Einstieg
Die OWASP Web Application Security Top 10 ist eine Liste, die jeder kennt, aber nicht jeder wirklich liest. Dabei ist sie das wahrscheinlich wichtigste kostenlose Dokument, das es zum Thema Webanwendungssicherheit gibt. Ende 2025 ist das erste Update seit 2021 erschienen. Wir fassen zusammen, was sich geändert hat und was das für die Arbeit im Bereich Web-Security bedeutet.
OWASP steht für Open Worldwide Application Security Project, eine gemeinnützige Organisation, seit 2001 frei zugängliche Ressourcen rund um Anwendungssicherheit herausgibt.
Die Top 10 ist dabei die bekannteste Publikation. Wichtig: Es gibt davon mehrere Listen — für APIs, Mobile Apps, LLM-Sicherheit oder ML. Dieser Artikel befasst sich ausschließlich mit der Web Application Security Top 10.
Platz 1 auf diesen Listen bedeutet nicht „am häufigsten vorkommend“. Stattdessen werden Faktoren wie Häufigkeit, Ausnutzbarkeit und Schadenpotenzial kombiniert. Die Liste ist auch keine Checkliste zum Abhaken, sondern eher als Übersicht der derzeit relevantesten Risiken für Webanwendungen zu verstehen.
2021 vs. 2025: Der direkte Vergleich
| Platz | 2021 | 2025 |
| 1 | Broken Access Control | Broken Access Control |
| 2 | Cryptographic Failures | Security Misconfiguration ⬆ |
| 3 | Injection | Software Supply Chain Failures ✦ |
| 4 | Insecure Design | Cryptographic Failures ⬇ |
| 5 | Security Misconfiguration | Injection ⬇ |
| 6 | Vulnerable & Outdated Components | Insecure Design ⬇ |
| 7 | Authentication Failures | Authentication Failures |
| 8 | Software & Data Integrity Failures | Software & Data Integrity Failures |
| 9 | Securtity Logging & Monitoring Failures | Securtity Logging & Monitoring Failures |
| 10 | Server-Side Request Forgery | Mishandling of Exceptional Conditions ✦ |
✦ = neu ⬆ = aufgestiegen ⬇ = abgestiegen
Was ist neu?
A03 – Software Supply Chain Failures
Die Kategorie entsteht aus der früheren Kategorie „A06 Vulnerable & Outdated Components“ und übernimmt auch ein Teil aus A08. Statt einfach nur bekannte CVEs patchen, zählen jetzt auch folgende Aspekte: npm-Pakete, Python-Bibliotheken, Build-Tools, CI/CD-Pipelines.
Der SolarWinds-Angriff 2020 hat gezeigt, was möglich ist, wenn Angreifer nicht die Anwendung angreifen, sondern den Weg dahin. Was jetzt erwartet wird: Software Bills of Materials (SBOMs), automatisierte Dependency-Checks und klare Regeln, wer Änderungen am Build-Prozess vornehmen darf.
A10 – Mishandling of Exceptional Conditions
Ganz neu, doch was steckt dahinter? Was passiert, wenn ein externer Dienst nicht antwortet? Wenn eine Datenbankabfrage ein Timeout produziert? Wenn die API eine leere Antwort zurückschickt?
Viele Webanwendungen geben in solchen Situationen interne Fehlermeldungen nach außen, crashen auf eine Art, die Angreifer ausnutzen können, oder verhalten sich undefiniert. Das war früher eher ein Qualitätsthema. Mit der heutigen Abhängigkeit von Microservices und externen APIs ist es ein Sicherheitsthema.
Was ist verschwunden?
Server-Side Request Forgery (SSRF) hatte 2021 noch einen eigenen Platz auf A10. SSRF ist nicht verschwunden – es wurde aber in Broken Access Control (A01) integriert.
Was bedeutet das konkret?
Broken Access Control bleibt auf Platz 1, das hat sich seit 2021 nicht geändert. Die meisten kritischen Findings in Web-Pentests hängen mit Zugriffskontrollen zusammen, die entweder fehlen oder unzureichend – beispielsweise clientseitig – implementiert sind.
Der Trend, den die 2025-Liste beschreibt, ist aber ein anderer: weg vom Einzelbug, hin zum systemischen Risiko. Supply Chain, Konfiguration, Fehlerbehandlung, all das sind keine Schwachstellen, die man mit einem Patch schließt. Das sind strukturelle Themen, die über den gesamten Entwicklungsprozess adressiert werden müssen.
von Lucas Noki