Die OWASP Top Ten 2025 vorgestellt

Das Open Worldwide Application Security Project hat auf seiner Veranstaltung OWASP Global AppSec den Release Candidate 1 der neuen OWASP Top Ten vorgestellt.

Artikel verschenken

10.12.2025, 08:00 Uhr

Lesezeit: 8 Min.

iX Magazin

Von

Tobias Glemser

Die OWASP Top Ten 2025 vorgestellt
- Top 10 nicht nur für Awareness einsetzbar
Datenspenden von Toolherstellern
Was hat sich in der neuen Version getan?
KI-Risiken in eigenen Listen und Projekten
Fazit

Artikel in iX 1/2026 lesen

Seit dem Jahr 2004 veröffentlicht das Open Worldwide Application Security Project (OWASP) in mehr oder weniger regelmäßigen Abständen eine neue Version der OWASP Top Ten. Anfangs enthielt diese Liste die zehn am weitesten verbreiteten Schwachstellen in Webanwendungen, doch seit 2010 geht es um die zehn häufigsten Risiken.

Das ist ein wesentlicher Unterschied: Denn während man Schwachstellen testen kann, etwa durch Penetrationstests, lassen sich Risiken nicht direkt testen und sind abstrakter als Schwachstellen. Auffallend ist, dass in der neuen Liste, die Anfang November 2025 veröffentlicht wurde, das Thema KI weiterhin ausgespart bleibt – dafür gibt es eigene OWASP-Projekte.

Seit ihrer Entstehung haben die OWASP Top Ten etliche Veränderungen und pragmatische Anpassungen durchgemacht, zuletzt die Gewichtung der Risiken durch die Community.
Die Risiken der aktuellen Liste sind gleich geblieben, wurden jedoch aus guten Gründen neu sortiert und gewichtet – etwa die Lieferkettensicherheit.
Das OWASP hält daran fest, KI-Risiken von anderen Anwendungsrisiken zu trennen und in eigenen Listen zu berücksichtigen.

Sicherheitslücken vorbeugen: Auf Credential-Suche mit TruffleHog
Cybersicherheit: Das ändert sich durch das NIS2-Umsetzungsgesetz
Die neuen OWASP Top Ten 2025
Angreifer täuschen: Honeypots und Co.
Sicherheit: Windows härten mit Microsoft-Tools
IT-Sicherheit: Mit KI Schwachstellen finden und ausnutzen
BBOT: Angriffsflächen automatisch erkennen und Risiken reduzieren
Von Beruf Hackerjäger: Was macht eigentlich ein Threat Intelligence Researcher?
Kurz erklärt: Confidential Computing und wie es funktioniert

Tobias Glemser ist BSI-zertifizierter Penetrationstester und Geschäftsführer der secuvera GmbH. Seit über 20 Jahren arbeitet er in der Cybersicherheit. Privat ist er unter anderem bei OWASP engagiert.

Wie jedes OWASP-Projekt basieren auch die Top Ten auf ehrenamtlicher Arbeit. Die Freiwilligen entwickeln Werkzeuge und Dokumente, die sie der Öffentlichkeit kostenlos zur Verfügung stellen. Hinter den aktuellen Top Ten stehen fünf primäre Autoren, darunter mit Thorsten Gigler auch ein Mitglied des OWASP Chapter Germany und Mitorganisator des lokalen Treffens in München.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Waipu.tv im Test: Streaming-Stick fürs Internetfernsehen

Für den Internet-TV-Dienst Waipu.tv ist der Streaming-Stick in einer zweiten Auflage erschienen. Die Neuerungen sind überschaubar, aber durchaus sinnvoll.

Nextcloud mit Apps erweitern: Fotoverwaltung, Aufgaben, Notizen und Kochbuch

Mit Nextcloud Hub bauen Nutzer ihren eigenen Cloud-Speicher. Apps machen ihn zur Schaltzentrale mit Fotoverwaltung, Notizfunktion, Kochbuch – und vielem mehr.

Auswandern nach Polen: Was ITler verdienen, Lebenshaltungskosten und Steuern

Das "Silicon Valley Europas" lockt mit Jobs in der Techbranche und niedrigen Preisen. Wir erklären, ob die Rechnung für IT-Experten wirklich aufgeht.

Elektroauto lädt an bidrektionaler Wallbox

Kaufberatung: Wallboxen mit Gleich- und Wechselstrom für bidirektionales Laden

Bidirektionales Laden nimmt auch in Deutschland langsam an Fahrt auf. Wir zeigen, welche passenden Wallboxen verfügbar und angekündigt sind.

Open-Source-Inventarsoftware: Mit HomeBox Ordnung ins heimische Chaos bringen

Über die Jahre sammelt sich insbesondere bei Tech-Enthusiasten einiges an Material an. Die Open-Source-Inventarsoftware Homebox schafft Ordnung und Übersicht.