Das sind die 10 häufigsten Security-Fehler 2025

In einer Analyse hat Open Worldwide Application Security Project (OWASP) die Top-10-Anwendungsrisiken 2025 analysiert. Insgesamt hat das Unternehmen 12 Kategorien anhand von bereitgestellten Daten bewertet und eine ergänzende Community-Umfrage mit Fachleuten durchgeführt.

Die grün markierten Kategorien sind aufgestiegen oder gleich geblieben; die orangen Kategorien sind abgestiegen. Die gelbe Kategorie gehört neu zu einer anderen. (Source: owasp.org)

Die Top-3-Fehler

Auf Platz 1 des Rankings befindet sich die Kategorie "Broken Access Control", also Schwachstellen in der Zugriffskontrolle. Die Kategorie halte ihren Platz seit dem letzten Ranking im Jahr 2021. Neu in dieser Kategorie enthalten sei seit diesem Jahr zudem die serverseitige Anforderungsfälschung (SSRF), bei der unautorisierte Personen auf Informationen zugreifen, die für sie nicht zugänglich sein sollten. Dazu gehöre unter anderem das versehentliche Zugänglichmachen von klassifizierten Dokumenten für nicht Berechtigte oder das Umgehungen von Zugangskontrollen durch URL-Modifikationen.

An 2. Stelle in der Liste folgen Sicherheitsfehlkonfigurationen, die 2021 noch an fünfter Stelle standen. Laut den Studienautoren sei das nicht überraschend, da es in der Softwareentwicklung Trends gebe, Sicherheit zunehmend auf Konfigurationen zu stützen anstatt auf andere Methoden.

Den 3. Platz belegt die Kategorie Software-Supply-Chain-Fehler. Diese wurde gemäss Mitteilung aufgrund der Umfrage in das Ranking aufgenommen. Während es nur wenige Fälle in den Daten gegeben habe, hätte diese Kategorie die höchsten durchschnittlichen Exploit- sowie Auswirkungswerte von CVEs. Es sei zudem möglich, dass die tiefe Fallzahl aufgrund von Schwierigkeiten beim Messen zustande komme. Supply-Chain-Fehler würden oft aufgrund von Schwachstellen oder bösartigen Veränderungen in Codes von Drittparteien auftreten, von denen das System abhänge.

Weitere Fehler

Auf Rang 4 befinden sich kryptographische Fehler, die von Rang 2 im Jahr 2021 zurückgefallen sind. Durch zu schwache oder mangelhafte Kryptographie komme es in dieser Kategorie zu Fehlern. Die 5. Stelle im Ranking belegen Code-Injektionen. Hier habe es die meisten CVE-Fälle gegeben. Laut OWASP können bei Code-Injektion Cyberkriminelle Befehle über die Eingabefelder von Programmen ausführen.

An der 6. Position folgt die Kategorie "Insecure Design" und auf Platz 7 Authentifizierungsfehler. In letzterer Kategorie habe jedoch die zunehmende Nutzung standardisierter Frameworks für die Authentifizierung zu Verbesserungen geführt. Zu Authentifizierungsfehler gehören in der Analyse unter anderem schwache Passwörter oder auch Systeme, die Brute-Force-Angriffe erlauben.

Nummer 8 in der Auswertung sind Software- oder Datenintegritätsfehler, also das Versagen der Aufrechterhaltung von Vertrauensgrenzen sowie die Integrität von Software, Code und Datenartefakten auf einem niedrigeren Level als Software-Supply-Chain-Fehler. Die 9. Position belegen Protokollierungs- und Alarmierungsfehler. Auch diese Kategorie sei von den Befragten in die Liste gewählt worden. 

An letzter Stelle folgt eine neue Kategorie: die Fehlbehandlung von aussergewöhnlichen Umständen beziehungsweise Ausnahmesituationen. Wie es im Bericht heisst, gehören in diese Kategorie unsachgemässe Fehlerbehandlungen, logische Fehler, das Öffnen von Verbindung und andere unübliche oder unvorhersehbare Situationen, die zu Abstürzen, unerwartetem Verhalten oder Sicherheitslücken führen können.

Wie moderne Security-Ansätze Ransomware-Angriffe verhindern können, lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.