Die OWASP Top 10 sind seit über zwei Jahrzehnten der wichtigste Orientierungsrahmen für Anwendungssicherheit weltweit. Mit der seit Januar 2026 finalen Version – basierend auf der Analyse von über 500.000 Schwachstellen aus produktiven Umgebungen – hat OWASP eine grundlegende Überarbeitung vorgelegt, die den Fokus der Anwendungssicherheit merklich verschiebt: weg von isolierten Code-Vulnerabilities hin zu systemischen Risiken.

Dieser Vortrag stellt die OWASP Top 10 als wichtigste Referenz für IT-Sicherheit in Softwareentwicklungsprojekten vor und geht insbesondere auf die Veränderungen zur Version von 2021 ein. Welche Kategorien sind neu aufgenommen worden, welche wurden zusammengeführt oder neu priorisiert – und was steckt inhaltlich dahinter?

Im Mittelpunkt stehen dabei die auffälligsten Verschiebungen: Security Misconfiguration steigt auf Platz 2, Software Supply Chain Failures etablieren sich als eigenständige Kategorie, und mit Mishandling of Exceptional Conditions zieht ein völlig neuer Risikobereich in die Top 10 ein.

Anhand praxisnaher Szenarien wird gezeigt, welche konkreten Auswirkungen diese Verschiebungen auf den Softwareentwicklungsalltag haben – und welche Gegenmaßnahmen sich in der Praxis bewähren. Dabei zeigen wir auch, welche Veränderungen die neuen Top 10 für Policies, Trainings und CI/CD-Pipelines bringen, um Risiken im gesamten Softwarelebenszyklus zu reduzieren.

Der Vortrag schließt mit einem pragmatischen Handlungsrahmen: Wie lässt sich der Übergang zur neuen Top-10-Liste gezielt gestalten – durch Gap-Analysen, angepasste Threat-Modelle, aktualisierte Testing-Gates und eine nachhaltige DevSecOps-Kultur – ohne laufende Entwicklungsprozesse zu blockieren?