Sicherheits-Fehlkonfiguration erklärt (OWASP A05) — 2026
9. Mai 2001 · von Pentevo
Sicherheits-Fehlkonfiguration (Platz 5 der OWASP Top 10) ist genau das, wonach es klingt: Systeme, die in einem unsicheren Zustand belassen werden – Standardeinstellungen, unnötige Funktionen, nachlässige Berechtigungen. Sie gehört zu den häufigsten Funden, weil sie so leicht übersehen wird.
Der Kerngedanke
Software ist oft standardmäßig unsicher oder wird unsicher, während sie bereitgestellt, angepasst und vergessen wird. Jede Komponente – Server, Framework, Datenbank, Cloud-Bucket – hat Einstellungen, die gehärtet werden müssen. Übersehen Sie eine, haben Sie eine Tür offen gelassen.
Häufige Fehlkonfigurationen
- Standardanmeldedaten – admin/admin und Konsorten, nie geändert.
- Unnötig aktivierte Funktionen – offene Ports, Beispiel-Apps, ungenutzte Dienste.
- Ausführliche Fehlermeldungen – Stack-Traces, die Interna an Angreifer verraten.
- Fehlende Security-Header – kein HSTS, CSP usw.
- Offener Cloud-Speicher – öffentliche S3-Buckets/Blobs, die Daten preisgeben (eine häufige Ursache von Datenlecks).
- Aktiviertes Directory-Listing – gibt Dateien preis, die verborgen sein sollten.
- Veraltete Konfigurationen – Einstellungen, die vor Jahren in Ordnung waren, es heute aber nicht mehr sind.
Wie Sie es verhindern
- Standardmäßig härten – Starten Sie von einer sicheren Baseline; dokumentieren Sie Ihre Standardkonfiguration.
- Entfernen, was Sie nicht nutzen – weniger Funktionen = kleinere Angriffsfläche.
- Alle Standardwerte ändern – Anmeldedaten, Schlüssel, Beispielinhalte.
- Konfiguration automatisieren – Infrastructure-as-Code macht Härtung wiederholbar und überprüfbar.
- Ausführliche Fehler unterdrücken in der Produktion – Details serverseitig protokollieren, Nutzern nichts zeigen, das Angreifern nützt.
- Security-Header hinzufügen und Directory-Listing deaktivieren.
- Cloud-Berechtigungen regelmäßig prüfen – besonders öffentlichen Speicher.
Warum Automatisierung wichtig ist
Manuelle Konfiguration weicht mit der Zeit ab – jemand schaltet eine Einstellung „vorübergehend“ um und vergisst sie. Automatisierte, versionierte Konfiguration (und regelmäßiges Scannen) hält Systeme durchgehend gehärtet.
Wie sie gefunden wird
Fehlkonfigurationen sind das tägliche Brot sowohl von Schwachstellenscannern als auch von Penetrationstestern – Standardanmeldedaten, offene Dienste und exponierter Speicher sind schnelle Beute für Angreifer, daher zählt es, sie zuerst zu finden.
Verwandt: Kryptografische Fehler, Fehlerhafte Zugriffskontrolle. Lernen Sie sichere Konfiguration kostenlos in der Pentevo Academy.
Häufig gestellte Fragen
Was ist eine Sicherheits-Fehlkonfiguration?
Eine Sicherheits-Fehlkonfiguration liegt vor, wenn ein System in einem unsicheren Zustand belassen wird – Standardanmeldedaten, unnötig aktivierte Funktionen, zu freizügige Einstellungen, ausführliche Fehlermeldungen oder fehlende Härtung. Sie steht auf Platz 5 (A05) der OWASP Top 10 und gehört zu den häufigsten Funden, weil sie so leicht übersehen wird, während Systeme bereitgestellt, angepasst und vergessen werden.
Was sind Beispiele für Sicherheits-Fehlkonfigurationen?
Häufige Beispiele sind unveränderte Standard-Admin-Passwörter, aktiviertes Directory-Listing auf einem Webserver, für Nutzer sichtbare ausführliche Stack-Trace-Fehler, ungesicherte Cloud-Speicher-Buckets, offen gelassene ungenutzte Ports und Dienste, fehlende Security-Header und aktivierter Debug-Modus in der Produktion. Jedes davon liefert einem Angreifer Informationen oder Zugriff, die er nicht haben sollte.
Wie verhindert man Sicherheits-Fehlkonfigurationen?
Härten Sie jede Komponente auf eine dokumentierte sichere Baseline, entfernen oder deaktivieren Sie ungenutzte Funktionen und Standardkonten, deaktivieren Sie ausführliche Fehler und den Debug-Modus in der Produktion, setzen Sie Security-Header und automatisieren Sie die Konfiguration, damit Umgebungen konsistent und wiederholbar sind. Scannen und testen Sie regelmäßig auf Abweichungen, denn Systeme, die beim Start gehärtet wurden, lockern sich mit der Zeit.
Warum ist Sicherheits-Fehlkonfiguration so häufig?
Weil Software häufig standardmäßig unsicher ist und jede Komponente – Server, Framework, Datenbank, Cloud-Dienst – eigene Einstellungen hat, die gehärtet werden müssen. Während Systeme bereitgestellt, angepasst und zwischen Teams weitergereicht werden, reicht eine einzige übersehene Einstellung, um eine Tür offen zu lassen. Die schiere Zahl der Konfigurationspunkte macht Fehlkonfiguration ohne automatisierte Prüfungen statistisch wahrscheinlich.
Weiterführende Artikel
VPN erklärt: Was es leistet (und was nicht) — 2026
Wie ein VPN wirklich funktioniert, wovor es schützt, wovor nicht und wie man eines auswählt – ohne Marketing-Hype.
FundamentalsWas ist ein Penetrationstest? Ein Leitfaden für Einsteiger (2026)
Ein verständlicher Leitfaden zum Penetrationstest: was er ist, die fünf Phasen, die wichtigsten Arten und wie er sich vom Schwachstellenscan unterscheidet.
FundamentalsZero-Day-Schwachstellen erklärt (2026)
Was eine Zero-Day-Schwachstelle ist, warum sie so gefährlich ist, wie Zero-Day-Exploits eingesetzt werden und was Verteidiger gegen das Unbekannte tun können.
FundamentalsWas ist ein CVE? Schwachstellen-IDs verstehen (2026)
Was CVE bedeutet, wie die Nummerierung funktioniert, wie CVSS-Schweregrad und EPSS-Werte bei der Priorisierung helfen und wie Sie die relevanten CVEs verfolgen.
Praktisch anwenden
Die Pentevo Academy macht aus diesen Konzepten geführte Lektionen, Videos und Quizze — kostenlos.
Kostenlos lernen