MITRE hat den aktualisierten Jahresbericht CWE Top 25 Most Dangerous Software Weaknesses fuer 2025 veroeffentlicht. Die Rangliste basiert auf der Auswertung von 39.080 CVE-gelisteten Schwachstellen, die zwischen Juni 2024 und Juni 2025 veroeffentlicht wurden, und entsteht in Kooperation mit HSSEDI und der US-Behorde CISA im Rahmen des Programms Common Weakness Enumeration (CWE).
Der Schwerpunkt liegt nicht auf einzelnen Sicherheitsluecken in Produkten, sondern auf wiederkehrenden Schwachstellenmustern – also Designfehlern, Architekturproblemen und Implementierungsbugs, die immer wieder zu konkreten CVEs fuehren. Wer diese Muster versteht und gezielt adressiert, reduziert sein Risiko fuer Datenabfluss, Session-Diebstahl, Remote Code Execution und Denial-of-Service-Angriffe deutlich.
Was ist der CWE Top 25 und wie verhaelt er sich zu CVE?
Jedes Element im Ranking traegt einen eindeutigen Identifier vom Typ CWE-XXX (Common Weakness Enumeration). CWE beschreibt einen Typ von Schwachstelle, etwa „unzureichende Neutralisierung von Eingabedaten in Web-Seiten“. Demgegenueber steht CVE (Common Vulnerabilities and Exposures) fuer eine konkrete Sicherheitsluecke in einem bestimmten Produkt und einer bestimmten Version.
Vereinfacht gilt: CWE ist die Ursache, CVE ist die konkrete Auspraegung dieser Ursache in realer Software. MITRE analysiert jaehrlich den CVE-Datenbestand und bewertet jede CWE-Klasse nach Verbreitung (Haeufigkeit in CVEs) und
Wichtige Trends im CWE Top 25 2025
XSS bleibt Spitzenreiter: CWE-79 als Dauerproblem in Web-Anwendungen
Auch 2025 fuehrt CWE-79: Improper Neutralization of Input During Web Page Generation (Cross-Site Scripting, XSS) die Liste an. Trotz etablierter Sicherheitskonzepte und Framework-Unterstuetzung bleibt XSS eine der am haeufigsten ausgenutzten Web-Schwachstellen. Studien wie der OWASP Top 10 zeigen seit Jahren, dass fehlerhafte Eingabevalidierung und -ausgabe zu den Kernrisiken von Web-Anwendungen gehoeren.
Die Ursachen sind vielfaeltig: komplexe Single-Page-Frontends, stark wiederverwendete JavaScript-Bibliotheken, unterschiedliche Template-Engines und Zeitdruck in der Entwicklung. Ein erfolgreicher XSS-Angriff erlaubt das Stehlen von Cookies und Tokens, das Uebernehmen von Sitzungen, das Ausfuehren beliebigen JavaScripts im Browser des Opfers sowie die Manipulation angezeigter Inhalte – ein direkter Weg zur Konto-Uebernahme etwa in Banking- oder SaaS-Portalen.
Kritische Schwaechen bei Autorisierung und Authentifizierung
Auffaellig ist der Bedeutungszuwachs klassischer Zugriffsfehler, insbesondere in serviceorientierten Architekturen:
CWE-862: Missing Authorization beschreibt Faelle, in denen Funktionen oder Daten ohne Berechtigungspruefung aufrufbar sind. Das fuehrt zu horizontaler und vertikaler Privilegieneskalation – etwa wenn ein „normaler“ Benutzer Admin-Endpunkte anspricht oder fremde Datensaetze abruft, nur weil die API die Rechte nicht konsequent prueft.
CWE-306: Missing Authentication tritt auf, wenn Systeme oder Microservices ganz ohne Identitaetspruefung arbeiten. In Cloud- und Container-Umgebungen werden interne APIs haeufig nach aussen exponiert; fehlen dort Authentifizierungsmechanismen, genuegt oft Netzwerkkonnektivitaet, um kritische Operationen auszufuehren. CISA warnt seit Jahren explizit vor solchen Konfigurations- und Designfehlern bei Web-APIs und SaaS-Angeboten.
Renaissance der Memory-Schwachstellen im Niedrig-Level-Code
Parallel verzeichnet der CWE Top 25 2025 ein Wiedererstarken klassischer Speicherfehler: Stack- und Heap-Pufferueberlaeufe, CWE-476: NULL Pointer Dereference, unzureichende Zugriffskontrollen im Kernel- und Treiberbereich sowie unkontrollierte Ressourcenallokation. Diese Muster betreffen vor allem Software in C und C++, etwa Betriebssystem-Komponenten, Netzwerk-Stacks oder industrielle Steuerungen.
Obwohl moderne Betriebssysteme Schutzmechanismen wie ASLR und DEP bereitstellen und speichersichere Sprachen an Popularitaet gewinnen, bleibt ein grosser Teil der kritischen Infrastruktur auf unsicheren Sprachen basierend. Angreifer nutzen Memory-Bugs, um beliebigen Code einzuschleusen, Schutzmassnahmen zu umgehen oder Systeme in den Ausfall zu zwingen – mit direkten Folgen fuer OT-, IoT- und Cloud-Umgebungen.
Wie Unternehmen den CWE Top 25 wirksam nutzen koennen
CISA bewertet die CWE Top 25 als Abbild jener Schwachstellenklassen, die in realen Vorfaellen regelmaessig erfolgreich ausgenutzt werden. Organisationen sollten die Liste daher als praktische Roadmap fuer sichere Softwareentwicklung und Vulnerability Management verstehen.
1. Secure by Design mit Fokus auf Top-25-Schwachstellen
Architekturen und Designs sollten fruehzeitig gegen typische Fehler wie mangelhafte Autorisierung, unzureichende Eingabepruefung, unsichere Session-Verwaltung und Ressourcenkontrolle geprueft werden. Threat-Modeling-Workshops profitieren, wenn die CWE Top 25 explizit als Checkliste einbezogen werden.
2. Test- und Review-Prozesse auf CWE-Klassen ausrichten
Static Application Security Testing (SAST), Dynamic Testing (DAST) und manuelle Code-Reviews sollten gezielt auf die im Ranking gefuehrten Schwachstellenmuster kalibriert werden. Viele kommerzielle und Open-Source-Scanner bieten heute direkte CWE-Mappings, die sich in Quality-Gates und Pull-Request-Workflows integrieren lassen.
3. Risikoorientiertes Vulnerability Management
Schwachstellen, die auf eine CWE aus dem Top 25 zurueckgehen, sollten hoehere Prioritaet bei der Behebung erhalten – insbesondere in Systemen mit personenbezogenen Daten, Zahlungsinformationen oder kritischen Geschaeftsprozessen. Eine Klassifizierung nach CWE unterstuetzt zudem das Trend-Monitoring: Welche Fehlerarten treten im eigenen Code immer wieder auf?
4. Zielgerichtete Schulung von Entwicklung und IT-Sicherheit
Teams sollten verstehen, warum bestimmte CWE-Arten so haeufig zu Incidents fuehren und welche Architektur- und Codierungsrichtlinien sie verhindern. Praxisnahe Trainings mit Beispielen zu XSS, Broken Access Control, Memory Safety und API-Sicherheit wirken meist deutlich nachhaltiger als rein theoretische Awareness-Kampagnen.
Wer den MITRE CWE Top 25 2025 konsequent als Risiko-Landkarte nutzt, verbessert die Sicherheit seiner Anwendungen bereits in der Entwurfs- und Entwicklungsphase – statt nur auf Vorfaelle zu reagieren. Angesichts der steigenden Zahl automatisiert ausgenutzter Schwachstellen wird ein strukturierter, CWE-basierter Ansatz zu einem zentralen Baustein jeder modernen Cybersicherheitsstrategie. Unternehmen sollten die aktuelle Liste regelmaessig pruefen, in ihre Entwicklungsrichtlinien ueberfuehren und als verbindlichen Referenzrahmen fuer alle Softwareprojekte etablieren.
