OWASP Top 10 2025: Warum Supply‑Chain‑Risiken jetzt im Fokus stehen

LGR Reutlingen – 06 Juni 2026 | Die aktuelle OWASP Top 10 2025 Supply-Chain-Risiken rcken in den Fokus und verändern damit die Spielregeln für Entwickler, Unternehmen und Aufsichtsbehörden. Während künstliche Intelligenz (KI) neue Abwehrmöglichkeiten eröffnet, eröffnet sie gleichzeitig Angreifern bislang unbekannte Angriffsflächen. Die jüngste Aktualisierung der OWASP‑Liste, veröffentlicht am 5. Juni 2026, verschiebt das Augenmerk von einzelnen, veralteten Komponenten hin zu systemischen Schwachstellen im gesamten Software‑Ökosystem.

Der neue Eintrag A03 trägt den Titel Software Supply Chain Failures und ersetzt die bisherige Kategorie Vulnerable and Outdated Components. Damit wird deutlich, dass Angriffe nicht mehr ausschließlich über fehlerhaften Quellcode, sondern über manipulierte Bibliotheken, Paket‑Repositorien und Build‑Pipelines erfolgen. Ein eindrückliches Beispiel hierfür lieferte das PyPI‑Repository im Mai dieses Jahres, als drei kompromittierte Versionen eines Python‑SDKs für durabletask entdeckt wurden. Das betroffene Paket wird monatlich rund 400.000 Mal heruntergeladen – ein beunruhigender Hinweis auf die potenzielle Reichweite solcher Angriffe.

OWASP Top 10 2025 Supply-Chain-Risiken rcken in den Fokus

Die Konsequenzen für Unternehmen sind gravierend. Der EU‑Cyber‑Resilience‑Act, der am 11. September 2026 in Kraft tritt, verlangt von kritischen Infrastrukturen detaillierte Berichte über Lieferketten‑Risiken. Unternehmen müssen nun nicht mehr nur ihre eigenen Code‑Bases auditieren, sondern auch die Herkunft und Integrität sämtlicher Dritt‑Komponenten nachweisen. Die Kombination aus regulatorischem Druck und der zunehmenden Komplexität moderner Software‑Stacks zwingt zu einer ganzheitlichen Sicherheitsstrategie.

Ein weiteres neues Element der Top‑Liste ist A10 – Mishandling of Exceptional Conditions. Fehlerhafte Ausnahmebehandlungen bleiben ein beliebtes Einfallstor für Angreifer, weil sie oft unbeabsichtigt sensible Informationen preisgeben oder unerwartete Pfade öffnen, die von Exploits ausgenutzt werden können. In der Praxis zeigen Studien, dass rund 30 % der kritischen Schwachstellen auf mangelhafte Fehlerbehandlung zurückzuführen sind.

KI als zweischneidiges Schwert

Gleichzeitig entwickelt sich die KI‑gestützte Sicherheitslandschaft rasant. Am 3. Juni 2026 veröffentlichte das Unternehmen Anthropic auf GitHub eine Open‑Source‑Referenzimplementierung, die das KI‑Modell Claude in einen autonomen Code‑Verteidiger verwandelt. Das System analysiert Quellcode, identifiziert potenzielle Schwachstellen, priorisiert sie nach Schweregrad und schlägt automatisierte Patches vor. Dieses Projekt ist Teil von Project Glasswing, das bereits mehr als 150 Organisationen aus über 15 Ländern, darunter Samsung, SK Hynix, die NATO und die EU‑Agentur ENISA, zusammenbringt.

Die US‑Regierung hat mit einem Exekutivbefehl vom 2. Juni 2026 eine spezialisierte KI‑Cybersicherheits‑Zentrale eingerichtet, die Schwachstellen‑Scans und Patch‑Verteilungen für kritische Infrastrukturen koordiniert. Experten sehen darin einen wichtigen Schritt, um die wachsende Flut an KI‑generiertem Code zu kontrollieren.

Allerdings birgt KI selbst Risiken: Laut aktuellen Sicherheitsleitfäden besteht lediglich etwa 55 % des KI‑generierten Codes aus Standard‑Sicherheitsprüfungen. Pull‑Requests, die von KI‑Assistenten stammen, enthalten demnach 15‑18 % mehr Sicherheitslücken als solche von menschlichen Entwicklern. Diese Diskrepanz wird besonders deutlich bei der automatisierten Erstellung von PowerShell‑Skripten und bei der Suche nach Zero‑Day‑Lücken.

Praxisnahe Gegenmaßnahmen

Um den neuen Bedrohungen zu begegnen, haben Cloud‑Anbieter und Sicherheitsfirmen ihre Angebote angepasst. Amazon Web Services kündigte am 4. Juni mehrere Verbesserungen an, darunter fein granulare Zugriffskontrollen für Verbraucheranwendungen und Werkzeuge zur Identifizierung ungenutzter Verschlüsselungsschlüssel. Für Unternehmen, die KI‑Anwendungen betreiben, empfehlen Sicherheitsexperten eine mehrschichtige Verteidigungsstrategie, die über klassische Datenverwaltung hinausgeht:

• Implementierung von String‑Verschlüsselung und Kontrollfluss‑Schutz, um Reverse Engineering zu erschweren.
• Einsatz von Automatisierungs‑Tools zur kontinuierlichen Analyse von Supply‑Chain‑Abhängigkeiten.
• Regelmäßige Software‑Bill‑of‑Materials (SBOM) Checks, um Herkunft und Version aller Dritt‑Komponenten nachzuverfolgen.
• Einbindung von KI‑gestützten Code‑Reviews kombiniert mit menschlicher Peer‑Review, um Fehlalarme zu reduzieren.

Für Remote‑Mitarbeiter empfiehlt die Branche die Nutzung von WPA3 für Heimnetzwerke, die 3‑2‑1‑Backup‑Regel (drei Kopien, auf zwei Medien, eine extern) und die konsequente Durchsetzung von Multi‑Faktor‑Authentifizierung, insbesondere für E‑Mail‑ und Cloud‑Konten.

Ausblick: Was bedeutet das für die Industrie?

Die Verschiebung des Fokus hin zu Lieferketten‑Risiken hat bereits erste Auswirkungen auf Investitionen. Unternehmen, die bislang primär in Netzwerk‑Firewalls investiert haben, verlagern Budgets in Richtung Software‑Supply‑Chain‑Management und Automatisierte Schwachstellen‑Scans. Start‑ups, die KI‑gestützte Sicherheitslösungen anbieten, erleben ein starkes Wachstum – ein Trend, den Analysten von Bloomberg als “Sicherheits‑KI‑Boom” bezeichnen.

Gleichzeitig bleibt die Gefahr durch traditionelle Malware bestehen. Anfang Juni wurde die Ransomware Lalia entdeckt, die gezielt Windows‑Systeme verschlüsselt und Schattenkopien löscht. Parallel dazu steigt das Risiko von Deep‑Fake‑Betrug, bei dem kurze Audio‑Clips ausreichen, um Stimmen zu klonen und Unternehmen zu täuschen.

Die Kombination aus regulatorischem Druck, technologischem Wandel und der zunehmenden Verbreitung von KI schafft ein Spannungsfeld, in dem Unternehmen flexibel und proaktiv agieren müssen. Die OWASP Top 10 2025 Supply-Chain-Risiken rcken in den Fokus – und damit auch die Notwendigkeit, Lieferketten‑Sicherheit als zentralen Bestandteil der digitalen Resilienz zu begreifen.