Was ist die aktuelle OWASP Top 10 von 2021?

Die aktuelle Edition (2021) listet zehn Risiko-Kategorien — A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection (inkl. SQL Injection, XSS, Command Injection), A04 Insecure Design, A05 Security Misconfiguration, A06 Vulnerable and Outdated Components, A07 Identification and Authentication Failures, A08 Software and Data Integrity Failures, A09 Security Logging and Monitoring Failures, A10 Server-Side Request Forgery (SSRF). Die nächste Edition ist für 2025 angekündigt.

Was ist der Unterschied zur CWE-Liste?

CWE (Common Weakness Enumeration) katalogisiert über 900 einzelne technische Schwächen-Klassen — sehr granular. Die OWASP Top 10 bündelt davon mehrere zu zehn übergeordneten Risiko-Kategorien — z. B. enthält A03 Injection die CWEs 79 (XSS), 89 (SQL Injection), 78 (OS Command Injection) und weitere. OWASP ist die strategische Aggregation für Management und Schulungen, CWE die technische Detail-Liste für SAST/DAST-Tools und Code-Reviews.

Wofür wird die OWASP Top 10 in der Praxis genutzt?

Die OWASP Top 10 ist Standard-Referenz für Web-Security-Schulungen, Pentest-Scope-Definitionen, Code-Review-Checklisten, SAST/DAST-Tool-Konfigurationen, Compliance-Berichte und Lieferanten-Audits. In ISO-27001-Audits zum Annex-A-Control 8.28 (Secure Coding) wird häufig OWASP-Top-10-Konformität als Beleg geführt. PCI-DSS verlangt Maßnahmen gegen alle OWASP-Top-10-Risiken, BSI-Bausteine APP.3.x referenzieren sie ebenfalls.

OWASP (Open Worldwide Application Security Project) ist eine 2001 gegründete gemeinnützige Stiftung mit Sitz in den USA. Sie wird von einer globalen Community aus Sicherheitsexperten getragen, finanziert sich aus Mitgliedsbeiträgen und Spenden und veröffentlicht alle Inhalte unter offenen Lizenzen. Neben der Top 10 pflegt OWASP rund 200 weitere Projekte — darunter den OWASP ASVS (Application Security Verification Standard), OWASP ZAP (Penetration-Testing-Tool), OWASP SAMM (Software Assurance Maturity Model) und OWASP Cheat Sheet Series.

Was sind weitere wichtige OWASP-Projekte?

Neben der Top 10 sind besonders relevant — OWASP API Security Top 10 (eigene Liste für API-Risiken, aktuell 2023), OWASP Mobile Top 10 (mobile Apps), OWASP ASVS (detaillierte Anforderungen pro Sicherheitsfeature in drei Stufen), OWASP SAMM (Reifegradmodell für sichere Software-Entwicklung), OWASP Cheat Sheet Series (kurze Implementierungs-Anleitungen pro Risiko) sowie OWASP ZAP (Open-Source-Pentest-Tool). Für KMU sind ASVS Level 1 und die Cheat Sheets oft der praktischste Einstieg.

GlossarDefinition

Was ist die OWASP Top 10?

Zuletzt aktualisiert: 18. Juni 2026

Kurz erklärt: Die OWASP Top 10 ist die international wichtigste Liste der kritischsten Sicherheitsrisiken in Web-Anwendungen. Sie wird vom Open Worldwide Application Security Project (OWASP) alle drei bis vier Jahre aktualisiert — die aktuelle Edition stammt von 2021, die nächste ist für 2025 angekündigt. Die Liste ist die De-facto-Referenz für Web-Security-Schulungen, Code-Review-Checklisten, Pentest-Scopes, SAST/DAST-Tool-Konfigurationen und Compliance-Mappings. Anders als die CWE-Liste, die einzelne technische Schwächen-Klassen katalogisiert, bündelt die OWASP Top 10 mehrere CWEs zu zehn übergeordneten Risiko-Kategorien.

Die OWASP Top 10 ist eine alle drei bis vier Jahre aktualisierte Liste der zehn kritischsten Sicherheitsrisiken für Web-Anwendungen. Sie wird vom Open Worldwide Application Security Project (OWASP) veröffentlicht und ist der weltweit anerkannte De-facto-Standard für Web-Security-Schulungen, Pentest-Scopes, Code-Review-Checklisten und Compliance-Mappings.

Foundational Facts

Herausgeber: OWASP Foundation (gemeinnützig, US-basiert, gegründet 2001)
Aktuelle Edition: OWASP Top 10 — 2021 (nächste Edition für 2025 angekündigt)
Verwandte Listen: OWASP API Security Top 10 (2023), OWASP Mobile Top 10
Lizenz: Creative Commons (frei nutzbar, übersetzbar, kommerziell einsetzbar)
Status: etablierter Branchenstandard in Web-Security, Compliance und sicherer Entwicklung

Die OWASP Top 10 — 2021

Die aktuelle Edition listet zehn Risiko-Kategorien. Jede Kategorie bündelt mehrere CWEs zu einem übergeordneten Risiko:

A01 — Broken Access Control

Berechtigungsprüfungen fehlen oder sind fehlerhaft. Wechsel von Platz 5 (2017) auf Platz 1 — die häufigste Web-Schwachstelle. Beispiele: unautorisierter Zugriff auf fremde User-Daten via URL-Manipulation, fehlende Server-seitige Validierung von Berechtigungen, Path Traversal.

A02 — Cryptographic Failures

Früher „Sensitive Data Exposure”. Fokus auf falsche oder fehlende Verschlüsselung — schwache Algorithmen, fehlende TLS-Erzwingung, hartcodierte Schlüssel, ungeschützte Übertragung sensibler Daten.

A03 — Injection

Zusammenführung der bisherigen Kategorien Injection und Cross-Site Scripting. Umfasst SQL Injection, NoSQL Injection, OS Command Injection, XSS, LDAP Injection, Expression Language Injection.

A04 — Insecure Design

Neue Kategorie 2021. Fokus auf strukturelle Sicherheitsmängel im Design — fehlende Threat-Modeling-Praxis, unsichere Architektur-Entscheidungen, fehlende Schutz-Annahmen.

A05 — Security Misconfiguration

Falsch konfigurierte Sicherheits-Einstellungen — unnötig offene Ports, Standard-Passwörter, debug-Mode in Production, fehlende Security-Header, falsch konfigurierte Cloud-Buckets.

A06 — Vulnerable and Outdated Components

Verwendung von Komponenten mit bekannten Schwachstellen — veraltete Bibliotheken, ungepflegte Frameworks, vernachlässigte Container-Images. Verbindung zur Supply-Chain-Security und SBOM.

A07 — Identification and Authentication Failures

Schwächen in Authentifizierung und Session-Management — schwache Passwörter, fehlende MFA, unsichere Recovery-Mechanismen, falsche Session-Invalidierung, Session-Fixation.

A08 — Software and Data Integrity Failures

Neue Kategorie 2021. Mangelnde Integrität-Prüfung bei Software-Updates, kritischen Daten und CI/CD-Pipelines — z. B. fehlende Signatur-Prüfung bei Auto-Updates, unsichere Deserialisierung.

A09 — Security Logging and Monitoring Failures

Unzureichendes Logging und Monitoring verhindert die Erkennung von Angriffen — fehlende Audit-Logs, unzureichende Alarmierung, kein zentrales Log-Management, keine SIEM-Anbindung.

A10 — Server-Side Request Forgery (SSRF)

Neue Kategorie 2021 — durch Community-Survey unter den häufigsten gemeldeten Risiken. Server wird über manipulierte URLs zu unautorisierten internen Requests gebracht.

OWASP Top 10 vs. CWE — wo ist der Unterschied?

Dimension	OWASP Top 10	CWE
Anzahl Einträge	10	über 900
Granularität	Risiko-Kategorie	technische Schwächen-Klasse
Aktualisierung	alle 3–4 Jahre	kontinuierlich
Anwendung	strategisch, Schulungen, Compliance	technisch, SAST/DAST, Code-Review
Verhältnis	aggregiert mehrere CWEs zu einer Kategorie	wird in OWASP-Kategorien gebündelt

Beispiel: OWASP A03 Injection enthält u. a. CWE-79 (XSS), CWE-89 (SQL Injection), CWE-78 (OS Command Injection), CWE-94 (Code Injection) und weitere.

Weitere wichtige OWASP-Projekte

Die Top 10 ist nur das bekannteste OWASP-Projekt. In der Praxis sind weitere häufig relevant:

Projekt	Inhalt
OWASP API Security Top 10	eigene Liste für API-spezifische Risiken, aktuell 2023
OWASP Mobile Top 10	mobile-Apps-spezifische Risiken
OWASP ASVS	Application Security Verification Standard — detaillierte Anforderungen in drei Stufen, gut für Lieferanten-Vorgaben
OWASP SAMM	Software Assurance Maturity Model — Reifegradmodell für SDLC-Security
OWASP Cheat Sheet Series	kompakte Implementierungs-Anleitungen pro Thema
OWASP ZAP	Open-Source-Pentest-Tool für Webanwendungen
OWASP Dependency-Check	SCA-Tool für Komponenten-Schwachstellen

Bedeutung im Compliance-Kontext

Die OWASP Top 10 ist in mehreren Standards explizit oder implizit verankert:

ISO 27001 Annex A 8.28 (Secure Coding): OWASP Top 10 ist Standard-Belegquelle
PCI-DSS: Maßnahmen gegen alle OWASP-Top-10-Risiken sind verpflichtend
BSI IT-Grundschutz Baustein APP.3.1 (Webanwendungen): referenziert die Top 10
DORA: Anforderungen an sichere Software-Entwicklung implizieren OWASP-Top-10-Konformität
TISAX: ISA-Katalog verlangt sichere Entwicklungs-Prozesse, OWASP Top 10 als Operationalisierung

Bedeutung für KMU

Auch ohne dediziertes Application-Security-Team sind die OWASP Top 10 für KMU operativ wertvoll:

Lieferanten-Anforderung — Software-Beschaffung mit „OWASP-Top-10-konform” als Mindestanforderung in den Vertrag schreiben
Pentest-Scope — externe Pentests an OWASP Top 10 ausrichten
Awareness-Curriculum — Entwickler-Schulungen entlang der zehn Kategorien aufbauen
SAST/DAST-Konfiguration — Tools so konfigurieren, dass sie alle Top-10-Klassen abdecken
Self-Assessment — eigene Web-Anwendungen anhand der Top 10 strukturiert prüfen

Für Unternehmen mit eigener Software-Entwicklung ist die OWASP ASVS Level 1 der pragmatische nächste Schritt nach „Top 10 verstanden” — mit konkreten Anforderungen pro Sicherheits-Feature.

Weiterführende Links

Häufige Fragen

Was ist die aktuelle OWASP Top 10 von 2021?: Die aktuelle Edition (2021) listet zehn Risiko-Kategorien — A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection (inkl. SQL Injection, XSS, Command Injection), A04 Insecure Design, A05 Security Misconfiguration, A06 Vulnerable and Outdated Components, A07 Identification and Authentication Failures, A08 Software and Data Integrity Failures, A09 Security Logging and Monitoring Failures, A10 Server-Side Request Forgery (SSRF). Die nächste Edition ist für 2025 angekündigt.
Was ist der Unterschied zur CWE-Liste?: CWE (Common Weakness Enumeration) katalogisiert über 900 einzelne technische Schwächen-Klassen — sehr granular. Die OWASP Top 10 bündelt davon mehrere zu zehn übergeordneten Risiko-Kategorien — z. B. enthält A03 Injection die CWEs 79 (XSS), 89 (SQL Injection), 78 (OS Command Injection) und weitere. OWASP ist die strategische Aggregation für Management und Schulungen, CWE die technische Detail-Liste für SAST/DAST-Tools und Code-Reviews.
Wofür wird die OWASP Top 10 in der Praxis genutzt?: Die OWASP Top 10 ist Standard-Referenz für Web-Security-Schulungen, Pentest-Scope-Definitionen, Code-Review-Checklisten, SAST/DAST-Tool-Konfigurationen, Compliance-Berichte und Lieferanten-Audits. In ISO-27001-Audits zum Annex-A-Control 8.28 (Secure Coding) wird häufig OWASP-Top-10-Konformität als Beleg geführt. PCI-DSS verlangt Maßnahmen gegen alle OWASP-Top-10-Risiken, BSI-Bausteine APP.3.x referenzieren sie ebenfalls.
Wer pflegt OWASP?: OWASP (Open Worldwide Application Security Project) ist eine 2001 gegründete gemeinnützige Stiftung mit Sitz in den USA. Sie wird von einer globalen Community aus Sicherheitsexperten getragen, finanziert sich aus Mitgliedsbeiträgen und Spenden und veröffentlicht alle Inhalte unter offenen Lizenzen. Neben der Top 10 pflegt OWASP rund 200 weitere Projekte — darunter den OWASP ASVS (Application Security Verification Standard), OWASP ZAP (Penetration-Testing-Tool), OWASP SAMM (Software Assurance Maturity Model) und OWASP Cheat Sheet Series.
Was sind weitere wichtige OWASP-Projekte?: Neben der Top 10 sind besonders relevant — OWASP API Security Top 10 (eigene Liste für API-Risiken, aktuell 2023), OWASP Mobile Top 10 (mobile Apps), OWASP ASVS (detaillierte Anforderungen pro Sicherheitsfeature in drei Stufen), OWASP SAMM (Reifegradmodell für sichere Software-Entwicklung), OWASP Cheat Sheet Series (kurze Implementierungs-Anleitungen pro Risiko) sowie OWASP ZAP (Open-Source-Pentest-Tool). Für KMU sind ASVS Level 1 und die Cheat Sheets oft der praktischste Einstieg.