf Bereiche für Verbesserungen genannt.
Einen risikobasierten Ansatz etablieren
OWASP fordert Organisationen auf, Risiken aus einer betriebswirtschaftlichen Perspektive zu betrachten – von der Erfüllung regulatorischer Anforderungen bis hin zur Ermittlung der Bedürfnisse des App-Portfolios sollten Sie ein Maß an Risikotoleranz festlegen. Ausgehend von dieser Risikotoleranz kann die Verwendung eines gemeinsamen Risikobewertungsmodells dabei helfen, das Risiko strukturiert zu bewerten.
Eine solide Grundlage für Ihr Sicherheitsprogramm schaffen
OWASP empfiehlt Organisationen, Richtlinien und Standards festzulegen, die eine Grundlage bilden, an die sich alle Entwicklungs- und Sicherheitsteams halten sollen.
Sicherheit in bestehende Prozesse integrieren
Durch die Integration von Sicherheit in bestehende Entwicklungs- und Betriebsprozesse können Sie die Entwicklungsgeschwindigkeit beibehalten und gleichzeitig Bereiche für Verbesserungen in bestehenden Prozessen und Tools erkennen.
Priorisieren Sie die AppSec-Ausbildung
Sicherheits-Champion-Programme oder zumindest eine allgemeine Sicherheitsschulung sollten obligatorisch sein – Sicherheit liegt in der Verantwortung jedes Einzelnen.
Geben Sie hochrangigen Stakeholdern Transparenz
OWASP empfiehlt Organisationen, sich auf die Verwaltung mit Metriken zu konzentrieren. Dies bedeutet, Entscheidungen auf der Grundlage klarer Transparenz hinsichtlich der Funktionsweise des AppSec-Programms zu treffen.
Eine detailliertere Diskussion der Empfehlungen des OWASP finden Sie hier.
Wie Fastly Ihnen helfen kann, sich gegen die OWASP Top 10 abzusichern
Die Bewältigung von Sicherheitsrisiken aus den OWASP Top 10 erfordert einen mehrschichtigen Sicherheitsansatz und eine ganzheitliche Betrachtung eines bestehenden Sicherheitsprogramms. Im Allgemeinen sollten Organisationen sicherstellen, dass die Sicherheit von der Programmierung über die Infrastruktur bis hin zu Komponenten von Drittanbietern berücksichtigt wird.
Rangliste | Kategorie | Lösung von Fastly |
|---|---|---|
A01:2025 | Mangelhafte Zugriffskontrolle | – Die Next-Gen WAF von Fastly blockiert bösartige Anfragen (wie Directory Traversal), bevor sie den Ursprung erreichen können. |
A02:2025 | Sicherheitsrelevante Fehlkonfiguration | – Die Edge-Cloud-Plattform von Fastly kann so konfiguriert werden, dass sie Sicherheitsheader wie Content-Security-Policy und Strict-Transport-Security hinzufügt. Das automatische Setzen des Antwortheaders, der von der Edge an Clients zurückgegeben wird, bietet eine zusätzliche Schutzebene gegen falsch konfigurierte Anwendungen oder Origin-Server. |
A03:2025 | Fehler in der Software-Lieferkette | – Für den Rest Ihrer Software-Lieferkette bietet die Next-Gen WAF virtuelle Patches für aufkommende Bedrohungen und neue CVEs. Virtuelle Patches bieten vorübergehende Abhilfe bei neuen Schwachstellen und blockieren Versuche, diese zu instrumentalisieren, während die zugrunde liegende Software gepatcht wird. – Fastly kann als Teil Ihrer Software-Lieferkette automatisch auf die neueste Version aktualisieren und so sicherstellen, dass Ihre Services vor Fehlern und anderen Schwachstellen geschützt sind. |
A04:2025 | Fehlerhafter Einsatz von Kryptographie | – Die Edge-Cloud-Plattform von Fastly übernimmt die weltweite TLS-Terminierung und -Beschleunigung mit sicheren Standardeinstellungen (z. B. TLS 1.3 und Entfernung schwacher Chiffren) für Kunden. Wir können sicherstellen, dass schwache Verschlüsselungschiffren und -protokolle für Anfragen an sensible Bereiche der Anwendung oder für jegliche Anwendungsanfragen nicht zugelassen werden. |
A05:2025 | Injection | - Die Next-Gen WAF von Fastly erkennt Injection-Angriffe standardmäßig ohne zusätzliche Regeln oder Konfiguration. Die Next-Gen WAF von Fastly nutzt SmartParse, eine von Fastly entwickelte Erkennungstechnologie, um sofortige Entscheidungen zu treffen und festzustellen, ob bösartige oder anomale Payloads vorliegen. Da SmartParse den Kontext der Anfrage auswertet, liefert es hochpräzise Entscheidungen. |
A06:2025 | Unsicheres Anwendungsdesign | – Die Next-Gen WAF ermöglicht die Erstellung nutzerdefinierter Signale zur Überwachung von Aktivitäten in anfälligen Routen oder Datenströmen in einer Anwendung. Wenn eine Anwendung beispielsweise rund um einen Checkout Flow aufgebaut ist und es sich dabei um ein sensibles Anwendungsrouting handelt, können Sie an Client-Anfragen für diesen Teil der Anwendung ein nutzerdefiniertes Signal anhängen. Mit diesem Signal können Sie die Aktivität überwachen und bei missbräuchlichem Verhalten anhand der Eigenschaften der Anfrage gemessene Blockierungs- oder Rate-Limiting-Regeln erstellen. |
A07:2025 | Fehlerhafte Authentifizierung | – Die Next-Gen WAF kann konfiguriert werden, um vor Brute-Force-Angriffen wie Credential Stuffing zu schützen, indem solche Angriffe erkannt und die Anmeldeversuche von Angreifern blockiert werden. Alle fehlgeschlagenen Anmeldeversuche werden geloggt, und Administratoren werden sofort alarmiert, sobald ein Angreifer erkannt wird. – Die Next-Gen WAF kann unsichere Authentifizierungsversuche erkennen, wie z. B. die Verwendung von JSON-Web-Tokens mit dem None-Algorithmus. |
A08:2025 | Fehlerhafte Prüfung der Software- und Datenintegrität | – Die Next-Gen WAF prüft alle Anforderungen auf Angriffe wie z. B. Injection-Angriffe. |
AO9:2025 | Unzureichendes Logging und Sicherheitsmonitoring | – Die Next-Gen WAF überwacht alle eingehenden HTTP-Anforderungen auf Angriffe und Anomalien hin. Dies umfasst die Überwachung und Protokollierung aller Anmeldeversuche, -erfolge und -misserfolge. – Die Next-Gen WAF sendet Echtzeit-Ereignisbenachrichtigungen an eine Liste von Standard-Webhook-Integrationen im Dashboard. |
A10:2025 | Fehlerhafter Umgang mit Ausnahmebedingungen | – Fastly bietet automatischen DDoS-Schutz, konfigurierbares Rate Limiting, Benachrichtigungen bei ungewöhnlichen Zuständen, wo immer möglich, und die Schaffung von verlässlichen Datenquellen für Ihr AppSec-Programm über umfassende Dashboards, mit denen Sie schnell erkennen können, ob etwas schiefgelaufen ist. |
Wenn Sie sich die neuen OWASP Top 10 ansehen und sich fragen, was das wirklich für Ihre Anwendungen bedeutet, helfen wir Ihnen gerne weiter. Nehmen Sie Kontakt mit unserem Team von Sicherheitsexperten auf oder wenden Sie sich an Ihr Fastly-Accountteam.