OWASP Top 10 in neuer Version

Zwo, eins, Risiko …

Tobias Glemser

Im September 2021 ist die neue OWASP-Liste der häufigsten Risiken erschienen. Die OWASP Top 10 sind eines der bekanntesten Sensibilisierungsdokumente der Cybersicherheit. Leider ist es bis heute von vielen unverstanden.

iX-tract

Dass die OWASP Top 10 bedeutend sind und man sie besser kennen sollte, hat sich in Sicherheits- und Entwicklerkreisen längst herumgesprochen. Falsch genutzt wird die Auflistung trotzdem.
Zur Verbesserung der Sicherheit in Webanwendungen genügt es nicht, die Liste mit einigen Sicherheitstests „abzuarbeiten“, denn Risiken sind komplexer und lassen sich nicht wie Schwachstellen finden.
Dennoch können die OWASP Top Ten als Sensibilisierungsdokument und Ausgangspunkt für weitere Sicherheitsüberprüfungen und -maßnahmen dienen. Details für die Praxis liefern weitere OWASP-Projekte, aber auch das Bundesamt für Sicherheit in der Informationstechnik.
Der wichtigste Punkt für Sicherheit (nicht nur) bei Webanwendungen besteht darin, sie von Anfang an zu berücksichtigen und zum Beispiel frühzeitig Tests durchzuführen.

Der Titel der ersten Version der OWASP Top 10 aus dem Jahr 2003 lautete „The Ten Most Critial Web Application Security Vulnerabilities“. Seit 2010 geht es aber bei der Liste des Open Web Application Security Project (OWASP) statt um Schwachstellen um die zehn häufigsten Risiken bei Webanwendungen. Oft werden die OWASP Top 10 als Anforderung für Penetrationstests verwendet. Das ist spätestens seit 2010 nicht (mehr) möglich: Schwachstellen kann man durch Penetrationstests prüfen, Risiken nicht oder nur mittelbar.

Stattdessen ist ein Prüfkatalog notwendig, beispielsweise der sehr gute OWASP Testing Guide (siehe ix.de/z7z4). Die OWASP Top 10 sind jedoch weiterhin ein hervorragendes Dokument zur Sensibilisierung und Schulung zu den häufigsten Risiken bei Webanwendungen und als solches ja auch von den Autoren konzipiert.