OWASP Top 10 : Offizielle Liste, Änderungen und was Entwickler wissen müssen

Die OWASP Top 10 sind offiziell da und bringen zwei große Neuerungen mit sich. Sie spiegeln wider, wie sich die Softwaresicherheit in Richtung komplexer, miteinander verbundener Risiken wie Lieferkettenintegrität und Fehlerbehandlung verschoben hat. Für Entwickler und Sicherheitsteams ist es unerlässlich, diese Veränderungen zu verstehen, um die Widerstandsfähigkeit von Anwendungen zu gewährleisten.

OWASP betont, dass die Top 10 ein Dokument zur Sensibilisierung und kein vollständiger Standard sind. Sie sollen die kritischsten Risiken hervorheben und nicht als vollständiges Sicherheitsframework dienen. Für Organisationen, die noch weiter gehen möchten, empfiehlt OWASP die Verwendung von Reifegrad- und Verifizierungsmodellen wie SAMM (Software Assurance Maturity Model), DSOMM (DevSecOps Model) und ASVS (Application Security Verification Standard).

Weitere Informationen zu den OWASP Top 10 finden Sie in diesem Artikel.

Was hat sich in den OWASP Top 10 2025 geändert?

Die Ausgabe 2025 führt zwei neue Kategorien und eine Konsolidierung ein.

• A03: Software Supply Chain Failures erweitert die Kategorie „Anfällige und veraltete Komponenten“ aus dem Jahr 2021 und deckt das gesamte Software-Ökosystem ab, einschließlich Abhängigkeiten, Build-Systemen und Vertriebsinfrastruktur.
  
  
• A10: Der falsche Umgang mit Ausnahmebedingungen ist ein völlig neues Thema, das die Bedeutung einer sicheren Fehlerbehandlung und Ausfallsicherheit unterstreicht.
  ‍
• Was bisher A10:2021: Server-Side Request Forgery (SSRF) war, wurde in A01:2025 – fehlerhafte Zugriffskontrolle
  konsolidiert.
  
• Unterdessen behalten A01: fehlerhafte Zugriffskontrolle und A02: Sicherheitsfehlkonfiguration ihre Spitzenpositionen und zeigen, dass grundlegende Sicherheitspraktiken nach wie vor von entscheidender Bedeutung sind.

Kurz gesagt, OWASP 2025 verlagert den Fokus von isolierten Codefehlern auf systemische Schwachstellen, die sich über den gesamten Entwicklungslebenszyklus erstrecken.

Die OWASP Top 10

Nachfolgend finden Sie die vollständige Liste der Kategorien der OWASP Top 10 sowie eine kurze Zusammenfassung jeder Kategorie.

A03:2025 – Ausfälle in der Software-Lieferkette

Die OWASP Top 10 hebt Software-Lieferkettenausfälle als eines der dringendsten Risiken in der modernen Softwaresicherheit hervor. OWASP nennt nun ausdrücklich Malware in Software-Ökosystemen, darunter bösartige Pakete, kompromittierte Maintainer und manipulierte Build-Prozesse, als führende Bedrohungen für die Anwendungssicherheit.

Diese Angriffe beginnen selten in der Produktion. Sie beginnen auf der Workstation des Entwicklers. Durch die Kompromittierung von Abhängigkeiten oder das Einschleusen von Malware in weit verbreitete Pakete können Angreifer Zugriff auf Umgebungen erhalten, die von Natur aus vertrauenswürdig sind. Einmal drinnen, kann sich eine einzige bösartige Abhängigkeit innerhalb weniger Stunden durch CI-Systeme, Container und Cloud-Umgebungen bewegen, oft ohne dass herkömmliche Scanner dies bemerken.

Aikido hat diesen Wandel aus nächster Nähe miterlebt. Im Laufe des Jahres 2025 haben wir mehrere der größten Sicherheitsverletzungen in der Lieferkette identifiziert und analysiert, die jeweils ein klares Beispiel für A03 in der Praxis sind:

• Shai Hulud, eine heimliche Malware-Kampagne, die in npm-Paketen versteckt war und über transitive Abhängigkeiten Anmeldedaten und Tokens abgriff.
• S1ngularity, eine Dependency-Confusion-Operation, die Namenskonflikte und interne Spiegel ausnutzte, um Entwickler-Workstations und CI zu infiltrieren.
• Der Malware-Ausbruch im September, bei dem beliebte Bibliotheken wie chalk, debug und ansi-regex infiziert und millionenfach heruntergeladen wurden, bevor Aikido die Kompromittierung Aikido und eskalierte.
• Der Trojaner React-Native-Aria, der eine Remote-Access-Payload in legitime npm-Releases einschleuste und durch Aikido Anomalieerkennung frühzeitig entdeckt wurde.

Während dieser Vorfälle wandten sich viele Organisationen an Aikido genaue Informationen und Anleitungen Aikido . Sie nutzten unsere Updates, um Risiken zu ermitteln, Abhängigkeiten zu überprüfen und zu reagieren, bevor sich der Schaden ausbreitete.

Diese Erweiterung des Tätigkeitsbereichs von OWASP spiegelt wider, was viele Sicherheitsverantwortliche bereits erleben. Der Bericht „State of AI in Security & Development 2026” Aikidohat ergeben, dass jeder dritte Sicherheitsverantwortliche aufgrund einer schlechten Integration der Tools Risiken übersehen hat und 38 % Lücken in der Transparenz über den gesamten Entwicklungs- oder Bereitstellungszyklus hinweg melden. Das Ergebnis ist eine Transparenzlücke, die Angreifer über vertrauenswürdige Lieferketten ausnutzen.

Aikido diese Lücke zu schließen. Mit Aikido für Live-Bedrohungsfeeds, Safe Chain für die Überprüfung vorinstallierter Pakete und einem einheitlichen Abhängigkeitsdiagramm für Code, Container und Cloud können Teams genau sehen, wo Schwachstellen mit tatsächlichen Risiken zusammentreffen. Aikido erkennt Aikido nur kompromittierte Pakete, sondern blockiert sie auch, bevor sie überhaupt in die Produktion gelangen.

Für viele Unternehmen ist A03 die relevanteste Kategorie in den OWASP Top 10 , da sie widerspiegelt, wie Software heute tatsächlich entwickelt und angegriffen wird. Die Lieferkette ist zum neuen Perimeter geworden, und Aikido Teams die Transparenz, Automatisierung und Intelligenz, um sie zu verteidigen.

A10:2025 – Unsachgemäßer Umgang mit außergewöhnlichen Bedingungen

Die neueste Kategorie, A10: Unsachgemäßer Umgang mit Ausnahmebedingungen, konzentriert sich darauf, wie Systeme versagen. Eine schlechte Fehlerbehandlung, logische Fehler und unsichere Fehlerzustände können alle zur Offenlegung sensibler Daten oder zu Denial-of-Service-Bedingungen führen.

OWASP stellt fest, dass viele dieser Schwachstellen früher unter „mangelhafte Codequalität” zusammengefasst wurden, nun aber eine eigene Kategorie verdienen.

Häufige Probleme sind:

• Fehlermeldungen, die sensible Details offenlegen
  
  
• Privilegienverwaltungslogik, die bei Ausfall offen bleibt
  
  
• Inkonsistente Ausnahmebehandlung
  
  
• Unbehandelte Speicher- oder Eingabefehler
  
  

Diese Kategorie unterstreicht die Vorstellung, dass es bei sicherer Software nicht nur darum geht, Angriffe zu verhindern, sondern auch darum, bei Fehlern sicher und vorhersehbar zu versagen.

Der Fokus von OWASP auf Resilienz und sicheres Scheitern berührt auch ein umfassenderes kulturelles Thema. Derselbe Aikido ergab, dass Entwickler und Sicherheitsteams häufig uneinig sind, wer für sichere Codierungspraktiken verantwortlich ist. Diese Unklarheit führt oft zu inkonsistenter Fehlerbehandlung oder unvollständigen Tests – genau die Art von Ausfällen, die A10 verhindern möchte.

OWASP empfiehlt Unternehmen außerdem, den Reifegrad ihrer Anwendungssicherheitsprogramme mithilfe von Frameworks wie SAMM oder DSOMM zu messen. Das Ziel besteht nicht darin, alle Anforderungen zu erfüllen, sondern zu ermitteln, wo Transparenz, Automatisierung und Konsistenz die größte Wirkung erzielen können.

Wie Aikido helfen Aikido

Die OWASP Top 10 unterstreicht die Notwendigkeit von Transparenz in allen Bereichen der Softwareentwicklung. Aikido Teams diese Klarheit, indem es Signale aus Code, Abhängigkeiten, Containern und Cloud-Infrastruktur zusammenführt.

• Aikido bietet Bedrohungsaufklärung und kennzeichnet kompromittierte Pakete und CVEs, sobald sie auftreten.
  
  
• Safe Chain, der Open-Source-Paketprüfer Aikido, überprüft vor der Installation die Abhängigkeiten von npm, yarn und pnpm und blockiert bösartige Versionen.
  
  
• Einheitliche Abhängigkeitsgraphen verbinden Ihren Code, Ihre Container und Ihre Cloud, um zu zeigen, wie transitive Abhängigkeiten mit Ihren Produktionssystemen interagieren, wodurch Fehlalarme reduziert und echte Exploit-Pfade aufgedeckt werden.
  
  
• SBOM hilft Teams dabei, ihre gesamte Software-Lieferkette sofort einzusehen, was die Transparenz und compliance verbessert.
  
  
• OWASP Top 10 gibt Ihnen einen klaren Überblick darüber, wie Ihre Umgebung in jeder Kategorie abschneidet, und enthält praktische Hinweise zur Verbesserung.
  
  

Aikido Ihnen dabei, die Risiken zu bewältigen, die in den OWASP Top 10 genannt werden, indem es Ihnen den Kontext zu den wichtigen Punkten liefert und Ihnen die Automatisierung bietet, um entsprechend zu handeln.

Aufbau eines modernen Anwendungssicherheitsprogramms

Um eine solide AppSec zu schaffen, empfiehlt OWASP einen risikobasierten Ansatz für Ihr Software-Portfolio, die Erstellung wiederverwendbarer Sicherheitskontrollen und -richtlinien, die Integration von Sicherheit in jede SDLC-Phase, Investitionen in die Schulung von Entwicklern und die Verfolgung des Fortschritts anhand von Kennzahlen. Zusammen schaffen diese Schritte eine Kultur, in der sichere Entwicklung Teil der täglichen Praxis ist und kein separater Prozess.

Warum die OWASP Top 10 nach wie vor wichtig sind

Die OWASP Top 10 eine der wertvollsten Ressourcen für Entwicklungs- und Sicherheitsteams. Sie sind nicht nur eine Checkliste, sondern spiegeln auch wider, wo in der Praxis Risiken auftreten. Indem Sie Ihre Sicherheitsprozesse daran ausrichten, können Sie Ihre Software-Lieferkette stärken, die Codequalität verbessern und Sicherheit zu einem selbstverständlichen Bestandteil der Entwicklung machen. Für Unternehmen, die einen messbaren, überprüfbaren Standard wünschen, empfiehlt OWASP, die Top 10 mit dem Application Security Verification Standard (ASVS) zu kombinieren, der das Bewusstsein in überprüfbare Sicherheitspraktiken umsetzt. Aikido dies, indem es Ihre OWASP-Abdeckung automatisch abbildet, kritische Schwachstellen erkennt und Ihnen hilft, diese schneller zu beheben.

Scannen Sie Ihre Umgebung noch heute mit Aikido , um zu sehen, wie Ihr Stack im Vergleich zu den OWASP Top 10 abschneidet und worauf Sie sich als Nächstes konzentrieren sollten.

​