Die OWASP Top 10 2025 ist offiziell eingetroffen und bringt zwei große Updates mit sich. Sie spiegelt wider, wie sich die Softwaresicherheit hin zu komplexen, miteinander verbundenen Risiken wie Lieferkettenintegrität und Fehlerbehandlung verschoben hat. Für Entwickelnde und Sicherheitsteams ist das Verständnis dieser Änderungen unerlässlich, um Anwendungen widerstandsfähig zu halten.
OWASP betont, dass die Top 10 ein Sensibilisierungsdokument und kein vollständiger Standard ist. Sie wurde entwickelt, um die kritischsten Risiken hervorzuheben, nicht um als vollständiges Sicherheits-Framework zu dienen. Für Organisationen, die weiter gehen möchten, empfiehlt OWASP die Verwendung von Reifegrad- und Verifizierungsmodellen wie SAMM (Software Assurance Maturity Model), DSOMM (DevSecOps Maturity Model) und ASVS (Application Security Verification Standard).
Für weitere Informationen darüber, worum es bei der OWASP Top 10 geht, lesen Sie diesen Artikel.
Was hat sich in den OWASP Top 10 für 2025 geändert?
Die Ausgabe 2025 führt zwei neue Kategorien und eine Konsolidierung ein.
- A03: Fehler in der Software-Lieferkette erweitert die Kategorie von 2021 „Anfällige und veraltete Komponenten“ und deckt das gesamte Software-Ökosystem ab, einschließlich Abhängigkeiten, Build-Systemen und Verteilungs-Infrastruktur.
- A10: Unsachgemäße Behandlung von Ausnahmezuständen ist völlig neu und unterstreicht die Bedeutung einer sicheren Fehlerbehandlung und Resilienz.
- Was A10:2021: Server-Side Request Forgery (SSRF) war, wurde in A01:2025 – fehlerhafte Zugriffskontrolle konsolidiert.
- Unterdessen behalten A01: fehlerhafte Zugriffskontrolle und A02: Sicherheitsfehlkonfiguration ihre Spitzenpositionen, was zeigt, dass grundlegende Sicherheitspraktiken weiterhin entscheidend sind.
Kurz gesagt, OWASP 2025 verlagert den Fokus von isolierten Code-Schwachstellen auf systemische Schwachstellen, die den gesamten Entwicklungslebenszyklus umfassen.
Die OWASP Top 10 2025
Nachfolgend finden Sie die vollständige Liste der Kategorien in den OWASP Top 10 2025, zusammen mit einer kurzen Zusammenfassung jeder Kategorie.
A03:2025 – Fehler in der Software-Lieferkette
Die OWASP Top 10 2025 hebt Fehler in der Software-Lieferkette als eines der dringendsten Risiken in der modernen Softwaresicherheit hervor. OWASP benennt nun explizit Malware in Software-Ökosystemen, einschließlich bösartiger Pakete, kompromittierter Maintainer und manipulierter Build-Prozesse, als führende Bedrohungen für die Anwendungssicherheit.
Diese Angriffe beginnen selten in der Produktion. Sie starten auf der Entwickelnden-Workstation. Durch die Kompromittierung von Abhängigkeiten oder das Einschleusen von Malware in weit verbreitete Pakete können Angreifer Zugang zu Umgebungen erhalten, denen von Natur aus vertraut wird. Einmal eingeschleust, kann eine einzelne bösartige Abhängigkeit innerhalb von Stunden CI-Systeme, Container und Cloud-Umgebungen durchlaufen, oft ohne traditionelle Scanner auszulösen.
Aikido Security hat diese Verschiebung hautnah miterlebt. Im Laufe des Jahres 2025 haben wir mehrere der größten Kompromittierungen der Lieferkette identifiziert und analysiert, wobei jede ein klares Beispiel für A03 in der Praxis darstellt:
- Shai Hulud, eine heimliche Malware-Kampagne, die in npm-Paketen versteckt war und Anmeldeinformationen und Tokens über transitive Abhängigkeiten exfiltrierte.
- S1ngularity, eine Dependency-Confusion-Operation, die Namenskollisionen und interne Mirrors ausnutzte, um Entwickelnden-Workstations und CI zu infiltrieren.
- Der npm-Malware-Ausbruch im September, bei dem beliebte Bibliotheken wie chalk, debug und ansi-regex vergiftet und millionenfach heruntergeladen wurden, bevor Aikido die Kompromittierung entdeckte und eskalierte.
- Der React-Native-Aria-Trojaner, der eine Remote-Access-Payload in legitime npm-Releases einschleuste und frühzeitig durch die Anomalieerkennung von Aikido Intel entdeckt wurde.
Während dieser Vorfälle wandten sich viele Organisationen an Aikido, um präzise Informationen und Anleitungen zu erhalten, und nutzten unsere Updates, um die Exposition zu bestimmen, Abhängigkeiten zu validieren und zu reagieren, bevor sich der Schaden ausbreitete.
Diese Erweiterung des OWASP-Umfangs spiegelt wider, was viele Sicherheitsverantwortliche bereits erleben. Der State of AI in Security & Development 2026-Bericht von Aikido ergab, dass 1 von 3 Sicherheitsverantwortlichen Risiken aufgrund schlechter Integration zwischen Tools übersehen hat und 38 % Lücken in der Transparenz über den gesamten Entwicklungs- oder Bereitstellungslebenszyklus hinweg melden. Das Ergebnis ist eine Sichtbarkeitslücke, die Angreifer über vertrauenswürdige Lieferketten ausnutzen.
Aikido hilft, diese Lücke zu schließen. Mit Aikido Intel für Live-Bedrohungsfeeds, Safe Chain für die Paketverifizierung vor der Installation und einem einheitlichen Abhängigkeitsgraphen über Code, Container und Cloud hinweg können Teams genau sehen, wo sich Schwachstellen mit tatsächlicher Exposition überschneiden. Aikido erkennt nicht nur kompromittierte Pakete, sondern blockiert sie auch, bevor sie die Produktion erreichen.
Für viele Organisationen ist A03 die relevanteste Kategorie im OWASP Top 10 2025, da sie widerspiegelt, wie Software heute tatsächlich entwickelt und angegriffen wird. Die Lieferkette ist zum neuen Perimeter geworden, und Aikido bietet Teams die nötige Transparenz, Automatisierung und Intelligenz, um sie zu verteidigen.
A10:2025 – Fehlerhafte Behandlung von Ausnahmezuständen
Die neueste Kategorie, A10: Fehlerhafte Behandlung von Ausnahmezuständen, konzentriert sich darauf, wie Systeme versagen. Schlechte Fehlerbehandlung, logische Fehler und unsichere Fehlerzustände können alle zur Offenlegung sensibler Daten oder zu Denial-of-Service-Bedingungen führen.
OWASP merkt an, dass viele dieser Schwachstellen früher unter „schlechte Codequalität“ gruppiert wurden, aber jetzt eine eigene Kategorie verdienen.
Häufige Probleme sind:
- Fehlermeldungen, die sensible Details preisgeben
- Logik zur Rechteverwaltung, die im Fehlerfall offen bleibt
- Inkonsistente Ausnahmebehandlung
- Unbehandelte Speicher- oder Eingabefehler
Diese Kategorie unterstreicht die Idee, dass es bei sicherer Software nicht nur darum geht, Angriffe zu verhindern, sondern auch darum, bei Fehlern sicher und vorhersehbar zu versagen.
Der Fokus von OWASP auf Resilienz und sicheres Versagen berührt auch ein breiteres kulturelles Thema. Derselbe Aikido-Bericht ergab, dass Entwickelnde und Sicherheitsteams häufig uneinig darüber sind, wer für sichere Codierungspraktiken verantwortlich ist. Dieser Mangel an Klarheit führt oft zu inkonsistenter Fehlerbehandlung oder unvollständigen Tests, den Arten von Ausfällen, die A10 verhindern soll.
OWASP empfiehlt Organisationen außerdem, die Reife ihrer Anwendungssicherheitsprogramme mithilfe von Frameworks wie SAMM oder DSOMM zu messen. Ziel ist es nicht, jede Anforderung zu erfüllen, sondern zu identifizieren, wo Transparenz, Automatisierung und Konsistenz den größten Einfluss haben können.
Wie Aikido helfen kann
Das OWASP Top 10 2025 unterstreicht die Notwendigkeit von Transparenz über jede Ebene der Softwareentwicklung hinweg. Aikido verschafft Teams diese Klarheit, indem es Signale aus Code, Abhängigkeiten, Containern und Cloud-Infrastruktur vereinheitlicht.
- Aikido Intel bietet Echtzeit-Bedrohungsaufklärung, die kompromittierte Pakete und CVEs kennzeichnet, sobald sie erscheinen.
- Safe Chain, Aikidos Open-Source-Paketprüfer, prüft npm-, yarn- und pnpm-Abhängigkeiten vor der Installation und blockiert bösartige Versionen.
- Einheitliche Abhängigkeitsgraphen verbinden Ihren Code, Container und die Cloud, um zu zeigen, wie transitive Abhängigkeiten mit Ihren Produktionssystemen interagieren, wodurch Fehlalarme reduziert und reale Exploit-Pfade aufgedeckt werden.
- SBOM generation hilft Teams, ihre gesamte Software-Lieferkette sofort einzusehen, wodurch Transparenz und Compliance verbessert werden.
- OWASP Top 10 scoring bietet Ihnen einen klaren Überblick darüber, wie Ihre Umgebung im Vergleich zu jeder Kategorie abschneidet, mit praktischen Anleitungen zur Verbesserung.
Aikido hilft Ihnen, die Risiken zu managen, die das OWASP Top 10 2025 aufzeigt, indem es Ihnen Kontext zu dem gibt, was wichtig ist, und Automatisierung, um darauf zu reagieren.
Aufbau eines modernen Anwendungssicherheitsprogramms
Um eine starke AppSec-Grundlage zu schaffen, empfiehlt OWASP einen risikobasierten Ansatz für Ihr Software-Portfolio, wiederverwendbare Sicherheitskontrollen und -richtlinien zu erstellen, Sicherheit in jede SDLC-Phase zu integrieren, in die Weiterbildung von Entwickelnden zu investieren und den Fortschritt mit Metriken zu verfolgen. Zusammen bilden diese Schritte eine Kultur, in der sichere Entwicklung Teil der täglichen Praxis ist und nicht ein separater Prozess.
Warum das OWASP Top 10 2025 immer noch wichtig ist
Das OWASP Top 10 bleibt eine der wertvollsten Ressourcen für Entwicklungs- und Sicherheitsteams. Es ist nicht nur eine Checkliste, sondern ein Spiegelbild, wo reale Risiken entstehen. Indem Sie Ihre Sicherheitsprozesse daran ausrichten, können Sie Ihre Software-Lieferkette stärken, die Codequalität verbessern und Sicherheit zu einem natürlichen Bestandteil der Entwicklung machen. Für Organisationen, die einen messbaren, testbaren Standard wünschen, empfiehlt OWASP, das Top 10 mit dem Application Security Verification Standard (ASVS) zu kombinieren, der Bewusstsein in überprüfbare Sicherheitspraktiken umwandelt. Aikido erleichtert dies, indem es Ihre OWASP-Abdeckung automatisch abbildet, kritische Schwachstellen erkennt und Ihnen hilft, diese schneller zu beheben.
Scannen Sie Ihre Umgebung noch heute mit Aikido Security, um zu sehen, wie Ihr Stack im Vergleich zum OWASP Top 10 2025 abschneidet und wo Sie als Nächstes ansetzen sollten.
