Termin
Termin

Ihr Partner für IT-Sicherheit
& Compliance

Termin
OWASP ASVS 5.0 · Mai 2025 · Application Security

OWASP ASVS 5.0 — Application Security Verification für moderne Anwendungen

~350 Security Requirements über 17 Kapitel, priorisiert in 3 Levels. Der neue offene Standard für sichere Softwareentwicklung. Wir unterstützen Sie bei Gap-Analyse, SDLC-Integration und Verification.

Kostenlose Erstberatung → 17 Kapitel entdecken
Valeri Milke - OWASP ASVS Experte bei VamiSec

Valeri Milke

CEO · VamiSec GmbH

ISO 27001 & 42001 Lead Auditor
OWASP · AppSec · Pentesting

~350
Security Requirements
17
Kapitel (V1–V17)
3
Verification Levels
NEU
Documented Security Decisions
OWASP Foundation
Open Source (CC BY-SA 4.0)
Technology-agnostic
CSV/JSON verfügbar
SDLC-Integration
Was ist OWASP ASVS 5.0

Der offene Standard für Application Security Verification

ASVS definiert Security Requirements, die Architekten, Entwickler, Tester und Security Professionals nutzen, um sichere Anwendungen zu definieren, bauen, testen und verifizieren.

🛡

~350 Requirements

Über 17 Kapitel strukturiert. Fokus auf Security Outcomes statt Implementierungsdetails. Technology-agnostic und framework-unabhängig.

📋

Documented Security Decisions

Neues Kernkonzept in v5.0: Sicherheitsentscheidungen müssen explizit dokumentiert werden. Basis für jede Verification.

CSV/JSON-Format

Anforderungen als strukturierte Daten für Tool-Integration, Automatisierung und programmatische Nutzung in CI/CD-Pipelines.

Verification Levels

3 Levels — priorisiert nach Risikoreduktion vs. Aufwand

Die Organisation entscheidet selbst, welches Level sie anstrebt. Unsere Empfehlung: Starten Sie mit Level 1 für das beste Verhältnis von Risikoreduktion zu Implementierungsaufwand.

L1
Level 1
First Layer of Defense
~40% der Requirements

Die wichtigsten Anforderungen mit dem höchsten Risikoreduktionspotenzial. Niedrige Einstiegshürde. Ihr erster Schritt zur ASVS-Compliance.

L2
Level 2
Standard Security Practices
~30% der Requirements

Umfassende Standard-Sicherheitspraktiken. Deckt die meisten Anwendungen ab. Solides Sicherheitsniveau für den Regelbetrieb.

L3
Level 3
High Assurance
~30% der Requirements

Defense-in-Depth Mechanismen. Für Anwendungen mit höchsten Sicherheitsanforderungen (Finanz, Gesundheit, KRITIS).

17 Kapitel

V1–V17: Komplette Abdeckung der Application Security

Von Input Validation über Authentication und Cryptography bis WebRTC — ASVS 5.0 deckt alle relevanten Sicherheitsdomänen ab.

V1
Encoding & Sanitization
V2
Validation & Business Logic
V3
Web Frontend Security
V4
API & Web Service
V5
File Handling
V6
Authentication
V7
Session Management
V8
Authorization
V9
Self-contained Tokens
V10
OAuth & OIDC
V11
Cryptography
V12
Secure Communication
V13
Configuration
V14
Data Protection
V15
Secure Coding & Architecture
V16
Security Logging & Errors
V17
WebRTC
Unsere Leistungen

ASVS 5.0 in Ihrem Unternehmen umsetzen

Wir begleiten Sie von der Gap-Analyse über die SDLC-Integration bis zur vollständigen Verification — praxisnah und auf Ihre Anwendungslandschaft zugeschnitten.

🔍

ASVS Gap-Analyse

→ Ist-Aufnahme gegen ASVS 5.0 Requirements→ Level-Empfehlung (L1/L2/L3)→ Priorisierter Findings-Report→ Remediation Roadmap

SDLC-Integration

→ Requirements in CI/CD-Pipelines einbinden→ SAST/DAST/SCA Tool-Konfiguration→ Automated Testing gegen ASVS→ Developer Security Training

Verification & Reporting

→ Vollständige ASVS-Compliance-Prüfung→ Evidence-basiertes Reporting→ Penetration Testing (L2/L3)→ Code Review & Architecture Analysis
📋

Security Decisions Workshop

→ Dokumentation aller Sicherheitsentscheidungen→ Threat Modeling & Risk Assessment→ Business Rules Definition→ Development Rationale erstellen
📊

Secure Architecture Review

→ Architektur gegen ASVS bewerten→ Secure Design Patterns→ OAuth/OIDC & Token Security→ Cryptography Assessment
🐛

Application Pentesting

→ ASVS-basierter Pentest-Scope→ Web, API, Mobile, SPA→ Compliance-Report statt Exception-Report→ Remediation Support
Häufige Fragen

FAQ zu OWASP ASVS 5.0

Was ist der Unterschied zwischen ASVS und dem OWASP Top 10?

OWASP Top 10 identifiziert die häufigsten Schwachstellen. ASVS geht weiter: Es definiert ~350 konkrete Security Requirements, die eine Anwendung erfüllen muss — strukturiert über 17 Kapitel und priorisiert in 3 Levels. ASVS ist ein Verification Standard, nicht nur eine Awareness-Liste.

Welches Level sollte meine Anwendung anstreben?

Level 1 deckt ~40% der wichtigsten Requirements ab und hat das beste ROI. Für die meisten Business-Anwendungen ist Level 2 das Ziel. Level 3 eignet sich für KRITIS, Finanzsektor und Anwendungen mit höchsten Sicherheitsanforderungen.

Was sind Documented Security Decisions?

Ein neues Kernkonzept in v5.0: Sicherheitsentscheidungen müssen explizit dokumentiert werden (z.B. erlaubte Dateitypen, Business Rules, Zeichensätze). Ohne diese Dokumentation ist Verification nicht möglich.

Kann ASVS in bestehende SDLC-Prozesse integriert werden?

Ja. ASVS Requirements sind im CSV/JSON-Format verfügbar und können in CI/CD-Pipelines, SAST/DAST-Tools und Issue-Tracker integriert werden. Unit- und Integrationstests können direkt gegen ASVS-Requirements geschrieben werden.

Lässt sich ASVS mit ISO 27001 oder BSI IT-Grundschutz kombinieren?

Ja. ASVS deckt die Application Security Dimension ab, die in ISO 27001 (Annex A) und BSI IT-Grundschutz nur oberflächlich behandelt wird. ASVS ergänzt beide Standards ideal auf der technischen Ebene.

OWASP ASVS 5.0 — jetzt umsetzen

~350 Requirements. 3 Levels. 17 Kapitel. Starten Sie mit einer kostenlosen Gap-Analyse und erfahren Sie, wo Ihre Anwendungen stehen.

Kostenlose Erstberatung → Application Pentesting →
Application Security Penetration Testing KI & LLM Pentesting ISMS nach ISO 27001
Scroll to Top
WordPress Cookie Notice by Real Cookie Banner