Die am häufigsten übersehenen OWASP Top 10 Risiken im Jahr 2025

München, Deutschland - 19. September 2025

Warum Organisationen kritische Web-Schwachstellen immer noch nicht adressieren

Trotz der weitverbreiteten Bekanntheit der OWASP Top 10 zeigen Rasotecs kürzliche Web Application Penetration Tests, dass viele Organisationen immer noch mehrere der impactreichsten Risiken übersehen. Diese Übersehen resultieren selten aus Wissensmangel. Stattdessen stammen sie aus Komplexität, fehlausgerichteten Prioritäten und übermäßigem Vertrauen in automatisierte Scanning-Tools.

Die OWASP Top 10 repräsentiert die häufigsten und kritischsten Web-Sicherheitsrisiken. Doch selbst ausgereifte Organisationen unterschätzen oft bestimmte Einträge, was ausbeutbare Lücken hinterlässt. Diese übersehenen Risiken sind typischerweise keine technischen Konfigurationsfehler, sondern Business-Logik-Fehler, Zugriffskontrollprobleme und unsichere Integrationen, die menschlich geführte Tests zur Erkennung erfordern.

Broken Access Control (A01:2021) bleibt das konsistentest unteradressierte Risiko in Rasotecs Findings. Applikationen verlassen sich oft auf Client-seitige Checks oder unvollständige Rollendurchsetzung, was Privilegieneskalation, horizontalen Datenzugriff oder administrative Aktionen ohne Autorisierung erlaubt. Automatisierte Scanner detektieren diese Issues selten, weil sie kontextuelles Verständnis der Applikationslogik erfordern.

Insecure Design (A04:2021) ist ein weiteres Risiko, das Organisationen tendenziell ignorieren. Sicherheit wird oft nachträglich an Entwicklung angeflanscht rather than von Beginn an eingebettet. Dies resultiert in fragilen Autorisierungsflows, unsicheren Vertrauensgrenzen und fehlenden Sicherheitskontrollen. Solche Fehler sind für statische Analyse unsichtbar und erfordern Threat Modeling und manuelle Bewertung zur Aufdeckung.

"Automatisierte Tools verpassen, was Angreifer am meisten ausnutzen: Logikfehler und Design-Lücken. Unsere Tests exponieren sie, bevor sie zu Incidents werden", sagte Rick Grassmann, Chief Executive Officer bei Rasotec.

Vulnerable and Outdated Components (A06:2021) sind weitbekannt, aber häufig heruntergespielt. Teams nehmen an, dass Package Manager und Container Base Images aktuell sind, aber Rasotec findet oft ungepatchte Libraries oder verwaiste Komponenten, die in Production laufen. Angreifer nutzen diese Lücken aus, weil sie vorhersehbar, gut dokumentiert und einfach zu automatisieren sind.

Security Logging and Monitoring Failures (A09:2021) sind besonders problematisch während Incident Response. Ohne angemessene Audit Logs können Organisationen Angriffe nicht detektieren oder rekonstruieren, was zu langen Verweilzeiten führt. Rasotec beobachtet oft fehlende Login-Audit-Trails, abwesende Admin-Action-Logging und keine Alerting bei verdächtiger Aktivität, was Angreifern operative Deckung gibt.

Diese Findings heben ein wiederkehrendes Muster hervor: Organisationen investieren in oberflächliche Sicherheitsmaßnahmen, but neglect structural weaknesses that require manual analysis. Automatisierte Tools spielen eine wichtige Rolle, aber sie können Business-Logik, kontextuelle Zugriffsregeln oder Design-Annahmen nicht evaluieren. Nur gezieltes, menschlich geführtes Penetration Testing kann diese Fehler zuverlässig aufdecken.

Rasotecs Boutique-Ansatz fokussiert auf tiefgehende, manuelle Analyse komplexer Webapplikationen, simuliert reales Angreiferverhalten rather than relying solely on scanners to identify overlooked OWASP Top 10 risks that represent the highest real-world impact.

Über Rasotec: Rasotec ist einer der engsten Partner von CypSec und ein Boutique-Sicherheitsunternehmen, das sich auf manuelle Penetrationstests komplexer Web-, Mobile- und Infrastrukturenvironments spezialisiert. Sein Team fokussiert auf die Aufdeckung von Logikfehlern, verketteten Angriffspfaden und hochimpactvollen Schwachstellen, die automatisierte Tools verpassen. Weitere Informationen unter rasotec.com.

Medienkontakt: Rick Grassmann, Chief Executive Officer bei Rasotec - rick.grassmann@rasotec.com.