Kaum ein Dokument wird in Sicherheitsgesprächen über Webanwendungen so oft zitiert wie die OWASP Top 10. Ausschreibungen verlangen Schutz dagegen, Prüfer testen entlang der Liste, Hersteller werben mit Abdeckung. Dahinter steht eine Organisation, die weit mehr anbietet als eine Liste.
Was ist OWASP?
OWASP steht für Open Worldwide Application Security Project, eine gemeinnützige Organisation, die seit 2001 Wissen, Standards und Werkzeuge für sichere Software entwickelt. Alle Materialien sind frei verfügbar und herstellerneutral; getragen wird die Arbeit von einer weltweiten Community aus Sicherheitsfachleuten und lokalen Chaptern.
Der Name fällt meist im Zusammenhang mit einem der Projekte. Die wichtigsten:
- OWASP Top 10: Die regelmäßig aktualisierte Liste der zehn kritischsten Sicherheitsrisiken für Webanwendungen, von Broken Access Control über Injection bis zu Fehlern in Protokollierung und Überwachung. Sie ist als Bewusstseins-Dokument gedacht, wird in der Praxis aber oft als Mindestmaßstab behandelt.
- OWASP API Security Top 10: Das Gegenstück für Programmierschnittstellen, mit eigenen Risikoklassen wie fehlerhafter Objekt-Autorisierung. Relevant, weil APIs inzwischen einen großen Teil des Anwendungsverkehrs ausmachen.
- ASVS (Application Security Verification Standard): Ein detaillierter Anforderungskatalog, gegen den sich Anwendungen in mehreren Stufen prüfen lassen. Wo die Top 10 sensibilisieren, liefert der ASVS die Checkliste für Entwicklung und Audit.
- Werkzeuge und Leitfäden: Vom frei verfügbaren Schwachstellenscanner über Cheat Sheets für Entwickler bis zum Reifegradmodell SAMM für ganze Organisationen.
So arbeitet es
Die Inhalte entstehen offen und datengetrieben. Für die Top 10 wertet die Community Schwachstellendaten aus einer großen Zahl realer Anwendungen aus und ergänzt sie um Branchenumfragen. Jedes Projekt wird öffentlich gepflegt, Änderungen sind nachvollziehbar, und jeder kann beitragen. Genau diese Offenheit hat die Materialien zum gemeinsamen Vokabular der Branche gemacht: Wenn ein Prüfbericht von einer Injection-Schwachstelle spricht, ist allen Beteiligten klar, welche Risikoklasse gemeint ist.
Warum es wichtig ist
- Gemeinsame Sprache: Entwicklungsteams, Prüfer, Einkauf und Management reden über dieselben Risikoklassen statt über vage Sicherheitsversprechen.
- Praxisnaher Einstieg: Die Top 10 machen ein unübersichtliches Feld greifbar und helfen, Budgets auf die häufigsten Fehlerklassen zu lenken.
- Prüfbarer Maßstab: Mit dem ASVS lässt sich Anwendungssicherheit in konkreten, testbaren Anforderungen ausdrücken, vom Login bis zur Fehlerbehandlung.
- Vertrags- und Compliance-Anker: Viele Ausschreibungen, Rahmenwerke und Prüfkataloge verweisen auf OWASP-Material; wer es kennt, versteht die Anforderungen schneller.
- Kostenlos und neutral: Die Inhalte stehen jedem Unternehmen offen, unabhängig von Größe und eingesetzten Produkten.
Typische Anwendungsfälle
- Entwicklung: Ein Team richtet seine Code-Reviews und Testfälle an den Top 10 und den Cheat Sheets aus und prüft Releases gegen ein ASVS-Level.
- Beschaffung: Eine Ausschreibung verlangt von Software-Lieferanten Aussagen zur Abdeckung der OWASP Top 10 und zum Umgang mit Abhängigkeiten.
- Prüfung: Pentests und Audits strukturieren ihre Ergebnisse entlang der OWASP-Risikoklassen, damit Funde vergleichbar und priorisierbar sind.
- Schutzbetrieb: Eine Web Application Firewall wird mit Regelwerken betrieben, die sich an den OWASP-Risikoklassen orientieren, etwa gegen Injection oder Cross-Site-Scripting.
OWASP Top 10 und CVE: der Unterschied
Beide Begriffe fallen oft im selben Satz, meinen aber Verschiedenes. Die OWASP Top 10 beschreiben Risiko-KLASSEN: wiederkehrende Fehlerarten wie kaputte Zugriffskontrolle oder unsichere Konfiguration. Eine CVE bezeichnet dagegen eine KONKRETE, katalogisierte Schwachstelle in einem bestimmten Produkt samt Versionsangabe. Vereinfacht: Die Top 10 sagen, welche Fehlerarten Sie in eigener Software vermeiden sollten; CVEs sagen, welche bekannten Lücken Sie in eingekaufter Software patchen müssen. Ein vollständiges Sicherheitsprogramm braucht beides, dazu Eindämmung für den Fall, dass trotzdem etwas durchkommt.
So unterstützt KAEMI
OWASP ist für uns kein Fremdwort aus Ausschreibungen: KAEMI-Geschäftsführer Sven Launspach ist selbst OWASP-Mitglied und bringt die Arbeit der Community direkt in unsere Praxis ein. Für den Schutz von Webanwendungen und APIs setzt KAEMI auf Application Security als Managed Service: Web Application Firewall, DDoS-Schutz sowie Bot- und API-Management, betrieben mit Regelwerken, die sich an den OWASP-Risikoklassen orientieren. Ergänzend begrenzt Zero-Trust-Mikrosegmentierung den Schaden, falls eine Anwendungsschwachstelle doch ausgenutzt wird: Der kompromittierte Dienst bleibt eingedämmt, statt zum Sprungbrett ins übrige Netz zu werden.