Am 6. Novem­ber 2025 hat das Open World­wi­de Appli­ca­ti­on Secu­ri­ty Pro­ject (OWASP) auf der Glo­bal App­Sec Con­fe­rence den “Release Can­di­da­te” für die OWASP Top 10:2025 vorgestellt.

Die­se Lis­te, die etwa alle vier Jah­re aktua­li­siert wird, gilt als der Gold­stan­dard für Ent­wick­ler und Sicher­heits­exper­ten, um die kri­tischs­ten Sicher­heits­ri­si­ken für Web­an­wen­dun­gen zu iden­ti­fi­zie­ren. Die neue Ver­si­on spie­gelt die zuneh­men­de Kom­ple­xi­tät und Ver­net­zung moder­ner Soft­ware wider und legt den Fokus stär­ker auf den gesam­ten Lebens­zy­klus der Soft­ware­ent­wick­lung (SDLC) als nur auf iso­lier­te Schwachstellen.

Hier ist ein Über­blick dar­über, was sich geän­dert hat und wor­auf sich Ihre App­Sec-Stra­te­gie im Jahr 2025 kon­zen­trie­ren muss.

Die Lis­te 2025 im Überblick

Vie­le der bekann­ten Schwach­stel­len (CWEs) blei­ben bestehen, aber die Rang­fol­ge hat sich ver­scho­ben, um aktu­el­len Bedro­hun­gen gerecht zu wer­den. Hier ist die vor­läu­fi­ge Top 10:

  • 1

    A01: Man­gel­haf­te Zugriffs­kon­trol­le (beinhal­tet jetzt SSRF)

  • 2

    A02: Sicher­heits­re­le­van­te Fehl­kon­fi­gu­ra­ti­on (nach oben gerutscht)

  • 3

    A03: Feh­ler in der Soft­ware-Lie­fer­ket­te (NEU)

  • 4

    A04: Feh­ler­haf­ter Ein­satz von Kryptographie

  • 5

    A05: Injec­tion

  • 6

    A06: Unsi­che­res Anwendungsdesign

  • 7

    A07: Feh­ler­haf­te Authentifizierung

  • 8

    A08: Feh­ler­haf­te Prü­fung der Soft­ware- und Datenintegrität

  • 9

    A09: Unzu­rei­chen­des Log­ging und Sicherheitsmonitoring

  • 10

    A10: Feh­ler­haf­ter Umgang mit Aus­nah­me­be­din­gun­gen (NEU)

Im Detail: Die zwei neu­en Kate­go­rien für 2025

Die wich­tigs­te Ände­rung in die­sem Jahr ist die Ein­füh­rung von zwei neu­en Kate­go­rien, die spe­zi­fi­sche moder­ne Her­aus­for­de­run­gen adressieren.

A03:2025 – Feh­ler in der Soft­ware-Lie­fer­ket­te (Soft­ware Sup­p­ly Chain Failures)

Die­se Kate­go­rie ist eine signi­fi­kan­te Erwei­te­rung der frü­he­ren Kate­go­rie „Anfäl­li­ge und ver­al­te­te Kom­po­nen­ten“ (A06:2021). Sie trägt der Tat­sa­che Rech­nung, dass moder­ne Anwen­dun­gen nicht iso­liert ent­ste­hen, son­dern das Pro­dukt eines kom­ple­xen Öko­sys­tems sind.

  • Was ist neu? Der Fokus liegt nicht mehr nur auf ein­zel­nen feh­ler­haf­ten Kom­po­nen­ten. Die Kate­go­rie umfasst nun den gesam­ten Pro­zess der Erstel­lung, Ver­tei­lung und Aktua­li­sie­rung von Software.
  • Das Pro­blem: Feh­ler in der Lie­fer­ket­te ent­ste­hen oft durch Schwach­stel­len oder bös­wil­li­ge Mani­pu­la­tio­nen in: 
    • Code von Drittanbietern.
    • Ver­wen­de­ten Entwicklungstools.
    • Abhän­gig­kei­ten (Depen­den­ci­es), auf die das Sys­tem ange­wie­sen ist.
  • War­um ist das wich­tig? OWASP betont, dass die­se Feh­ler schwer zu iden­ti­fi­zie­ren sind. Alles, was den Ent­wick­lungs­pro­zess berührt, kann das End­ergeb­nis kom­pro­mit­tie­ren. Dies erfor­dert einen weit­aus grö­ße­ren Sicher­heits­um­fang, der die Inte­gri­tät der gesam­ten Pipe­line sicherstellt.

A10:2025 – Feh­ler­haf­ter Umgang mit Aus­nah­me­be­din­gun­gen (Excep­ti­on Hand­ling Failures)

Die­se kom­plett neue Kate­go­rie hebt die Bedeu­tung von Resi­li­enz her­vor. Es geht dar­um, wie eine Anwen­dung reagiert, wenn etwas nicht nach Plan läuft.

  • Das Pro­blem: Soft­ware stürzt ab oder ver­hält sich uner­war­tet, wenn sie auf unvor­her­seh­ba­re Situa­tio­nen trifft. Laut OWASP tritt die­ser Feh­ler auf, wenn eine Anwendung: 
    • Das Ein­tre­ten einer unge­wöhn­li­chen Situa­ti­on nicht verhindert.
    • Die Situa­ti­on nicht erkennt, wäh­rend sie geschieht.
    • Im Nach­hin­ein schlecht oder gar nicht dar­auf reagiert.
  • Die Sicher­heits­lü­cke: Schlech­tes Excep­ti­on Hand­ling führt nicht nur zu Abstür­zen, son­dern kann Angrei­fern wert­vol­le Infor­ma­tio­nen lie­fern oder das Sys­tem in einen unsi­che­ren Zustand versetzen.
  • Der Lösungs­an­satz: Unter­neh­men müs­sen einen Kul­tur­wan­del voll­zie­hen und „mit dem Schlimms­ten rech­nen“. Das Ziel ist es, Prak­ti­ken ein­zu­füh­ren, die Feh­ler ele­gant abfan­gen (Graceful Fail­ure). Es geht dar­um, Resi­li­enz auf­zu­bau­en, damit die zugrun­de lie­gen­de Infra­struk­tur auch bei unvor­her­ge­se­he­nen Ereig­nis­sen geschützt bleibt.

Wei­te­re wich­ti­ge Änderungen

Neben den neu­en Kate­go­rien gibt es struk­tu­rel­le Anpas­sun­gen, die erwäh­nens­wert sind:

  • SSRF ist kei­ne eige­ne Kate­go­rie mehr: Ser­ver-Side Request For­gery (ehe­mals A10:2021) wur­de in A01: Man­gel­haf­te Zugriffs­kon­trol­le inte­griert. OWASP begrün­det dies damit, dass SSRF im Kern ein Pro­blem der Zugriffs­kon­trol­le ist, bei dem Ser­ver dazu gebracht wer­den, Anfra­gen aus­zu­füh­ren, für die sie kei­ne Berech­ti­gung haben sollten.
  • Auf­stieg der Fehl­kon­fi­gu­ra­tio­nen: Sicher­heits­re­le­van­te Fehl­kon­fi­gu­ra­ti­on ist von Platz 5 (2021) auf Platz 2 auf­ge­stie­gen. Dies unter­streicht, wie kri­tisch die kor­rek­te Kon­fi­gu­ra­ti­on von Cloud-Ser­vices und Anwen­dun­gen in der heu­ti­gen Zeit ist.

Fazit

Die OWASP Top 10:2025 zei­gen deut­lich: Cyber­si­cher­heit ver­schiebt sich von der rei­nen Code-Prü­fung hin zur Absi­che­rung des gesam­ten Öko­sys­tems und der Resi­li­enz der Archi­tek­tur. Beson­ders die neu­en Kate­go­rien zur Lie­fer­ket­te und zum Excep­ti­on Hand­ling for­dern von Ent­wick­lern und Secu­ri­ty-Teams eine ganz­heit­li­che Sicht­wei­se auf ihre Projekte.