OWASP Top 10 2025 und die Identity Reality Gap

Warum Application Security allein kein Enterprise Risk mehr schließt

Die OWASP Top 10 2025 [1] spiegeln die kritischsten Anwendungssicherheitsrisiken wider, die branchenübergreifend beobachtet werden. Während die Liste konzeptionell anwendungszentriert bleibt, offenbart sie zunehmend eine umfassendere Unternehmensherausforderung: Viele dieser Risiken bestehen nicht, weil Sicherheitskontrollen fehlen, sondern weil Identitäten, Zugriffe und Drittparteien in komplexen Ökosystemen unzureichend gesteuert werden.

Dieser Artikel untersucht ausgewählte Kategorien der OWASP Top 10 2025 aus der Perspektive von Identität, Governance und Unternehmensrisiko und erläutert, wo Nexis durch die NEXIS Platform wesentlich zur Reduzierung dieser Risiken beiträgt.

A01: Broken Access Control

Broken Access Control tritt auf, wenn Autorisierung nicht konsistent durchgesetzt wird und Benutzer dadurch auf Daten zugreifen oder Aktionen ausführen können, die außerhalb ihrer vorgesehenen Berechtigungen liegen. OWASP gibt an, dass bei 100 % der getesteten Anwendungen eine Form von Broken Access Control festgestellt wurde.

Highlights

• Fehlende oder inkonsistente Autorisierungsprüfungen
• Übermäßige Berechtigungen und Pfade zur Rechteausweitung
• Zugriff auf Objekt- und Funktionsebene wird nicht validiert
• Schwachstellen häufig ohne fortgeschrittene Techniken ausnutzbar

NEXIS Platform Perspektive

Broken Access Control bleibt das am weitesten verbreitete Anwendungsrisiko, weil sich Autorisierungslandschaften in Unternehmen kontinuierlich und häufig ohne ausreichende Governance weiterentwickeln. Zugriffe akkumulieren im Laufe der Zeit, die Verantwortlichkeit für Berechtigungen wird unklar, und Änderungen in Rollen, Verantwortlichkeiten oder Drittparteibeziehungen spiegeln sich nicht konsistent in effektiven Berechtigungen wider. Die NEXIS Platform adressiert diese Herausforderung, indem sie strukturierte und automatisierte Access Reviews etabliert, Segregation of Duties (SoD)-Kontrollen durchsetzt und kontinuierliche Transparenz darüber bietet, wer systemübergreifend was tun kann. Durch die Steuerung von Zugriffsentscheidungen über deren gesamten Lebenszyklus hinweg, einschließlich interner und Drittpartei-Zugriffe, wird Autorisierungsdrift reduziert, bevor sie sich als ausnutzbare Access-Control-Schwachstellen manifestiert.

A02: Security Misconfiguration

Security Misconfiguration tritt auf, wenn Systeme, Anwendungen oder Komponenten mit unsicheren Standardeinstellungen, unvollständiger Härtung oder inkonsistenter Konfiguration bereitgestellt werden, zunehmend auch, da sicherheitsrelevantes Verhalten vom Code in die Konfiguration verlagert wird. OWASP gibt an, dass bei 100 % der getesteten Anwendungen eine Form von Fehlkonfiguration festgestellt wurde.

Highlights

• Unsichere Standardkonfigurationen
• Unvollständige oder ad-hoc Härtung
• Konfigurationsdrift über Umgebungen hinweg
• Übermäßig exponierte Dienste, Rollen oder Berechtigungen
• Standardkonten und deren Passwörter sind weiterhin aktiviert und unverändert

NEXIS Platform Perspektive

In modernen Unternehmen manifestiert sich ein erheblicher Anteil von Security Misconfiguration auf der Identitäts- und Zugriffsebene und nicht allein in der Infrastruktur. IAM Governance Documentation, Autorisierungs- und Rollendefinitionen, Attribut-Mappings und Drittpartei-Zugriffsregeln stellen Konfigurationsartefakte mit direkter Sicherheitsrelevanz dar. Die NEXIS Platform adressiert dieses Risiko, indem sie dokumentierte IAM-Governance-Strukturen kontinuierlich gegen effektive Zugriffe validiert, Abweichungen identifiziert und Governance-Workflows bei Änderungen durchsetzt.

Aufbauend auf diesem Fundament kombiniert die NEXIS Platform Identity Analytics und Identity Security Posture Management (ISPM), um ungenutzte, übermäßige oder anomale Autorisierungen systemübergreifend zu erkennen. Funktionen wie der License Killer entfernen unnötige Zugriffe und Berechtigungen und ermöglichen es Organisationen, damit verbundene ungenutzte Features oder Dienste zu identifizieren, die nicht länger aktiv sein müssen. Dies reduziert die effektive Angriffsfläche direkt, indem Funktionalitäten und Zugriffspfade eliminiert werden, die nicht existieren sollten.

Zusätzlich zu diesen Funktionen wird die NEXIS Platform den Evidence Collector einführen, einen AI-basierten Service zur Sammlung und Verifizierung von Nachweisen. Der Evidence Collector schließt eine kritische Lücke, indem er End-to-End-integrierte Prüfungen durchführt, dass Konfigurationen und sicherheitsrelevante Einstellungen innerhalb von Anwendungen exakt so implementiert sind, wie in der IAM Governance Documentation definiert. Durch automatisches Sammeln, Korrelieren und Validieren von Nachweisen stellt die Platform sicher, dass dokumentierte Absicht, technische Konfiguration und effektiver Zugriff kontinuierlich übereinstimmen. Dies verengt die Fehlkonfigurationslücke erheblich, indem von angenommener Compliance zu verifizierbarer und kontinuierlich überwachter Implementierung übergegangen wird.

A03: Software Supply Chain Failures

Software Supply Chain Failures treten auf, wenn Anwendungen auf kompromittierte Komponenten, Build-Prozesse oder externe Anbieter angewiesen sind und dabei Softwareartefakten und operativen Prozessen implizit vertrauen, die nicht ausreichend gesteuert oder verifiziert werden.

Highlights

• Kompromittierte Drittanbieter-Bibliotheken oder Abhängigkeiten
• Unsichere oder unzureichend gesteuerte CI/CD-Pipelines
• Übermäßiges Vertrauen in externe Komponenten oder Anbieter
• Begrenzte Transparenz darüber, wer Software ändern oder bereitstellen kann

NEXIS Platform Perspektive

Software Supply Chains sind keine rein technischen Konstrukte mehr. Sie werden von Identitäten, Service Accounts und externen Parteien betrieben und beeinflusst, die organisatorische und vertragliche Grenzen überspannen. Die NEXIS Platform trägt zur Reduzierung von Supply-Chain-Risiken bei, indem sie steuert, wer Anwendungen, Pipelines und Integrationen administrieren darf, und indem sie Least-Privilege-Zugriff über interne und Drittpartei-Akteure hinweg durchsetzt. Durch ihre Third-Party Risk Management-Funktionen bietet die Platform GRC-Funktionalität zur Bewertung, Klassifizierung und Steuerung von Drittparteien, einschließlich strukturierter Assessments und Risikobewertung. Dies etabliert eine ganzheitliche Governance-Ebene, die Zugriff, Autorisierung und Risikokontext verbindet und sicherstellt, dass Vertrauen in Lieferanten und Dienstleister explizit, messbar und kontinuierlich überprüft wird. Während die Platform Dependency Scanning oder Integritätsprüfungen nicht ersetzt, mindert sie eine kritische Klasse von Supply-Chain-Risiken, bei denen unzureichende Governance von Drittparteien und deren Zugriff zum primären Angriffsvektor wird.

A06: Insecure Design

Insecure Design bezeichnet Schwachstellen, die aus fehlenden oder unzureichenden Sicherheitskontrollen auf Design- und Architekturebene resultieren, häufig aufgrund fehlender Threat Modeling, fehlerhafter Annahmen oder zu später Berücksichtigung von Sicherheit im Lebenszyklus.

Highlights

• Fehlendes oder unvollständiges Threat Modeling
• Schwache oder implizite Trust Boundaries
• Sicherheitskontrollen werden erst nach Vorfällen hinzugefügt
• Übermäßige Abhängigkeit von reaktiven statt präventiven Maßnahmen

NEXIS Platform Perspektive

In großen Unternehmen manifestiert sich Insecure Design häufig in Zugriffs- und Autorisierungsstrukturen, die nie bewusst entworfen wurden, sondern organisch im Laufe der Zeit gewachsen sind. Autorisierungen, Rollen und Genehmigungspfade werden inkrementell eingeführt, oft ohne klares Zielmodell, konsistente Dokumentation oder Ausrichtung an Risiko- und Compliance-Anforderungen. Die NEXIS Platform adressiert dies, indem sie strukturierte IAM Governance Documentation während des Anwendungs-Onboardings und bei Lifecycle-Änderungen durchsetzt und die explizite Definition von Autorisierungen, Rollen, Zugriffsregeln, Segregation of Duties-Einschränkungen und Verantwortlichkeiten erfordert.

Diese Design-Disziplin wird durch die GRC-Funktionen der Platform ergänzt, die Controls definieren und durchsetzen, die auf etablierte Standards wie ISO 27001, DORA, SOX oder HIPAA abgebildet sind. Durch die Verknüpfung von Autorisierungsstrukturen mit Kontrollzielen, Risikoklassifizierungen und Compliance-Anforderungen etabliert die Platform eine Governance-Ebene, die Zugriffsdesign intentional, überprüfbar und auditierbar macht. Die Erweiterung dieses Ansatzes auf Drittpartei-Integrationen stellt sicher, dass unsichere Designmuster nicht an Ökosystemgrenzen wieder eingeführt werden.

A07: Authentication Failures

Authentication Failures treten auf, wenn Authentifizierungsmechanismen schwach, fehlkonfiguriert oder inkonsistent durchgesetzt sind und Angreifern ermöglichen, Konten zu kompromittieren oder unbefugten Zugriff zu erlangen.

Highlights

• Fehlende oder schwache Multi-Faktor-Authentifizierung
• Mangelhafte Handhabung und Speicherung von Zugangsdaten
• Unsichere Session-Verwaltung
• Wiederverwendung kompromittierter oder gemeinsam genutzter Zugangsdaten

NEXIS Platform Perspektive

Authentication Failures in Unternehmensumgebungen werden selten allein durch Authentifizierungsmechanismen verursacht. Sie werden häufig durch mangelhafte Identity Hygiene, unklare Verantwortlichkeiten und fehlende Governance über Identitäten und authentifizierungsrelevante Konfigurationen verstärkt. Verwaiste Konten, inaktive Benutzer, gemeinsam genutzte Identitäten und nicht verwaltete Drittpartei-Konten untergraben selbst starke Authentifizierungskontrollen.

Die NEXIS Platform stärkt die Authentifizierungsposture, indem sie den vollständigen Lebenszyklus von Identitäten und Zugriff steuert. Innerhalb der IAM Governance Documentation können authentifizierungsrelevante Konfigurationen dokumentiert, bewertet und gesteuert werden, einschließlich Anforderungen an korrekte MFA-Einstellungen, sichere Fallback-Mechanismen und Nachweise, dass Kontrollen implementiert und wirksam sind. Durch die Kombination von strukturierten Access Reviews, Konfigurationsnachweisen, kontinuierlicher Anomalieerkennung und Drittpartei-Governance reduziert die Platform das Risiko, dass Authentifizierungskontrollen durch Identitäten oder Konfigurationen unwirksam werden, die hätten entfernt, eingeschränkt oder revalidiert werden müssen.

A09: Security Logging and Alerting Failures

Security Logging and Alerting Failures treten auf, wenn sicherheitsrelevante Ereignisse nicht ausreichend aufgezeichnet, überwacht oder darauf reagiert wird, wodurch zeitnahe Erkennung, Untersuchung und Reaktion auf Angriffe verhindert werden.

Highlights

• Fehlende oder unvollständige Sicherheitsprotokolle
• Alerts, die generiert, aber nicht überprüft oder bearbeitet werden
• Verzögerte Erkennung von Sicherheitsvorfällen
• Unzureichende Nachweise für forensische Analysen und Audits

NEXIS Platform Perspektive

In Unternehmensumgebungen werden Logging- und Alerting-Schwachstellen häufig nicht durch fehlende technische Telemetrie verursacht, sondern durch das Fehlen von Governance, Kontext und handlungsfähiger Intelligence rund um identitäts- und zugriffsbezogene Ereignisse. Die NEXIS Platform adressiert diese Lücke durch Identity Analytics und Identity Security Posture Management (ISPM), indem sie kontinuierlich Identitäts-, Zugriffs- und Autorisierungsdaten analysiert, um Anomalien, Abweichungen und Risikomuster zu erkennen.

Als Identity Visibility and Intelligence Platform (IVIP) folgt die NEXIS Platform einem klaren Prinzip: Visibility muss zu Intelligence führen, und Intelligence muss zu Action führen (vgl. Gartners VIA-Modell [2]). Die Erkennung von Anomalien und Abweichungen löst daher Governance-Workflows, Remediation-Maßnahmen oder erzwungene Reviews aus, um eine sichere und konforme Posture wiederherzustellen. Durch die Einbettung revisionssicherer Nachvollziehbarkeit, analytikgestützter Erkennung und Remediation in IAM Governance Documentation und Governance-Workflows schließt die Platform die Lücke zwischen Erkennung und Reaktion und ergänzt SIEM- und SOC-Tooling mit kontextreicher, handlungsfähiger Governance.

Key Takeaways für CISOs

• OWASP Top 10 2025-Risiken manifestieren sich zunehmend durch Identitäts-, Zugriffs- und Drittpartei-Komplexität, nicht nur durch anfälligen Code
• Broken Access Control und Misconfiguration bleiben universelle Probleme, weil Autorisierungs- und Konfigurationsdrift selten kontinuierlich gesteuert werden
• Supply-Chain-Risiko ist untrennbar von Drittpartei-Zugriff und Identity Governance
• Insecure Design beginnt häufig mit undokumentierten oder unzureichend gesteuerten Autorisierungsmodellen und Anwendungen
• Authentifizierungskontrollen versagen, wenn Identity Hygiene und Governance fehlen
• Logging ohne Kontext ist unzureichend; Analytics, Intelligence und Remediation sind erforderlich, um Risiken nachhaltig zu reduzieren
• Die NEXIS Platform bietet eine ganzheitliche Identitäts-, Governance- und Risikoebene, die Application-Security-Kontrollen ergänzt und hilft, die von OWASP hervorgehobene Enterprise Reality Gap zu schließen

Referenzen

[1] OWASP Top 10: 2025, Januar 2026. Verfügbar unter: https://owasp.org/Top10/2025/

[2] The Visibility, Intelligence, Action (VIA) Model, in: Gartner, Market Guide for Identity Governance and Administration, Steve Wessels, Paul Mezzera, Brian Guthrie, Rebecca Archambault, 2. Oktober 2025, Dokument-ID: G00836197. Verfügbar unter: https://www.gartner.com/document-reader/document/7012098