Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > OWASP Top 10 2025: Supply-Chain-Angriffe, Cloud-Fehlkonfigurationen und die unveränderte Liste der Schwachstellen

OWASP Top 10 2025: Supply-Chain-Angriffe, Cloud-Fehlkonfigurationen und die unveränderte Liste der Schwachstellen

von Patrick Spencer updated Februar 25, 2026 Cybersecurity-Risikomanagement
Lesezeit: 7 Minuten

Die OWASP Top 10 sind das Pendant zur jährlichen Vorsorgeuntersuchung in der Applikationssicherheit. Alle drei bis vier Jahre sammelt das Open Worldwide Application Security Project reale Schwachstellendaten von Testorganisationen und Sicherheitsanbietern, kombiniert diese mit einer Community-Umfrage unter Praktikern und erstellt eine Rangliste der kritischsten Sicherheitsrisiken für Webanwendungen.

Die Ausgabe 2025 ist da. Basierend auf der Analyse von mehr als 175.000 CVE-Einträgen zu fast 2,8 Millionen Anwendungen sowie einer Umfrage unter 221 Sicherheitsexperten zeigt sie eine Landschaft, die sich in wichtigen Bereichen weiterentwickelt hat – und in anderen nahezu unverändert geblieben ist.

Fehler in der Software-Lieferkette sind neu auf Platz drei eingestiegen. Fehlkonfigurationen sind vom fünften auf den zweiten Platz vorgerückt. Fehlerhafte Behandlung von Ausnahmebedingungen ist auf Platz zehn eingestiegen. Risiken durch KI-generierten Code werden im Abschnitt „Nächste Schritte“ aufgeführt. Und fehlerhafte Zugriffskontrolle bleibt auf Platz eins – im 22. Jahr in Folge.

Fünf wichtige Erkenntnisse

  1. Fehlerhafte Zugriffskontrolle führt die Liste seit 2003 an. Fehlerhafte Zugriffskontrolle steht seit der ersten Veröffentlichung der OWASP Top 10 vor über zwanzig Jahren ununterbrochen auf Platz eins. Im Durchschnitt wiesen 3,73 % der getesteten Anwendungen eine oder mehrere der 40 CWEs auf, die dieser Kategorie zugeordnet sind. Unternehmen entwickeln weiterhin eigene Zugriffskontrollmechanismen, die fehleranfällig, unzureichend getestet und voller Privilegieneskalationspfade sind. Wenn die kritischste Schwachstelle für Webanwendungen seit 22 Jahren besteht, liegt ein systemisches Problem vor – kein Patch-Problem.
  2. Fehler in der Software-Lieferkette debütieren auf Platz drei. Die größte strukturelle Veränderung ist das Auftauchen von Fehlern in der Software-Lieferkette auf Platz drei. Diese Kategorie ersetzt und erweitert die bisherige Kategorie „Verwundbare und veraltete Komponenten“ und umfasst Angriffe auf die gesamte Software-Lieferkette: kompromittierte Open-Source-Bibliotheken, manipulierte Update-Mechanismen von Anbietern, kompromittierte CI/CD-Pipelines und direkte Angriffe auf Entwicklerarbeitsplätze. Wie OWASP-Hauptautorin Tanya Janca erklärt: „Entwickler sind heute ein primäres Ziel vieler Online-Angriffe.“
  3. Fehlkonfigurationen springen vom fünften auf den zweiten Platz. Die Cloud-Einführung hat Fehlkonfigurationen zu einer allgegenwärtigen und folgenschweren Schwachstelle gemacht. Unveränderte Standardzugangsdaten, öffentlich zugängliche Cloud-Speicher-Buckets und unnötig aktivierte Funktionen sind weit verbreitet. Jede getestete Anwendung wies irgendeine Form von Fehlkonfiguration auf. Dies ist kein Nischenrisiko, sondern nahezu universell.
  4. Risiken durch KI-generierten Code rücken in den Fokus von OWASP. KI hat es zwar nicht in die Top Ten geschafft, wird aber im Abschnitt „Nächste Schritte“ erwähnt. Unter dem Titel „Unangemessenes Vertrauen in KI-generierten Code“ – umgangssprachlich als „Vibe Coding“-Problem bezeichnet – wird anerkannt, dass Entwickler KI-generierten Code ausliefern, ohne ihn vollständig zu prüfen. Die Entwicklung ist klar: Risiken durch KI-generierten Code werden künftig eine größere Rolle spielen.
  5. Zwei neue Kategorien spiegeln einen Fokus auf Ursachen wider. Die Ausgabe 2025 führt Fehler in der Software-Lieferkette auf Platz drei und fehlerhafte Behandlung von Ausnahmebedingungen auf Platz zehn ein. SSRF wurde in die fehlerhafte Zugriffskontrolle integriert. Diese Änderungen zeigen OWASPs bewusste Ausrichtung auf die Ursachen statt auf Symptome – und die Erkenntnis, dass sichere Software auch sicher scheitern muss.

Fehlerhafte Zugriffskontrolle: 22 Jahre auf Platz eins

Fehlerhafte Zugriffskontrolle ist die Schwachstelle, die nicht verschwindet. Sie umfasst inzwischen 40 CWEs – mehr als jede andere Kategorie – und deckt Privilegieneskalation, unsichere direkte Objektverweise, CORS-Fehlkonfigurationen und Token-Manipulation ab. Auch SSRF wurde integriert, da viele SSRF-Schwachstellen letztlich Zugriffskontrollprobleme sind.

Jeff Williams, der die ursprünglichen OWASP Top 10 entwickelte, erklärt die Beständigkeit: „Jeder versucht, eigene Authentifizierungs- und Zugriffskontrollmechanismen zu entwickeln.“ Eine typische Webanwendung kann hundert Endpunkte für zwanzig verschiedene Rollen haben. „Die meisten prüfen ihre Anwendung nur aus der Sicht einer Rolle“, so Williams. „Das ist sehr schwer zu verifizieren.“

Die Erkenntnis ist unbequem: Die Branche löst dieses Problem nicht. Unternehmen, die auf eigene Zugriffskontrollmechanismen setzen, übernehmen ein Risiko, das seit zwei Jahrzehnten besteht, weil sie immer wieder selbst entwickeln, statt getestete, zweckgebundene Frameworks wie RBAC und ABAC zu nutzen.

Sie vertrauen auf die Sicherheit Ihres Unternehmens. Doch können Sie es auch nachweisen?

Jetzt lesen

Fehlkonfigurationen steigen auf Platz zwei

Fehlkonfigurationen sind vom fünften auf den zweiten Platz aufgestiegen, weil die Cloud-Einführung Systeme deutlich konfigurierbarer gemacht hat – und mehr Konfigurationsmöglichkeiten bedeuten mehr Chancen für Fehler.

Die Kategorie umfasst nie geänderte Standardzugangsdaten, unnötig aktivierte Funktionen, ausführliche Fehlermeldungen, die Systemarchitektur offenlegen, und öffentlich zugängliche Cloud-Speicher-Buckets. Das sind keine ausgeklügelten Angriffsvektoren, sondern Konfigurationsfehler, die Angreifern Tür und Tor öffnen.

Mit zunehmender Komplexität von Cloud-Umgebungen – über mehrere Anbieter, Regionen und Services hinweg – wächst auch die Angriffsfläche für Fehlkonfigurationen. Unternehmen müssen Konfiguration als Sicherheitsdisziplin behandeln: sichere Standardeinstellungen, automatisierte Validierung und erzwungene Passwortänderungen sollten selbstverständlich sein.

Fehler in der Software-Lieferkette debütieren auf Platz drei

Dies ist die bedeutendste strukturelle Änderung in der Liste 2025. Fehler in der Software-Lieferkette ersetzen die bisher engere Kategorie „Verwundbare und veraltete Komponenten“ und erweitern den Fokus auf die gesamte Build-, Distributions- und Update-Pipeline.

Tanya Janca beschreibt den Wandel: „Es geht nicht mehr nur darum, eine Bibliothek mit fragwürdigen Abhängigkeiten einzubinden.“ Heute gibt es gezielte Angriffe auf IDEs, CI/CD-Pipelines, Plugins, Repositorys und Entwicklerarbeitsplätze. „Die gesamte Software-Lieferkette steht aktuell im Fokus der Angreifer.“

Fünfzig Prozent der befragten Sicherheitsexperten sehen Risiken in der Lieferkette als ihre größte Sorge – der höchste Konsens aller Kategorien. Schutz erfordert Software-Stücklisten, Code-Signierung, gehärtete Build-Umgebungen, Schwachstellenscans für transitive Abhängigkeiten und sichere Update-Mechanismen mit Integritätsprüfung.

Was sich sonst verändert hat – und was neu ist

Kryptografische Fehler (Platz vier) sind vom zweiten Platz abgerutscht – nicht, weil Verschlüsselungsprobleme seltener wären, sondern weil andere Risiken schneller gewachsen sind. Die Übertragung sensibler Daten im Klartext, schwache Algorithmen und mangelhafte Zertifikatsprüfung sind weiterhin weit verbreitet. FIPS-validierte Kryptografie und TLS 1.3 bilden den aktuellen Standard für belastbare Verschlüsselung.

Injection (Platz fünf) sinkt weiter langsam ab. Moderne Frameworks mit parametrisierten Abfragen und Output-Encoding haben die Häufigkeit reduziert, das Risiko ist aber keineswegs beseitigt.

Unsicheres Design (Platz sechs) ist leicht nach unten gerutscht und spiegelt Verbesserungen beim Threat Modeling wider. Die Kategorie erinnert daran, dass nachträglich aufgesetzte Sicherheit kein System absichern kann, das nie für Sicherheit konzipiert wurde.

Fehler bei der Authentifizierung (Platz sieben) umfassen Brute-Force-Angriffe, schwache Passwörter, offengelegte Sitzungs-IDs und fehlende MFA. In Zeiten KI-gestützter Phishing-Angriffe ist das Fehlen von Multi-Faktor-Authentifizierung für sensible Funktionen eine immer weniger vertretbare Lücke.

Fehler bei Software- oder Datenintegrität (Platz acht) betreffen Vertrauen ohne Verifizierung – unsignierte Updates, ungeprüfte Plugins und CI/CD-Pipelines, die Artefakte ohne Integritätsprüfung akzeptieren.

Fehler beim Security Logging und Alerting (Platz neun) bleibt auf seiner Position, aber mit einer wichtigen Änderung: „Alerting“ wurde explizit in den Kategorienamen aufgenommen. OWASP macht klar: Logging ohne Alerting bringt wenig. Unternehmen brauchen Audit-Trails gepaart mit Echtzeit-Alarmierung und SIEM-Integration, um aus Datensammlung eine sinnvolle Erkennung zu machen.

Fehlerhafte Behandlung von Ausnahmebedingungen (Platz zehn) ist komplett neu. Sie umfasst Fehler beim Error Handling und in Randfällen, die zu Informationslecks oder Umgehung von Sicherheitsmaßnahmen führen. OWASP-Projektleiter Brian Glas merkt an, dass diese Kategorie jahrelang knapp außerhalb der Top Ten lag. „Wenn wir rein datengetrieben vorgehen würden“, sagt er, „hätten wir keine genaue Liste, da sie nur in die Vergangenheit blicken würde.“

Die „Vibe Coding“-Warnung

KI hat es nicht in die Top Ten geschafft. Aber der OWASP-Abschnitt „Nächste Schritte“ – „Unangemessenes Vertrauen in KI-generierten Code“ – ist ein Warnsignal, das ernst genommen werden sollte.

Tanya Janca ist offen: „Auch wenn wir keine Daten haben, die belegen, dass KI-generierter Code deutlich mehr Risiken verursacht als von Menschen geschriebener Code, hielten wir es dank Community-Feedback, Berufserfahrung und ständiger Online-Berichte für sinnvoll, einen Abschnitt aufzunehmen.“

Ihr Rat: KI-generierten Code vor dem Commit sorgfältig lesen und verstehen. Wenn sich der Einsatz von KI-Code-Generierung weiter beschleunigt, wird diese Kategorie voraussichtlich in einer künftigen Ausgabe in die Top Ten aufsteigen. Unternehmen, die jetzt Review-Prozesse für KI-generierten Code etablieren, sind im Vorteil.

Kiteworks: Speziell entwickelte Sicherheit für anhaltende Schwachstellen

Die OWASP Top 10 zeigen ein klares Muster: Die meisten Webanwendungen werden mit Fokus auf Funktionalität und nicht auf Sicherheit entwickelt. Kiteworks setzt genau hier an.

Für fehlerhafte Zugriffskontrolle bietet Kiteworks Zero-Trust-Verifizierung bei jeder Anfrage, rollen- und attributbasierte Zugriffskontrolle, standardmäßig Least-Privilege-Prinzip und vollständige Audit-Trails. Im Gegensatz zu Anwendungen mit selbstgebauter Zugriffskontrolle liefert Kiteworks vorgefertigte, getestete Kontrollen für sensible Datenkommunikation – und eliminiert so die OWASP-Top-1-Schwachstelle durch Architektur.

Für Fehler in der Lieferkette betreibt Kiteworks einen gehärteten SDLC mit isolierten CI/CD-Pipelines, Code-Signierung, SBOMs und kontinuierlichem Schwachstellenscanning – und steuert den Datenaustausch mit Drittparteien über zeitlich begrenzte, klar definierte Berechtigungen.

Bei Fehlkonfigurationen liefert die Plattform sichere Standardeinstellungen mit automatisierter Validierung und erzwungenen Passwortänderungen. Für kryptografische Fehler bietet sie FIPS 140-3-validierte Kryptografie und TLS 1.3. Für Authentifizierung setzt Kiteworks MFA, starke Passwortregeln und Enterprise-SSO durch. Für Logging liefert Kiteworks manipulationssichere Audit-Trails mit SIEM-Integration, Echtzeit-Alarmierung und vorgefertigte Compliance-Berichte für DSGVO, HIPAA, CMMC und andere Frameworks.

Filesharing-Plattformen für Endverbraucher ermöglichen geteilte Links, die Zugriffskontrollen umgehen und bieten nur eingeschränkte Audit-Trails. E-Mail-Plattformen bleiben anfällig für Weiterleitungen, die Governance und KI-gestütztes Phishing umgehen. Legacy-MFT-Lösungen bringen komplexe Konfigurationen mit, die das Fehlkonfigurationsrisiko erhöhen. Kiteworks bietet die Security-by-Design-Architektur, die die OWASP Top 10 der Branche seit 22 Jahren empfiehlt – und das fortlaufend.

Erfahren Sie, wie Kiteworks Sie unterstützen kann – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Die OWASP Top 10 2025 identifizieren fehlerhafte Zugriffskontrolle als kritischste Schwachstelle für Webanwendungen – eine Position, die sie seit 2003 innehat. Fehlkonfigurationen sind auf Platz zwei gestiegen, Fehler in der Software-Lieferkette debütieren auf Platz drei. Zusammen machen diese drei Kategorien den Großteil realer Datenschutzverstöße aus. Unternehmen, die keine speziell entwickelten Zugriffskontrollen und sichere Standardeinstellungen implementieren, bleiben denselben Risiken ausgesetzt, die die Liste seit zwei Jahrzehnten dominieren.

Angriffe auf die Software-Lieferkette kompromittieren den Build-, Distributions- oder Update-Prozess, statt Anwendungen direkt anzugreifen. Angreifer schleusen Schadcode in Open-Source-Bibliotheken ein, manipulieren CI/CD-Pipelines oder kompromittieren Entwicklerarbeitsplätze. Fünfzig Prozent der Sicherheitsexperten sehen Risiken in der Lieferkette als ihre größte Sorge. Schutz erfordert Software-Stücklisten, Code-Signierung, gehärtete Build-Umgebungen und konsequentes Drittparteien-Risikomanagement für jede Abhängigkeit – nicht nur direkte.

Fehlkonfigurationen finden sich praktisch in jeder getesteten Anwendung, weil die Cloud-Einführung Systeme deutlich konfigurierbarer gemacht hat – und damit mehr Möglichkeiten für Fehler bietet. Unveränderte Standardzugangsdaten, öffentlich zugängliche Speicher-Buckets und ausführliche Fehlermeldungen, die Systemarchitektur offenlegen, sind häufige Ursachen. Das Problem verschärft sich, wenn Unternehmen mehrere Cloud-Anbieter und Infrastructure-as-Code-Umgebungen nutzen. Sichere Standardeinstellungen und automatisierte Konfigurationsvalidierung sind der einzige skalierbare Schutz bei dieser Komplexität.

Der Abschnitt „Nächste Schritte“ der OWASP Top 10 2025 hebt „Unangemessenes Vertrauen in KI-generierten Code“ – auch als „Vibe Coding“-Problem bekannt – als aufkommendes Risiko mit Potenzial für die Top Ten hervor. Entwickler übernehmen KI-generierten Code, ohne ihn vollständig zu prüfen, wodurch Schwachstellen entstehen, die kein automatischer Scanner erkennt, weil kein Mensch die Logik verstanden hat. Die Lösung ist einfach: Behandeln Sie KI-generierten Code wie jede nicht vertrauenswürdige Eingabe. Lesen, verstehen und testen Sie ihn, bevor er produktiv eingesetzt wird. Audit-Trails, die die Herkunft des Codes dokumentieren, werden mit zunehmendem Risiko immer wichtiger.

Die Ausrichtung der Sicherheitskontrollen an den OWASP Top 10 beginnt mit den Top 3: Durchsetzung von Least-Privilege-Zugriffskontrollen mit getesteten Frameworks statt Eigenentwicklungen, Validierung von Konfigurationen anhand sicherer Standardeinstellungen und vollständige Inventarisierung aller Drittparteien-Abhängigkeiten in der Build-Pipeline. Kryptografische Fehler lassen sich durch FIPS-validierte Kryptografie und TLS 1.3 adressieren. MFA sollte für alle Authentifizierungsprozesse verpflichtend sein. Und die Logging-Lücke wird geschlossen, indem Audit-Trails mit Echtzeit-Alarmierung und SIEM-Integration kombiniert werden – Logging ohne Alarmierung ist keine Erkennung.

Weitere Ressourcen

  • Blogbeitrag Zero Trust Architecture: Never Trust, Always Verify
  • Video Microsoft GCC High: Nachteile, die Verteidigungsunternehmen zu intelligenteren Lösungen bewegen
  • Blogbeitrag Wie man klassifizierte Daten schützt, nachdem DSPM sie erkannt hat
  • Blogbeitrag Vertrauen in generative KI mit einem Zero Trust-Ansatz aufbauen
  • Video Der ultimative Leitfaden für die sichere Speicherung sensibler Daten für IT-Führungskräfte

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks