Airlock und die OWASP Top 10 Web Application Security Risiken 2025

Diese Seite beschreibt die OWASP Top 10 Web Application Security Riskien für 2025 und wie Airlock diese angeht. Airlock Gateway und Airlock Microgateway bieten WAF- und WAAP- Funktionen – Gateway als Appliance, Microgatway als containerbasierte Lösung für Kubernetes-Umgebungen. Airlock IAM sorgt für eine starke Authentifizierung sowie ein zentralisiertes Identitäts- und Zugriffsmanagement über Anwendungen und APIs hinweg.

Inhaltsverzeichnis

A01:2025 Fehlerhafte Zugriffskontrolle

Fehlerhafte Zugriffskontrolle bezieht sich auf Mängel bei der Durchsetzung von Autorisierungsregeln, wodurch Benutzer auf Daten oder Funktionen zugreifen können, die über ihre Berechtigungen hinausgehen. Häufige Beispiele hierfür sind unsichere direkte Objektreferenzen (IDOR), fehlende serverseitige Zugriffsprüfungen, Privilegien-Eskalation und serverseitige Request-Fälschungen (SSRF).

Wie Airlock die Ausnutzung verhindert

Das Gateway/Microgateway von Airlock fungiert als zentraler Punkt zur Durchsetzung von Richtlinien und verweigert standardmässig den Zugriff – nur explizit zugeordnete Ressourcen sind erreichbar, wobei jede mit Rollen- und Zugriffsbeschränkungen konfigurierbar ist. Airlock IAM gibt nach erfolgreicher Authentifizierung Rolleninformationen weiter und ermöglicht so konsistente, sitzungsbezogene Autorisierungsentscheidungen über alle geschützten Anwendungen hinweg. Anfragen werden zusätzlich anhand definierter und gelernter Richtlinien validiert, was Schutz vor Manipulation, Path Traversal und SSRF bietet.

Relevante Airlock-Funktionen
  • Upstream-Authentifizierung [IAM] und Autorisierung
  • Step-Up- und Step-Down-Authentifizierung
  • Zugriffsmodell «Deny-by-default»
  • CSRF-Schutz
  • Abweisungsregeln für SSRF und Path Traversal

A02:2025 Sicherheitskonfigurationsfehler

Anwendungen sind Angriffen ausgesetzt, wenn unsichere Standardeinstellungen, unvollständige Konfigurationen, falsch konfigurierte Sicherheitsheader oder unsachgemässe Fehlerbehandlung nicht behoben werden.

Wie Airlock die Ausnutzung verhindert

Airlock bietet sichere Standardeinstellungen und ein Konfigurationsmodell, bei dem Anfragen explizit Backend-Diensten zugeordnet werden. Konfigurationsvalidatoren und das Erlernen von Richtlinien reduzieren Fehlkonfigurationen. Antworten und Header werden umgeschrieben, um bewährte Sicherheitspraktiken durchzusetzen und sensible Informationen zu unterdrücken.

Relevante Airlock-Funktionen
  • Sichere Standardkonfiguration
  • Erlernen von Richtlinien
  • Konfigurationsvalidierung
  • Durchsetzung der OpenAPI-Spezifikation
  • GraphQL-Schema-Validierung
  • Einfügen von Sicherheits-Headern, Header-Filterung und Umschreiben von Antworten
  • Cookie-Speicher
  • Ersetzen von Fehlerseiten

A03:2025 Schwachstellen in der Software-Lieferkette

Wenn Komponenten von Drittanbietern, Build-Pipelines oder Update-Mechanismen kompromittiert werden, können Schwachstellen oder bösartiger Code unbemerkt in eine Anwendung eingeschleust werden.

Wie Airlock die Ausnutzung verhindert

Airlock Gateway/Microgateway mindert Schwachstellen in Backend-Komponenten durch virtuelles Patching und Protokollterminierung und reduziert so das Risiko, ohne dass Änderungen an der Anwendung erforderlich sind. Dies ist besonders relevant, wenn Komponenten von Drittanbietern nicht sofort gepatcht werden können. Die Airlock-Plattform selbst ist durch Massnahmen wie SELinux, Schutzmechanismen auf Compiler-Ebene (NX, ASLR) und strikte Privilegien-Trennung gehärtet. Die Software-Lieferkette wird kontinuierlich überwacht, und erforderliche Sicherheitspatches werden bei Bedarf zeitnah ausserhalb der regulären Release-Zyklen bereitgestellt.

Relevante Airlock-Funktionen
  • Virtuelles Patching
  • Infrastructure as Code (IaC)
  • Durchsetzung der MFA-Authentifizierung
  • HTTP-Protokollterminierung und -regeneration
  • Security compartments / Prinzip der geringsten Privilegien
  • Kontinuierliche Überwachung der Software-Lieferkette mit zeitnaher Bereitstellung von Sicherheitspatches ausserhalb der regulären Release-Zyklen

A04:2025 Kryptografische Schwachstellen

Sensible Daten werden offengelegt, wenn keine Verschlüsselung vorhanden ist, schwache kryptografische Algorithmen verwendet werden oder die Schlüsselverwaltung unsicher gehandhabt wird.

Wie Airlock die Ausnutzung verhindert

Airlock beendet TLS mit starken Konfigurationen, einschliesslich der Unterstützung für Post-Quantum-Kryptografie. Sitzungen und Cookies sind vor Diebstahl und Manipulation geschützt. Authentifizierungsdaten werden von Anwendungen getrennt und sicher gehandhabt.

Relevante Airlock-Funktionen
  • TLS-Terminierung (Front-End & Back-End)
  • Unterstützung für Post-Quantum-Kryptografie
  • HSM-Unterstützung

A05:2025 Injection

Böswillige Eingaben werden als Befehle oder Abfragen interpretiert, wenn vom Benutzer bereitgestellte Daten nicht ordnungsgemäss validiert oder bereinigt werden, was Angriffe wie SQL-Injection, Command-Injection und Cross-Site-Scripting (XSS) ermöglicht.

Wie Airlock die Ausnutzung verhindert

Airlock erkennt und blockiert Injection-Versuche mithilfe von Deny-Regeln und dynamischen Whitelists. Protokoll-Validierung und Anforderungsanalyse verhindern, dass fehlerhafte oder mehrdeutige Anfragen Anwendungen erreichen. Anstatt sich ausschliesslich auf die signaturbasierte Erkennung bekannter Exploits zu verlassen, zielen die Regeln von Airlock auf Angriffsklassen und -muster ab – und bieten so proaktiven Schutz vor neuen und unbekannten Varianten.

Relevante Airlock-Funktionen
  • Deny-Regeln
  • Dynamische Whitelisting-Listen & Whitelisting-Lernen
  • HTTP-Protokoll-Validierung und -Regenerierung
  • JSON-, GraphQL- und Multipart-Parsing

A06:2025 Unsicheres Design

Wenn Sicherheitskontrollen auf Architekturebene fehlen oder unwirksam sind, entstehen ausnutzbare Schwachstellen, die nicht allein durch Implementierungskorrekturen behoben werden können, sondern grundlegende Designänderungen erfordern.

Wie Airlock die Ausnutzung verhindert

Airlock gleicht unsichere Anwendungsdesigns aus, indem es an jedem Kontrollpunkt – vom Perimeter bis zur Service-zu-Service-Kommunikation in Zero-Trust-Architekturen – Kontrollen durchsetzt. Ratenbegrenzung, Sitzungsverwaltung und API-Schutz beheben häufige Designschwächen. Ein konsistenter Schutz wird über Kubernetes- und VM-basierte Bereitstellungen hinweg gewährleistet.

Relevante Airlock-Funktionen
  • Zugriffsmodell «Deny-by-default»
  • Sichere Trennung von Mandanten
  • Upstream-Authentifizierung [IAM] & Privilegien-/Sitzungsverwaltung
  • Anomaly Shield (auf maschinellem Lernen basierende Bedrohungserkennung)
  • Native Kubernetes-Integration für Zero-Trust-Architekturen

A07:2025 Authentifizierungsfehler

Eine schwache oder falsch implementierte Authentifizierung und Sitzungsverwaltung ermöglicht es Angreifern, sich als Benutzer auszugeben oder Anmeldemechanismen zu umgehen, unter anderem durch fehlende MFA, schwache Wiederherstellung von Anmeldedaten oder mangelnden Schutz vor automatisierten Angriffen wie Credential Stuffing und Brute-Force-Angriffen.

Wie Airlock die Ausnutzung verhindert

Airlock zentralisiert die Authentifizierung mithilfe von Airlock IAM und unterstützt risikobasierte Authentifizierung, indem es den Kontext anhand historischer Muster auswertet, um die Authentifizierungsstärke anzupassen. Sitzungen sind vor Hijacking und Manipulation geschützt.

Relevante Airlock-Funktionen
  • Unterstützung mehrerer Authentifizierungsschemata, darunter OIDC/OAuth2, FIDO2/Passkeys, formularbasierte Authentifizierung, Kerberos und Client-Zertifikate (mTLS)
  • Risikobasierte Authentifizierung [IAM]
  • Multi-Faktor-Authentifizierung (MFA) [IAM]
  • Sichere Sitzungsverwaltung / Cookie-Speicher
  • Client-Fingerprinting

A08:2025 Fehler bei der Software- oder Datenintegrität

Nicht vertrauenswürdiger oder veränderter Code und Daten werden ohne Integritätsprüfungen als vertrauenswürdig verarbeitet, was Angriffe wie unsichere Deserialisierung oder das Einschleusen bösartiger Updates ermöglicht.

Wie Airlock die Ausnutzung verhindert

Airlock schützt die Kommunikationsschicht zwischen Client und Anwendung und hat daher keinen Einblick in Integritätsfehler, die innerhalb der Anwendung selbst auftreten, wie beispielsweise nicht verifizierte Updates oder das Laden unsicherer Abhängigkeiten.

Relevante Airlock-Funktionen
  • Signierte Airlock-Software-Updates

A09:2025 Fehler bei der Sicherheitsprotokollierung und -warnung

Wenn Protokollierung und Warnungen unzureichend oder falsch konfiguriert sind, bleiben Sicherheitsvorfälle länger unentdeckt oder unbehandelt, was Angreifern mehr Zeit gibt, Schaden anzurichten.

Wie Airlock die Ausnutzung verhindert

Airlock erkennt und protokolliert Angriffe in Echtzeit und lässt sich in externe SIEM-Systeme integrieren, um eine schnelle Reaktion auf Vorfälle und deren Analyse zu unterstützen.

Relevante Airlock-Funktionen
  • Zentrale Protokollierung und Ereigniserzeugung
  • Unterstützung für Tracing
  • Metriken für zugelassene und blockierte Anfragen
  • Maskierung sensibler Daten in Protokollen
  • Echtzeit-Dashboards
  • SIEM-Integration (CEF/JSON)

A10:2025 Fehlbehandlung von Ausnahmezuständen

Wenn ungewöhnliche oder unerwartete Zustände nicht ordnungsgemäss behandelt werden, können Systeme abstürzen, sensible Informationen preisgeben oder durch Denial-of-Service-Angriffe nicht mehr verfügbar sein.

Wie Airlock die Ausnutzung verhindert

Airlock erkennt abnormales Verhalten, begrenzt die Ressourcennutzung und gewährleistet einen stabilen Betrieb auch unter aussergewöhnlichen Bedingungen. Backend-Fehlerseiten werden ersetzt, um das Durchsickern sensibler Informationen wie Stack-Traces oder Versionsdetails zu verhindern.

Relevante Airlock-Funktionen
  • Anomaly Shield
  • Ratenbegrenzung & DoS-Schutz
  • Backend-Zustandsprüfungen & Failover-Clustering
  • Ersetzen von Fehlerseiten

Mit [IAM] gekennzeichnete Funktionen werden von Airlock IAM bereitgestellt. Alle anderen Funktionen sind Bestandteil von Airlock Gateway/Microgateway. Einige Funktionen gelten für beide Produkte.

Über OWASP

Das Open Worldwide Application Security Project (OWASP) ist eine globale, offene Community, die sich der Verbesserung der Softwaresicherheit widmet. Sie stellt kostenlose Ressourcen wie Tools, Dokumentationen und Standards bereit, um Unternehmen bei der Entwicklung und dem Betrieb sicherer Anwendungen zu unterstützen. Weitere Informationen: www.owasp.org

OWASP Top 10 der Sicherheitsrisiken für Webanwendungen

Die OWASP Top 10 für Web Application Security werden alle drei bis vier Jahre veröffentlicht und dienen als wichtige Referenz für das Bewusstsein für Anwendungssicherheit. Sie heben die kritischsten Risiken hervor. OWASP veröffentlicht zudem separate Top-10-Listen für APIs und nicht-menschliche Identitäten – jede zielt auf eine bestimmte Angriffsfläche ab. Airlock begegnet all diesen Bedrohungen über den gesamten HTTP-Stack hinweg und kombiniert WAF/WAAP-basierten Request-Schutz und die Durchsetzung von Autorisierungen mit Airlock IAM für starke Authentifizierung.

Wir informieren Sie

-Unsere Whitepaper-

Whitepaper: IAM as a Service

Dieses Whitepaper zeigt, wie IAM as a Service die Einführung von bzw. den Wechsel zu einem modernen, flexibel anpassbaren und zukunftssicheren cIAM erleichtert.

Whitepaper anfordern

Whitepaper: Sprechen Sie Token?

Dieses Whitepaper zeigt, wie Security-Verantwortliche Identitäten über Domänengrenzen hinweg zuverlässig autorisieren können, ohne Agilität oder Benutzerfreundlichkeit zu beeinträchtigen – mit einem Ansatz, der WAAP, Microgateways und Token Exchange verbindet.

Whitepaper anfordern

Whitepaper: Die Puzzleteile moderner Authentifizierung

Beim Identitätsmanagement verhält es sich wie bei einem Puzzle: Man muss das Gesamtbild verstehen, die relevanten Puzzleteile identifizieren und sie in der richtigen Reihenfolge zusammensetzen. Dieses Whitepaper zeigt, wie das gelingt.

Whitepaper anfordern

Whitepaper: Wie wird Ihr CIAM zum Erfolgsfaktor?

Steigende Anforderungen an Sicherheit und Benutzerfreundlichkeit machen Customer Identity and Access Management unverzichtbar. Finden Sie in diesem Whitepaper heraus, wie Sie mit der richtigen CIAM-Strategie Ihren Wettbewerbsvorteil sichern.

Jetzt kostenlos anfordern

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern