Analysegrafiken auf einem Tablet

Was sind die OWASP Top 10?

Die Non-Profit-Organisation Open Web Application Security Project (OWASP) hat sich der Sicherheit von Applikationen und Diensten im Internet verschrieben. Die Organisation setzt sich eigenen Angaben zufolge aus zehntausenden Mitgliedern weltweit zusammen, die in hunderten lokalen Chaptern organisiert sind. OWASP betreibt verschiedene Projekte, die für mehr Sicherheit bei Entwicklung und Betrieb von Webdiensten sorgen sollen. Das bekannteste Projekt sind die OWASP Top 10, ein Ranking der größten Sicherheitsrisiken für Webanwendungen.

Schützen Sie Ihre Webanwendungen mit unserer WAF!
Analysegrafiken ausgedruckt auf Papier

01

OWASP Top 10: eine Definition

Die OWASP Top 10 sind ein Ranking der bedeutendsten Sicherheitsrisiken, Angriffsvektoren und Schwachstellen, die in der Entwicklung von Online-Anwendungen berücksichtigt werden sollten. Die Liste wird seit 2003 von der namensstiftenden Non-Profit-Organisation Open Web Application Security Project (OWASP) erstellt und alle zwei bis drei Jahre aktualisiert. Zuletzt erfolgte 2021 ein Update der OWASP Top 10. Die darin aufgeführten Risiken mitsamt Best Practices zur Behebung derselben dienen in erster Linie zur Sensibilisierung von Webentwicklern.

02

Welche Sicherheitsrisiken sind in der OWASP Top 10 (2021) enthalten?

In den aktuellen OWASP Top 10 von 2021 sind gegenüber der vorherigen Fassung von 2017 drei neue Kategorien hinzugekommen: Insecure Design, Software and Data Integrity Failures und Server-Side Request Forgery. Außerdem wurden einzelne Kategorien umbenannt oder neu definiert. Die Liste setzt sich aus folgenden Sicherheitsrisiken zusammen:

A01:2021 – Broken Access Control

Über Zugriffskontrollen kann in der Webentwicklung sichergestellt werden, dass Anwender:innen nicht außerhalb der zugewiesenen Berechtigungen agieren. Fehler in der Access Control können zu einem unkontrolliertem Datenabfluss sensibler Informationen führen oder auch schadhafte Manipulationen zugänglicher Daten ermöglichen.

A02:2021 – Cryptographic Failures

Die Kategorie „Cryptographic Failures“ („Sensitive Data Exposure“ in früheren Versionen der OWASP Top 10) bezieht sich auf Schwachstellen bei der Verschlüsselung von Daten und Datentransfers sowie den Verzicht auf adäquate Verschlüsselungsmethoden per se. Besonders hohen kryptografischen Schutz erfordern insbesondere Passwörter, Kreditkartennummern, Gesundheitsdaten, persönliche Informationen und Geschäftsgeheimnisse – vor allem, wenn die Informationen regulatorisch geschützt sind, etwa durch die DSGVO oder den PCI DSS.

A03:2021 – Injection

Mittels „Injection“-Attacken schleusen Angreifer ihren Schadcode in fremde Systeme und führen diesen aus. Damit sind alle enthaltenen Daten auf dem betroffenen System sowie angeschlossene Netzwerke und Services potenziell gefährdet. Zu den geläufigsten Injection-Angriffen zählen SQL-Injections und Cross Site Scripting (XSS). In der 2017er-Version der OWASP Top 10 wurden Injection-Angriffe noch als die Bedrohung Nummer eins für Webapplikationen gelistet.

Fehlermeldung

A04:2021 – Insecure Design

Die neue Kategorie mit der recht generischen Bezeichnung „Insecure Design“ befasst sich mit Risiken im Zusammenhang mit Design- und Architekturfehlern. Als Beispiel wird hier unter anderem die Ausgabe von Fehlermeldungen genannt, die sensible Informationen beinhalten (CWE-209). Insecure Design ist nicht mit dem Implementierungsprozess verknüpft, da selbst eine perfekte Implementierung keine Designfehler beheben kann. Viel mehr sind hier das Fehlen von Security Controls und Business Risk Profiling bei der Entwicklung von Software von Relevanz. Ohne sie sei eine angemessene Bestimmung des erforderlichen Grads der Sicherheitsgestaltung nicht möglich.

A05:2021 – Security Misconfiguration

„Security Misconfiguration“ wurde in der vergangenen Version der OWASP Top 10 noch auf Platz 6 gelistet. Die Kategorie umfasst Fehler bei der Konfiguration von Sicherheitsmaßnahmen wie etwa fehlende oder mangelnde Systemhärtungen, fehlerhafte Zugriffsrechte von Cloud-Konfigurationen, die Nutzung von Standard-Passwörtern oder auch unnötige Portfreigaben.

A06:2021 – Vulnerable and Outdated Components

Vormals auf Rang 9 gelistet, nehmen „Vulnerable and Outdated Components“ nunmehr Platz 6 in der OWASP Top 10 ein. Das spricht dafür, dass der Einsatz aktueller und sicherer Komponenten bei der Entwicklung von Webapplikationen noch immer ein großes Problem darstellt. Verwundbarkeiten ergeben sich in dieser Kategorie etwa aus: mangelnder Transparenz (welche Komponenten werden in welcher Version eingesetzt (Client- sowie Server-seitig)), fehlerhafter Software (verwundbare, veraltete oder nicht mehr unterstützte Programme und APIs) oder fehlender Kompatibilitätstests (insbesondere bei Updates, Upgrades und Patches von Bibliotheken).

Code auf einem Bildschirm

A07:2021 – Identification and Authentication Failures

Die früher unter der Bezeichnung „Broken Authentication“ geführte Kategorie rutschte von Platz 2 (OWASP Top 10 2017) auf den 7. Rang. Hier werden Schwachstellen in Verbindung mit Anmeldungen und Authentifizierungen aufgeführt. Zu nennen wären dabei etwa: mangelhafter Schutz vor Brute Force, Credential Stuffing, Credential Cracking, Kennwortspeicherung im Klartext sowie fehlende oder mangelhafte Multi-Faktor-Authentifizierung.

A08:2021 – Software and Data Integrity Failures

Die neue Kategorie umfasst Schwachstellen in Software-Updates, kritischen Daten und CI/CD-Pipelines, deren Integrität nicht überprüft wird. Wenn etwa Anwendungen auf Plug-ins, Bibliotheken oder Module aus nicht vertrauenswürdigen Quellen, Repositorys und Content Delivery Networks (CDNs) angewiesen sind, ergeben sich daraus erhebliche Risiken. Eine unsichere CI/CD-Pipeline kann Cyberkriminellen als Zugang dienen, um bösartigen Code einzuschleusen und Systeme zu kompromittieren. Automatische Updates von einzelnen Komponenten ohne ausreichende Integritätsprüfung gefährden die Sicherheit der gesamten Anwendung, da Schadcode über Software-Lieferketten eingeschleust werden könnte.

 

A09:2021 – Security Logging and Monitoring Failures

Vormals unter der Bezeichnung „Insufficient Logging and Monitoring“ geführt, umfasst diese Kategorie nun zusätzliche Risiken. Insgesamt dient Logging und Monitoring dazu, aktive Sicherheitsverletzungen zu erkennen, zu eskalieren und darauf zu reagieren. Probleme treten hier auf, wenn beispielsweise Fehler keine oder nur unzureichende Logeinträge erzeugen, wenn Logs lediglich lokal gesichert werden oder wenn Schwellenwerte für Warnungen und Eskalationsprozesse falsch definiert sind.

A10:2021 – Server-Side Request Forgery (SSRF)

Von „Server-Side Request Forgery (SSRF)“ spricht man, wenn eine Webanwendung eine entfernte Ressource abruft, ohne die vom Benutzer angegebene URL zu validieren. Dadurch besteht die Gefahr, dass Cyberkriminelle die betroffene Anwendung dazu missbrauchen, speziell gestaltete Anfragen an unerwartete Ziele zu senden. Dadurch können Angreifer Zugriff auf sensible Informationen erhalten oder sogar Remote Code ausführen. Verwundbar sind durch SSRF sowohl der Server selbst als auch das angebundene Netzwerk sowie externe Drittparteien.

03

Wer verwendet die OWASP Top 10?

In erster Linie richtet sich das Projekt an Entwickler, um diese dabei zu unterstützten, besonders sichere Programme und APIs zu erstellen. Diese Sensibilisierung soll zu einer holistischen Herangehensweise an das Thema IT-Sicherheit im Entwicklungsprozess beitragen – Stichwort: Security by Design. Daneben dient das Ranking auch zur aktiven Absicherung vor konkreten Gefahren. So verfügt etwa die Myra Hyperscale WAF (Web Application Firewall) mitunter über spezielle Filterregeln, die sich an den OWASP Top 10 orientieren und die darin gelisteten Schwachstellen (soweit technisch möglich) adressieren.

Cyber Security Schriftzug auf einem Laptopbildschirm

04

OWASP Top 10: Das müssen Sie wissen

Die OWASP Top 10 sind ein Ranking für Sicherheitsrisiken und Angriffsvektoren. Die Liste wird seit 2003 von der namensstiftenden Non-Profit-Organisation Open Web Application Security Project (OWASP) gepflegt und regelmäßig aktualisiert. Das Projekt richtet sich primär an Entwickler und will auf wesentliche, sicherheitsrelevante Bereiche und Entwicklungen aufmerksam machen. Außerdem liefern die OWASP Top 10 praktische Beispiele zur Behebung der aufgeführten Sicherheitslücken und allgemeine Empfehlungen für eine sichere Entwicklung und Pflege von Webanwendungen.