Broken Access Control erklärt (OWASP A01) — 2026
18. Mai 2001 · von Pentevo
Broken Access Control steht auf Platz 1 der OWASP Top 10 – es ist die häufigste schwerwiegende Web-Schwachstelle. Einfach ausgedrückt: Nutzer können Dinge tun oder sehen, die ihnen nicht erlaubt sein sollten.
Die Kernidee
Authentifizierung beantwortet „Wer sind Sie?“ Autorisierung beantwortet „Was dürfen Sie tun?“ Broken Access Control ist ein Autorisierungsfehler: Die Anwendung prüft, wer Sie sind, aber nicht, ob Sie berechtigt sind, eine bestimmte Aktion auszuführen oder eine bestimmte Ressource zu sehen.
Häufige Formen
- IDOR (Insecure Direct Object Reference) – Sie ändern eine ID in einer URL oder Anfrage (z. B.
/account/123→/account/124) und sehen die Daten einer anderen Person, weil die Anwendung die Eigentümerschaft nicht geprüft hat. - Rechteausweitung (Privilege Escalation) – ein normaler Nutzer erreicht Funktionen, die nur Administratoren vorbehalten sind (z. B. durch Erraten einer Admin-URL oder Manipulation eines Rollenparameters).
- Fehlende Prüfungen auf Funktionsebene – die Oberfläche verbirgt eine Aktion, aber die zugrunde liegende API erlaubt sie weiterhin, wenn Sie sie direkt aufrufen.
- Forced Browsing – der Zugriff auf Seiten/Dateien, die eine Berechtigung erfordern sollten, allein durch Kenntnis des Pfads.
Warum es so häufig ist
Entwickler erzwingen die Zugriffskontrolle oft in der Benutzeroberfläche (indem sie Buttons ausblenden), vergessen aber, sie auf dem Server für jede Anfrage durchzusetzen. Angreifer nutzen Ihre Oberfläche nicht – sie rufen Ihre API direkt auf. Wenn die Prüfung nicht serverseitig erfolgt, ist es keine Prüfung.
Wie man es verhindert
- Autorisierung auf dem Server erzwingen, für jede Anfrage – verlassen Sie sich nie darauf, Dinge in der Oberfläche zu verbergen.
- Standardmäßig verweigern (Deny by Default) – Zugriff explizit gewähren, nicht implizit.
- Eigentümerschaft prüfen – bestätigen Sie, dass der angemeldete Nutzer die angeforderte Ressource tatsächlich besitzt (stoppt IDOR).
- Einen zentralen Zugriffskontrollmechanismus verwenden statt verstreuter Ad-hoc-Prüfungen.
- Vom Client gelieferten Rollen/IDs nicht vertrauen – serverseitig verifizieren.
- Zugriffsfehler protokollieren und bei Mustern alarmieren.
Wie es gefunden wird
Tester prüfen, indem sie IDs und Parameter manipulieren und Endpunkte direkt aufrufen – genau das, was Tools wie Burp Suite im Rahmen eines autorisierten Pentests erleichtern. Weil es logikbasiert ist, ist es auch ein hervorragendes Beispiel dafür, wo sowohl menschliche als auch KI-Tests Mehrwert schaffen.
Lernen Sie Web-App-Sicherheit von Anfang bis Ende, kostenlos, in der Pentevo Academy.
Häufig gestellte Fragen
Was ist Broken Access Control?
Broken Access Control ist eine Autorisierungsschwäche: Die Anwendung prüft zwar, wer Sie sind, aber nicht, ob Sie berechtigt sind, eine bestimmte Aktion auszuführen oder eine bestimmte Ressource zu sehen. Als Folge können Nutzer Dinge tun oder einsehen, die ihnen nicht erlaubt sein sollten. Es steht auf Platz 1 der OWASP Top 10.
Was ist IDOR?
IDOR (Insecure Direct Object Reference) tritt auf, wenn Sie eine ID in einer URL oder Anfrage ändern – etwa /account/123 zu /account/124 – und die Daten einer anderen Person sehen, weil die Anwendung die Eigentümerschaft nicht geprüft hat. Es ist eine der häufigsten Formen von Broken Access Control.
Warum ist Broken Access Control so verbreitet?
Entwickler erzwingen die Zugriffskontrolle oft nur in der Benutzeroberfläche, indem sie Buttons ausblenden, vergessen aber, sie auf dem Server für jede Anfrage durchzusetzen. Angreifer nutzen Ihre Oberfläche nicht – sie rufen Ihre API direkt auf. Wenn die Prüfung nicht serverseitig erfolgt, ist es keine Prüfung.
Wie verhindert man Broken Access Control?
Erzwingen Sie die Autorisierung auf dem Server für jede Anfrage, verweigern Sie standardmäßig den Zugriff (Deny by Default) und prüfen Sie die Eigentümerschaft jeder angeforderten Ressource. Nutzen Sie einen zentralen Zugriffskontrollmechanismus statt verstreuter Ad-hoc-Prüfungen, vertrauen Sie keinen vom Client gelieferten Rollen oder IDs und protokollieren Sie Zugriffsfehler.
Weiterführende Artikel
VPN erklärt: Was es leistet (und was nicht) — 2026
Wie ein VPN wirklich funktioniert, wovor es schützt, wovor nicht und wie man eines auswählt – ohne Marketing-Hype.
FundamentalsWas ist ein Penetrationstest? Ein Leitfaden für Einsteiger (2026)
Ein verständlicher Leitfaden zum Penetrationstest: was er ist, die fünf Phasen, die wichtigsten Arten und wie er sich vom Schwachstellenscan unterscheidet.
FundamentalsZero-Day-Schwachstellen erklärt (2026)
Was eine Zero-Day-Schwachstelle ist, warum sie so gefährlich ist, wie Zero-Day-Exploits eingesetzt werden und was Verteidiger gegen das Unbekannte tun können.
FundamentalsWas ist ein CVE? Schwachstellen-IDs verstehen (2026)
Was CVE bedeutet, wie die Nummerierung funktioniert, wie CVSS-Schweregrad und EPSS-Werte bei der Priorisierung helfen und wie Sie die relevanten CVEs verfolgen.
Praktisch anwenden
Die Pentevo Academy macht aus diesen Konzepten geführte Lektionen, Videos und Quizze — kostenlos.
Kostenlos lernen