Kryptografische Fehler erklärt (OWASP A02) — 2026
10. Mai 2001 · von Pentevo
Kryptografische Fehler (Nr. 2 der OWASP Top 10) treten auf, wenn sensible Daten nicht richtig geschützt werden – weil Verschlüsselung fehlte, schwach war oder falsch eingesetzt wurde. Das Ergebnis sind offengelegte Passwörter, Zahlungsdaten oder persönliche Informationen, oft mit einem Datenleck als Folge.
Die Grundidee
Sensible Daten müssen sowohl im Transit (bei der Übertragung über Netzwerke) als auch at Rest (im gespeicherten Zustand) geschützt sein. Ein kryptografischer Fehler ist jede Lücke in diesem Schutz – und Kryptografie verzeiht nichts: Kleine Fehler führen zu totalem Versagen.
Häufige Fehler
- Keine Verschlüsselung im Transit – sensible Daten werden über einfaches HTTP statt HTTPS gesendet.
- Schwache oder veraltete Algorithmen – gebrochene Hashes (MD5, SHA-1) oder alte TLS-Versionen.
- Schlechte Passwortspeicherung – Passwörter im Klartext oder Hashing ohne Salt und ohne langsamen Algorithmus.
- Hartkodierte / offengelegte Geheimnisse – Schlüssel und Zugangsdaten im Quellcode oder in Repositories.
- Mangelhaftes Schlüsselmanagement – schwache, wiederverwendete oder schlecht gespeicherte Schlüssel.
- Eigene Kryptografie entwickeln – fast immer ein Fehler.
So geht es richtig
- Im Transit verschlüsseln – TLS überall, nur moderne Versionen.
- Sensible Daten at Rest verschlüsseln – und Schlüssel sauber verwalten (KMS/Secrets-Manager nutzen).
- Passwörter korrekt hashen – einen starken, langsamen, gesalzenen Algorithmus verwenden (bcrypt, scrypt oder Argon2). Nie einfache Hashes.
- Geprüfte Bibliotheken nutzen – keine eigenen Algorithmen oder Protokolle erfinden.
- Nur speichern, was nötig ist – die sichersten Daten sind die, die du nie erhoben hast.
- Geheimnisse aus dem Code heraushalten – Umgebungsvariablen / Secrets-Manager nutzen, nie Schlüssel committen.
Warum das wichtig ist
Wenn dies versagt, ist der Schaden unmittelbar: Angreifer spazieren mit lesbaren Zugangsdaten und persönlichen Informationen davon. Starke Kryptografie verwandelt eine gestohlene Datenbank in nutzloses Rauschen.
Wie es gefunden wird
Tester prüfen auf unverschlüsselten Transport, schwache Chiffren, offengelegte Geheimnisse und schlechte Passwortbehandlung – Teil jedes Penetrationstests. Tools wie Wireshark machen unverschlüsselten Datenverkehr sofort sichtbar.
Verwandt: Authentifizierungsfehler, Sicherheitsfehlkonfiguration. Lerne alles kostenlos in der Pentevo Academy.
Häufig gestellte Fragen
Was ist ein kryptografischer Fehler?
Ein kryptografischer Fehler liegt vor, wenn sensible Daten nicht richtig geschützt sind – weil Verschlüsselung fehlt, schwach ist oder falsch eingesetzt wird. Das Ergebnis sind offengelegte Passwörter, Zahlungs- oder personenbezogene Daten, häufig mit einem Datenleck als Folge.
Wie sollten Passwörter gespeichert werden?
Niemals im Klartext und nie mit einfachen, schnellen Hashes wie MD5 oder SHA-1. Verwende einen starken, langsamen und gesalzenen Algorithmus wie bcrypt, scrypt oder Argon2. So bleibt eine gestohlene Datenbank für Angreifer praktisch wertlos.
Was bedeutet der Schutz von Daten im Transit und at Rest?
„Im Transit“ meint Daten, die über Netzwerke übertragen werden – hier schützt TLS/HTTPS. „At Rest“ meint gespeicherte Daten – hier schützt Verschlüsselung samt sauberem Schlüsselmanagement. Sensible Daten müssen in beiden Zuständen geschützt sein.
Warum sollte man keine eigene Kryptografie entwickeln?
Kryptografie verzeiht keine Fehler: Kleine Schwächen führen zu totalem Versagen. Etablierte, geprüfte Bibliotheken und Protokolle wurden von Experten über Jahre analysiert. Eigene Algorithmen oder Protokolle zu erfinden ist fast immer ein Fehler.
Weiterführende Artikel
VPN erklärt: Was es leistet (und was nicht) — 2026
Wie ein VPN wirklich funktioniert, wovor es schützt, wovor nicht und wie man eines auswählt – ohne Marketing-Hype.
FundamentalsWas ist ein Penetrationstest? Ein Leitfaden für Einsteiger (2026)
Ein verständlicher Leitfaden zum Penetrationstest: was er ist, die fünf Phasen, die wichtigsten Arten und wie er sich vom Schwachstellenscan unterscheidet.
FundamentalsZero-Day-Schwachstellen erklärt (2026)
Was eine Zero-Day-Schwachstelle ist, warum sie so gefährlich ist, wie Zero-Day-Exploits eingesetzt werden und was Verteidiger gegen das Unbekannte tun können.
FundamentalsWas ist ein CVE? Schwachstellen-IDs verstehen (2026)
Was CVE bedeutet, wie die Nummerierung funktioniert, wie CVSS-Schweregrad und EPSS-Werte bei der Priorisierung helfen und wie Sie die relevanten CVEs verfolgen.
Praktisch anwenden
Die Pentevo Academy macht aus diesen Konzepten geführte Lektionen, Videos und Quizze — kostenlos.
Kostenlos lernen