Die Top 10 der OWASP im Jahr 2025: Schwachstellen in der Software-Lieferkette

Mit der lang erwarteten Veröffentlichung der OWASP Top 10 für 2025 gibt es für Unternehmen einige neue Bedrohungen, auf die sie besonders achten müssen, darunter eine, die ganz oben auf der Liste steht. Fehler in der Software-Lieferkette, die als neue, aber nicht ganz neue Kategorie eingeführt wurde, stehen auf Platz drei der vierjährlichen Liste des Open Web Application Security Project der schwerwiegendsten Risiken für die Sicherheit von Webanwendungen. Dieses Risiko sollten Unternehmen sehr ernst nehmen, falls sie dies nicht bereits tun.

Fehler in der Software-Lieferkette wurden ab 2021 aus einer Kategorie der vorherigen Liste, „Anfällige und veraltete Komponenten“, entfernt und umfassen nun ein breiteres Spektrum an Kompromittierungen im gesamten Ökosystem von Software-Abhängigkeiten, Build-Systemen und Vertriebsinfrastrukturen. Und ihr Erscheinen auf der Liste sollte uns nicht besonders überraschen, wenn man bedenkt, welchen Schaden die bekanntesten Angriffe auf die Lieferkette angerichtet haben, wie beispielsweise „Solarwinds“ im Jahr 2019, der Hack von Bybit Anfang dieses Jahres und die aktuelle „Shai-Hulud“-Kampagne, ein besonders unangenehmer, sich selbst replizierender npm-Wurm, der in exponierten Entwicklerumgebungen Chaos anrichtet.

Im Allgemeinen ist die Top Ten von OWASP konstant geblieben, was einer Liste entspricht, die alle vier Jahre erscheint, wenn auch mit Zwischenaktualisierungen. In der Regel gibt es einige Änderungen in der Liste: Injection, seit langem dabei, fällt beispielsweise von Platz 3 auf Platz 5, und Insecure Design fällt um zwei Plätze auf Platz 6, während Security Misconfiguration von Platz 5 auf Platz 2 vorrückt. Broken Access Control belegt weiterhin den ersten Platz. Die Ausgabe 2025 enthält zwei neue Teilnehmer, die bereits erwähnten Software Supply Chain Failures und Mishandling of Exceptional Conditions, die auf Platz 10 in die Liste aufgenommen wurden. Im Folgenden werden wir den neuen Eintrag zu Schwachstellen in der Lieferkette genauer betrachten.

[VIDEO ANSEHEN]

Schwachstellen können fast überall auftreten.

Fehler in der Software-Lieferkette sind eine etwas ungewöhnliche Kategorie in der Liste, da sie unter den 10 Einträgen die geringste Anzahl von Fällen in den Forschungsdaten von OWASP aufweisen, aber auch die höchste Durchschnittspunktzahl für Exploits und Auswirkungen als Ergebnis der fünf Auflistungen häufiger Schwachstellen (CWE) in dieser Kategorie haben. OWASP vermutet, dass die geringe Präsenz dieser Kategorie auf die derzeitigen Schwierigkeiten bei der Überprüfung zurückzuführen ist, was sich mit der Zeit verbessern könnte. Auf jeden Fall gaben die Befragten überwiegend an, dass Fehler in der Software-Lieferkette eines ihrer Hauptanliegen sind.

Die meisten Schwachstellen in der Lieferkette entstehen durch die vernetzte Natur der Geschäftstätigkeit, an der vorgelagerte und nachgelagerte Partner sowie Dritte beteiligt sind. Jede Interaktion beinhaltet Software, deren Komponenten (auch als Abhängigkeiten oder Bibliotheken bezeichnet) ungeschützt sein könnten. Ein Unternehmen kann anfällig sein, wenn es nicht alle Versionen seiner eigenen Komponenten (auf Client-Seite, Server-Seite oder verschachtelt) sowie transitive Abhängigkeiten (von anderen Bibliotheken) nachverfolgt und sicherstellt, dass diese nicht anfällig, inkompatibel oder veraltet sind. Komponenten haben in der Regel die gleichen Berechtigungen wie die Anwendung, sodass kompromittierte Komponenten, einschließlich solcher von Drittanbietern oder aus Open-Source-Repositorys, weitreichende Auswirkungen haben können. Es ist von entscheidender Bedeutung, Patches und Updates rechtzeitig zu installieren. Selbst regelmäßige monatliche oder vierteljährliche Patch-Programme können ein Unternehmen tagelang oder monatelang ungeschützt lassen.

Ebenso kann das Fehlen eines Änderungsmanagementprozesses in Ihrer Lieferkette zu Schwachstellen führen, wenn Sie die integrierten Entwicklungsumgebungen (IDE) oder Änderungen in Ihrem Code-Repository, Ihren Bild-Repositorys und Bibliotheken oder anderen Teilen der Lieferkette nicht verfolgen. Ein Unternehmen muss seine Lieferkette durch die Anwendung von Zugriffskontrollrichtlinien und minimalen Berechtigungen stärken und sicherstellen, dass niemand ohne Aufsicht Code erstellen und in der Produktion implementieren kann und dass niemand Komponenten aus nicht vertrauenswürdigen Quellen herunterladen kann.

Angriffe auf die Lieferkette können viele Formen annehmen. Der berühmte Angriff auf SolarWinds begann, als russische Angreifer Malware in ein Update der beliebten Netzwerkverwaltungssoftware des Unternehmens einschleusten. Davon waren etwa 18.000 Kunden betroffen. Die Zahl der tatsächlich betroffenen Unternehmen belief sich zwar auf fast 100, doch darunter befanden sich auch große Unternehmen und Regierungsbehörden. Der Hackerangriff auf Bybit, der 1,5 Milliarden Dollar kostete und auf Nordkorea zurückgeführt wurde, betraf kompromittierte Kryptowährungsanwendungen. Der jüngste Crystal-Wurm-Angriff auf die Lieferkette umfasste einen unsichtbaren, sich selbst replizierenden Code, der den Open VSX Marketplace infizierte.

Vermeidung von Schwachstellen in der Lieferkette

Da Angriffe auf die Lieferkette die gegenseitige Abhängigkeit der Systeme mit sich bringen, erfordert die Abwehr dieser Angriffe einen ganzheitlichen Ansatz. OWASP bietet Tipps zur Verhinderung von Angriffen, darunter die Implementierung von Patch-Management-Prozessen für:

• Lernen Sie Ihre Software-Materialienliste (SBOM) für die gesamte Software kennen und verwalten Sie die SBOM zentral. Es ist besser, die SBOMs während der Kompilierung zu erstellen, anstatt dies später zu tun, indem Sie Standardformate wie SPDX oder CyclonedX verwenden und mindestens eine maschinenlesbare SBOM pro Version veröffentlichen.
• Verfolgen Sie alle Ihre Abhängigkeiten, einschließlich transitiv, und entfernen Sie nicht verwendete Abhängigkeiten sowie unnötige Funktionen, Komponenten, Dateien und Dokumentationen.
• Führen Sie eine kontinuierliche Bestandsaufnahme der Komponenten auf Client- und Serverseite sowie deren Abhängigkeiten durch Tools wie OWASP Dependency Check oder remove.js durch .
• Bleiben Sie über Schwachstellen auf dem Laufenden und überwachen Sie kontinuierlich Quellen wie Common Vulnerabilities and Exposures (CVE) und die Website National Vulnerability Database (NVD). Abonnieren Sie E-Mail-Benachrichtigungen zu Sicherheitslücken, die mit den von Ihnen verwendeten Komponenten zusammenhängen.
• Verwenden Sie nur Komponenten aus vertrauenswürdigen Quellen über sichere Links. Ein vertrauenswürdiger Anbieter wäre beispielsweise bereit, mit einem Forscher zusammenzuarbeiten, um eine CVE zu veröffentlichen, die der Forscher in einer Komponente entdeckt hat.
• Wählen Sie bewusst, welche Version einer Abhängigkeit Sie verwenden möchten, und aktualisieren Sie diese nur, wenn es notwendig ist. Arbeiten Sie mit Bibliotheken von Drittanbietern, deren Schwachstellen in einer bekannten Quelle wie NVD veröffentlicht wurden.
• Überwachen Sie Bibliotheken und Komponenten, die nicht gewartet werden oder nicht kompatibel sind. Wenn das Anwenden von Patches nicht möglich ist, sollten Sie die Implementierung eines virtuellen Patches in Betracht ziehen, um das entdeckte Problem zu überwachen, zu erkennen oder davor zu schützen.
• Aktualisieren Sie regelmäßig die Tools für Entwickler.
• Behandeln Sie die Komponenten Ihrer CI/CD-Pipeline als Teil dieses Prozesses, indem Sie sie verstärken und überwachen, während Sie die Änderungen dokumentieren.

Das Änderungsmanagement oder ein Überwachungsprozess sollte auch auf die CI/CD-Konfiguration, Code-Repositorys, Testumgebungen, integrierte Entwicklungsumgebungen (IDE), SBOM-Tools, erstellte Artefakte, Registrierungssysteme und -protokolle, Integrationen von Drittanbietern wie SaaS, das Artefakt-Repository und das Container-Register angewendet werden. Außerdem müssen die Systeme verstärkt werden, von den Arbeitsplätzen der Entwickler bis hin zu den CI/CD-Prozessen. Stellen Sie außerdem sicher, dass Sie die Multi-Faktor-Authentifizierung aktivieren und gleichzeitig strenge Richtlinien für die Identitäts- und Zugriffsverwaltung anwenden.

Der Schutz vor Störungen in der Software-Lieferkette ist angesichts unserer hochgradig vernetzten Welt eine kontinuierliche und vielschichtige Aufgabe. Unternehmen müssen während des gesamten Lebenszyklus ihrer Anwendungen und Komponenten solide Abwehrmaßnahmen ergreifen, um sich gegen diese moderne und sich schnell entwickelnde Bedrohung zu schützen.

Hinweis zum SCW Trust Score™ für Nutzer:

Da wir die Inhalte unserer Lernplattform aktualisieren, um sie an den OWASP Top 10 2025-Standard anzupassen, kann es zu geringfügigen Anpassungen der Vertrauenswürdigkeit Ihrer Full-Stack-Entwickler kommen. Bei Fragen oder wenn Sie Hilfe benötigen, wenden Sie sich bitte an Ihren Customer Success-Vertreter.