OWASP Top 10 2025 Schulung

A01:2025 - Broken Access Control
A02:2025 - Security Misconfiguration
A03:2025 - Software Supply Chain Failures
A04:2025 - Cryptographic Failures
A05:2025 - Injection
A06:2025 - Insecure Design
A07:2025 - Authentication Failures
A08:2025 - Software or Data Integrity Failures
A09:2025 - Security Logging and Alerting Failures
A10:2025 - Mishandling of Exceptional Conditions

A01:2025 Broken Access Control - Zugangskontrolle erzwingt Richtlinien, sodass Benutzer nicht außerhalb ihrer vorgesehenen Berechtigungen handeln können. Fehlschläge führen in der Regel zu unerlaubten Informationsdisclosures, Modifikation oder Zerstörung aller Daten oder zur Durchführung von Geschäftsprozessen außerhalb der Benutzerbegrenzungen.

A02:2025 Security Misconfiguration - Eine Sicherheitskonfiguration ist dann vorliegen, wenn ein System, eine Anwendung oder ein Cloud-Dienst aus sicherheitstechnischer Sicht fehlerhaft konfiguriert ist und Schwachstellen schafft.

A03:2025 Software Supply Chain Failures - Software-Supply-Chain-Fehlschläge sind Ausfälle oder andere Kompromisse im Prozess des Erstellens, Verteilens oder Aktualisierens von Software. Sie werden häufig durch Schwachstellen oder bösartige Änderungen in Drittanbieter-Code, -Tools oder anderen Abhängigkeiten verursacht, auf die das System angewiesen ist.

A04:2025 Cryptographic Failures - Grundsätzlich sollte alle Daten in Transit auf der Transportschicht (OSI-Schicht 4) verschlüsselt werden. Frühere Hindernisse wie CPU-Leistung und Verwaltung von privaten Schlüsseln/Zertifikaten werden heute durch CPUs mit Anweisungen zur Beschleunigung der Verschlüsselung (z.B. AES-Unterstützung) sowie durch vereinfachte private-Schlüssel- und Zertifikatsverwaltung durch Dienste wie LetsEncrypt.org und enger integrierte Zertifikatsverwaltungsdienste großer Cloudanbieter behoben. Neben der Sicherung der Transportschicht ist es wichtig zu bestimmen, welche Daten auch in Ruhe sowie welche Daten zusätzliche Verschlüsselung im Transit (auf Anwendungsschicht, OSI-Schicht 7) benötigen. Beispielsweise erfordern Passwörter, Kreditkartennummern, Gesundheitsunterlagen, persönliche Informationen und Geschäftsgeheimnisse besonderen Schutz, insbesondere wenn diese Daten unter Datenschutzgesetzen wie der EU-Datenschutz-Grundverordnung (DSGVO) oder Regulierungen wie PCI Data Security Standard (PCI DSS) fallen.

A05:2025 Injection - Eine Injektionsanfälligkeit ist ein Systemfehler, der es einem Angreifer ermöglicht, bösartige Code- oder Befehlszeilen (z.B. SQL- oder Shellcode) in die Eingabefelder eines Programms einzufügen und das System zu überlisten, diesen Code oder diese Befehle als Teil des Systems auszuführen. Dies kann zu katastrophalen Folgen führen.

A06:2025 Insecure Design - Unsicheres Design ist eine umfangreiche Kategorie, die verschiedene Schwächen darstellt und als „fehlende oder ineffektive Kontrollen“ ausgedrückt wird. Unsicheres Design ist nicht der Ausgangspunkt aller anderen Top-Ten-Risikokategorien. Es gibt einen Unterschied zwischen unsicherem Design und unsicherer Implementierung. Wir unterscheiden zwischen Designfehlern und Implementierungsdefekten, da sie verschiedene Ursachen haben, zu verschiedenen Zeiten im Entwicklungsprozess auftreten und unterschiedliche Lösungen erfordern. Ein sicheres Design kann trotzdem durch Implementierungsdefekte zu Schwachstellen führen, die ausgenutzt werden können. Ein unsicheres Design kann nicht durch eine perfekte Implementierung behoben werden, da die notwendigen Sicherheitskontrollen niemals erstellt wurden, um spezifische Angriffe abzuwehren. Einer der Faktoren, die zu unsicherem Design beitragen, ist das Fehlen von Geschäftsriskoprofilierungen im entwickelten Software- oder System, und damit das Versagen, zu ermitteln, welches Sicherheitsdesign erforderlich ist.

A07:2025 Authentication Failures - Wenn ein Angreifer es schafft, ein System dazu zu überlisten, einen ungültigen oder falschen Benutzer als berechtigt zu erkennen, liegt diese Schwachstelle vor.

A08:2025 Software or Data Integrity Failures - Software- und Datenintegritätsfehlschläge beziehen sich auf Code und Infrastruktur, die nicht gegen ungültige oder unvertrauenswürdige Code- oder Datendaten schützen, die als vertrauenswürdig und gültig behandelt werden. Ein Beispiel dafür ist eine Anwendung, die Plugins, Bibliotheken oder Module aus unvertrauenswürdigen Quellen, Repositories und Content Delivery Networks (CDNs) verwendet. Eine unsichere CI/CD-Pipeline ohne Software-Integritätsprüfungen kann das Risiko von unbefugtem Zugriff, unsicherem oder bösartigem Code oder Systemkompromissen erhöhen. Ein weiteres Beispiel hierfür ist eine CI/CD-Pipeline, die Code oder Artefakte aus unvertrauenswürdigen Quellen zieht und/oder diese vor der Verwendung nicht überprüft (z.B. durch Überprüfung der Signatur oder ähnliche Mechanismen). 

A09:2025 Security Logging & Alerting Failures - Ohne Protokollierung und Überwachung können Angriffe und Datenverluste nicht erkannt werden, und ohne Warnungen ist es sehr schwierig, schnell und effektiv während eines Sicherheitsinzidents zu reagieren. Unzureichende Protokollierung, kontinuierliche Überwachung, Erkennung und Warnungen zur Initiation aktiver Reaktionen treten auf, wann immer

A10:2025 Mishandling of Exceptional Conditions - Fehlbehandlung außergewöhnlicher Bedingungen in Software tritt auf, wenn Programme versagen, ungewöhnliche und vorhersagbare Situationen zu verhindern, zu erkennen und darauf zu reagieren. Dies kann zu Abstürzen, unerwartetem Verhalten und manchmal Schwachstellen führen. Dies kann eine oder mehrere der folgenden Fehler beinhalten: Die Anwendung verhindert nicht, dass eine ungewöhnliche Situation eintritt, sie erkennt die Situation während des Auftretens nicht und/oder reagiert darauf schlecht oder gar nicht.

Wir werden praktische Aspekte diskutieren und präsentieren:

Broken Access Control
- Praktische Beispiele für defekte Zugangskontrollen
- Sichere Zugangskontrollen und beste Praktiken

Security Misconfiguration
- Realweltbeispiele für fehlerhafte Konfigurationen
- Schritte zur Vermeidung von Fehlkonfigurationen, einschließlich Konfigurationsmanagement und Automatisierungstools

Cryptographic Failures
- Detaillierte Analyse kryptografischer Fehler wie schwacher Verschlüsselungsalgorithmen oder fehlerhafter Schlüsselverwaltung
- Bedeutung starker kryptografischer Mechanismen, sicherer Protokolle (SSL/TLS) und Beispiele für moderne Kryptografie in der Web-Sicherheit

Injection Attacks
- Detaillierte Aufschlüsselung von SQL-, NoSQL-, OS- und LDAP-Injektionen
- Minderungsmaßnahmen mit Prepared Statements, parametrisierten Abfragen und Escaping von Eingaben

Insecure Design
- Wir werden Designfehler erkunden, die zu Schwachstellen führen können, wie unzureichende Eingabeverifizierung
- Wir werden Strategien für sicheres Archivieren und sicherheitsrelevante Designprinzipien studieren

Authentication Failures
- Übliche Authentisierungsprobleme
- Sichere Authentifizierungsstrategien, wie mehrstufige Authentifizierung und korrekte Session-Handling

Software and Data Integrity Failures
- Fokus auf Probleme wie unvertrauenswürdige Softwareaktualisierungen und Datenmanipulationen
- Sichere Aktualisierungsmechanismen und Datensicherheitsprüfungen

Security Logging and Monitoring Failures
- Bedeutung der Protokollierung sicherheitsrelevanter Informationen und Überwachung verdächtiger Aktivitäten
- Werkzeuge und Praktiken für angemessene Protokollierung und Echtzeitüberwachung, um Verletzungen frühzeitig zu erkennen