← Zurück zum Blog Sicherheit

OWASP Top 10: Die Schwachstellen, die Jedes Unternehmen Kennen Sollte

Envestis Team 22 Min. Lesezeit

Warum die OWASP Top 10 fur Ihr Unternehmen Wichtig Sind

Das Open Web Application Security Project (OWASP) veroffentlicht seine Top-10-Liste etwa alle drei bis vier Jahre. Sie reprasentiert einen breiten Konsens uber die kritischsten Sicherheitsrisiken fur Webanwendungen. Wenn Sie eine Website oder Webanwendung betreiben, die Benutzerdaten, Kundentransaktionen oder interne Geschaftsprozesse verarbeitet, ist diese Liste Ihre Grundlage.

Die OWASP Top 10 sind keine akademische Ubung. Sie werden von Auditoren, Compliance-Frameworks (PCI DSS beispielsweise erwahnt sie explizit) und Penetrationstestern weltweit referenziert. Fur eine breitere Sicht auf die Sicherheitsprufung Ihrer Website siehe unsere Website-Sicherheits-Audit-Checkliste.

A01:2021 - Fehlerhafte Zugriffskontrolle

Fehlerhafte Zugriffskontrolle ruckte in der Ausgabe 2021 auf den ersten Platz, von Platz funf zuvor. Sie bezieht sich auf Situationen, in denen Benutzer ausserhalb ihrer vorgesehenen Berechtigungen handeln konnen.

Wie Es Aussieht

Stellen Sie sich eine Webanwendung vor, bei der Ihr Profil unter /api/users/1234/profile angezeigt wird. Was passiert, wenn Sie die ID in /api/users/1235/profile andern? Wenn Sie die Daten eines anderen Benutzers sehen konnen, ist das fehlerhafte Zugriffskontrolle. Dieses Muster heisst Insecure Direct Object Reference (IDOR).

Gegenmassnahmen

  • Standardmassig verweigern. Jeder Endpunkt sollte eine explizite Autorisierung erfordern.
  • Serverseitige Zugriffskontrollen implementieren.
  • Indirekte Objektreferenzen verwenden.
  • Zugriffskontrollfehler protokollieren.

A02:2021 - Kryptographische Fehler

Fruher "Sensible Datenexposition" genannt, wurde diese Kategorie umbenannt, um sich auf die Grundursache zu konzentrieren: Fehler in der Kryptographie.

Gegenmassnahmen

  • Starkes, modernes Hashing fur Passworter: bcrypt, scrypt oder Argon2id.
  • TLS 1.2 oder hoher durchsetzen. Siehe unseren Leitfaden fur Sicherheitsheader.
  • Sensible Daten im Ruhezustand verschlusseln.
  • Schlussel ordnungsgemass verwalten.

A03:2021 - Injection

Injection war jahrelang das Risiko Nummer eins. Sie tritt auf, wenn nicht vertrauenswurdige Daten als Teil eines Befehls oder einer Abfrage an einen Interpreter gesendet werden.

const query = "SELECT * FROM users WHERE username = '" + userInput + "'";

Gegenmassnahmen

  • Parametrisierte Abfragen (Prepared Statements) verwenden.
  • Ein ORM verwenden wie Prisma, Sequelize oder TypeORM.
  • Eingaben validieren und bereinigen.
  • Prinzip der geringsten Berechtigung anwenden.

A04:2021 - Unsicheres Design

Neue Kategorie in 2021. Sie weist auf grundlegende Designfehler hin, die nicht durch bessere Implementierung behoben werden konnen.

Gegenmassnahmen

  • Bedrohungsmodellierung vor dem Codeschreiben.
  • Missbrauchsfalle schreiben neben Anwendungsfallen.
  • Ressourcenverbrauch auf Designebene begrenzen.

A05:2021 - Sicherheitsfehlkonfiguration

Das am haufigsten anzutreffende Problem. Es umfasst Standard-Anmeldedaten, unnotige Funktionen, fehlende Sicherheitsheader und ausfuhrliche Fehlermeldungen.

Gegenmassnahmen

  • Einen Hartungsprozess implementieren.
  • Infrastructure as Code verwenden.
  • Automatisierte Scans einrichten.
  • Sicherheitsheader implementieren. Unser Leitfaden fur Sicherheitsheader behandelt dies im Detail.

A06:2021 - Verwundbare und Veraltete Komponenten

Moderne Webanwendungen hangen von Dutzenden oder Hunderten von Drittanbieter-Bibliotheken ab.

Reale Auswirkungen

Der Equifax-Breach von 2017 (147 Millionen Datensatze) wurde durch eine ungepatchte Apache-Struts-Schwachstelle verursacht. Der Patch war seit zwei Monaten verfugbar.

Gegenmassnahmen

  • Ein Inventar aller Komponenten fuhren.
  • Automatisiertes Dependency-Scanning verwenden.
  • Ungenutzte Abhangigkeiten entfernen.
  • Einen Patch-Management-Prozess haben.

A07:2021 - Identifikations- und Authentifizierungsfehler

Gegenmassnahmen

  • Multi-Faktor-Authentifizierung (MFA) implementieren.
  • Starke Passwortrichtlinien durchsetzen. Mindestens 12 Zeichen.
  • Login-Versuche begrenzen.
  • Sichere Sitzungsverwaltung verwenden.

A08:2021 - Software- und Datenintegritatsfehler

Gegenmassnahmen

  • Digitale Signaturen verwenden.
  • Subresource Integrity (SRI) implementieren.
  • CI/CD-Pipeline absichern.
  • Lock-Dateien verwenden und Checksummen verifizieren.

A09:2021 - Fehler bei Sicherheitsprotokollierung und Uberwachung

Gegenmassnahmen

  • Alle Authentifizierungsereignisse protokollieren.
  • Logs zentralisieren.
  • Alerts einrichten fur Muster, die auf Angriffe hindeuten.
  • Keine sensiblen Daten protokollieren.

A10:2021 - Server-Side Request Forgery (SSRF)

Neu in den Top 10 im Jahr 2021. Tritt auf, wenn eine Webanwendung eine entfernte Ressource abruft, ohne die vom Benutzer bereitgestellte URL zu validieren.

Gegenmassnahmen

  • Alle vom Client bereitgestellten URLs validieren.
  • Allowlists verwenden.
  • Auf Cloud-Plattformen IMDSv2 (auf AWS) verwenden.

Ein Praktischer Sicherheitsfahrplan

Phase 1: Schnelle Erfolge (Diese Woche)

  1. Sicherheitsheader implementieren
  2. HTTPS uberall aktivieren
  3. Alle Abhangigkeiten aktualisieren
  4. Automatisiertes Dependency-Scanning einrichten
  5. Standard-Anmeldedaten entfernen

Phase 2: Kernkorrekturen (Diesen Monat)

  1. Alle Datenbankabfragen auf Injection-Schwachstellen prufen
  2. Zugriffskontrolllogik uber alle Endpunkte prufen
  3. Rate Limiting auf Authentifizierungsendpunkten implementieren
  4. Zentralisiertes Logging mit Alerts einrichten
  5. MFA fur Admin-Konten hinzufugen

Phase 3: Vertiefte Sicherheit (Dieses Quartal)

  1. Grundliche Code-Uberprufung
  2. Sicherheitstests in der CI/CD-Pipeline
  3. Incident-Response-Plan erstellen und uben
  4. Penetrationstest durchfuhren

Die OWASP Top 10 Sind der Boden, Nicht die Decke

Diese zehn Kategorien reprasentieren die haufigsten und wirkungsvollsten Risiken, sind aber bei weitem kein vollstandiges Bild der Anwendungssicherheit. Sie sind die minimale Grundlage.

Wenn Sie unsicher sind, wo Ihre Anwendung in Bezug auf diese Schwachstellen steht, kann ein professionelles Sicherheitsaudit Ihnen ein klares Bild geben. Bei Envestis helfen wir Unternehmen in der Schweiz, diese Schwachstellen zu identifizieren und zu beheben, bevor Angreifer sie finden. Kontaktieren Sie unser Team, um Ihre Sicherheitsanforderungen zu besprechen.

Wollen Sie wissen, ob Ihre Website sicher ist?

Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.

Kostenloses Audit Anfordern

Verwandte Artikel

Sicherheit

WordPress-Schwachstellen 2025: Warum Ihre Website Immer Noch Gefahrdet Ist

WordPress betreibt uber 40% des Webs, aber seine Popularitat macht es zum grossten Ziel fur Angreifer. Wir analysieren die haufigsten Schwachstellenklassen, echte CVEs und konkrete Schritte zur Hartung Ihrer Installation.

· 18 Min. Lesezeit
Sicherheit

SPF, DKIM und DMARC: Schutzen Sie Ihr Unternehmen vor Email-Spoofing

Email-Spoofing kostet Unternehmen jahrlich Milliarden durch BEC-Betrug und Phishing. SPF, DKIM und DMARC sind drei Protokolle, die korrekt konfiguriert das Falschen Ihrer Domain nahezu unmoglich machen.

· 15 Min. Lesezeit
Sicherheit

Exponierte Admin-Seiten: Ein Geschenk fur Hacker

Ihre /wp-admin, /admin oder /login-Seite ist fur das gesamte Internet sichtbar. Bots scannen sie gerade. CAPTCHA allein wird Sie nicht retten. So nutzen Angreifer exponierte Admin-Panels aus und was Sie dagegen tun sollten.

· 13 Min. Lesezeit

Schnellkontakt