Die OWASP Top 10 sind weder eine Tool-Empfehlung noch eine Produktmatrix. Sie erläutern systemische Risiken in Web- und API-Anwendungen, unabhängig von der Plattform, der Cloud oder dem Anbieter. Tatsächlich stellt sich jedoch immer wieder dieselbe Frage:Welche dieser Risiken lassen sich mit AWS WAF Managed Rule Groups adressieren?
Die kurze Antwort: AWS WAF kann Risiken begrenzen und Angriffe sichtbar machen, aber es kann sie nicht grundlegend „beheben”.
AWS WAF ist kein Ersatz für ein sicheres Design. Als Schutzvorrichtung deckt es bekannte Muster und Anomalien ab, schützt jedoch nicht vor strukturellen Schwachstellen im Sicherheitsmodell der Anwendung.
Auf diese Weise ist eine übersichtliche Zuordnung auch nützlich, um zu wissen, wo AWS WAF sinnvoll ist, wo es nur auf der HTTP-Ebene funktioniert und wo zusätzliche Kontrollen erforderlich sind.
Die Rolle von einer AWS WAF im Sicherheitsmodell
Die Rolle von AWS WAF ist eine logische Schnittstelle zwischen Client und Anwendung. Es analysiert HTTP(S)-Anfragen anhand von verwalteten Regelgruppen und optionalen benutzerdefinierten Regeln. Seine Stärke liegt dort, wo Angriffe in Form von Anfragen auftreten: Injection-Payloads, zuvor identifizierte fehlerhafte Eingaben, automatisierter Missbrauch, Credential Stuffing oder unerwartete Traffic-Spitzen.
Insbesondere in Umgebungen, in denen dieser Wert über das Blockieren hinausgeht, wie z. B. verwaltete Regelgruppen, hat er eine Signal- und Nachweisfunktion: Er gibt Labels, Zähler, Blockierungsereignisse und strukturierte Protokolle aus, die zentral verarbeitet werden können.
Genauso wichtig ist jedoch eine Grenze: AWS WAF weiß nichts über Geschäftslogik und trifft keine kryptografischen Entscheidungen. Alles, was vor oder nach der HTTP-Anfrage geschieht, liegt außerhalb des Anwendungsbereichs des Systems.
OWASP Top 10 (2025) → AWS WAF Managed Rule Groups
Die folgende Tabelle ordnet die OWASP Top-10-Kategorien den AWS-Managed-WAF-Rule-Groups zu.
| OWASP Top 10 (2025) | AWS WAF Managed Rule Groups | Einordnung |
|---|---|---|
| A01 Broken Access Control | AWSManagedRulesCommonRuleSet AWSManagedRulesAdminProtectionRuleSet AWSManagedRulesAmazonIpReputationList AWSManagedRulesBotControlRuleSet | Begrenzt Scans und automatisierten Missbrauch auf exponierten Endpoints, erzwingt jedoch keine Zugriffskontrollen und verhindert keine Insecure Direct Object References (IDOR). |
| A02 Security Misconfiguration | AWSManagedRulesCommonRuleSet AWSManagedRulesKnownBadInputsRuleSet AWSManagedRulesAmazonIpReputationList | Es werden einfache Exploit-Payloads blockiert, jedoch keine unsicheren Defaults, fehlenden Security-Header oder IAM-Fehlkonfigurationen behoben. Solche Aspekte lassen sich allenfalls über gezielte Custom-WAF-Rules beheben. |
| A03 Software Supply Chain Failures | - | Entsteht vor Runtime (Dependencies, CI/CD, Artefakte) und liegt vollständig außerhalb des WAF-Scopes. |
| A04 Cryptographic Failures | - | TLS-Konfiguration, Schlüsselmanagement und die Wahl kryptographischer Algorithmen außerhalb der WAF entschieden. Web Application Firewalls können diese Fehler nicht erkennen oder verhindern. Stattdessen lassen sich kryptographische Schwächen durch Konfigurations- und Compliance-Tools wie Prowler identifizieren. |
| A05 Injection | AWSManagedRulesSQLiRuleSet AWSManagedRulesCommonRuleSet AWSManagedRulesKnownBadInputsRuleSet | Mit der Managed Rule Group AWSManagedRulesSQLiRuleSet lassen sich typische SQLi-Muster in Query-Parametern, Request-Bodies und Cookies zuverlässig identifizieren. |
| A06 Insecure Design | AWSManagedRulesCommonRuleSet AWSManagedRulesBotControlRuleSet | Managed Rule Groups wie AWSManagedRulesCommonRuleSet (indirekt) und AWSManagedRulesBotControlRuleSet sowie zusätzlich konfigurierte rate-based rules können automatisierten Missbrauch und auffällige Zugriffsmuster auf Request-Ebene begrenzen. Diese erkennen aber keine Business Logic Fehler. |
| A07 Authentication Failures | AWSManagedRulesATPRuleSet AWSManagedRulesACFPRuleSet AWSManagedRulesBotControlRuleSet AWSManagedRulesAmazonIpReputationList | Schützt Login- und Signup-Flows vor automatisiertem Abuse, ersetzt aber kein MFA- oder Session-Design. |
| A08 Software & Data Integrity Failures | AWSManagedRulesCommonRuleSet (teilweise) | Blockiert Exploit-Payloads, prüft jedoch keine Signaturen oder Build-Integrität. |
| A09 Security Logging & Monitoring Failures | WAF Logs & Labels | Liefert verwertbare Signale, ersetzt aber kein SIEM oder Incident-Response-Setup. |
| A10 Mishandling of Exceptional Conditions | AWSManagedRulesCommonRuleSet AWSManagedRulesKnownBadInputsRuleSet AWSManagedRulesBotControlRuleSet AWSManagedRulesAntiDDoSRuleSet | Filtert Anomalien und außergewöhnliche Request-Patterns, behebt aber keine Fehlerbehandlung im Code. |
Anti-DDoS zum Schutz der Verfügbarkeit
Die Grundstruktur der AWS WAF umfasst Musterabgleich sowie einen Verhaltensaspekt wie AWSManagedRulesAntiDDoSRuleSet. Das Ziel besteht nicht darin, bestimmte Nutzdaten zu erkennen, sondern vielmehr Traffic-Anomalien zu identifizieren, die auf Layer-7-DDoS-Angriffe oder abnormale Lastspitzen hinweisen. AWS WAF kann automatisch auf diese Ereignisse reagieren, indem es das Browsen vorübergehend blockiert oder den Benutzer nach Captchas abfragt. Diese werden mit bestimmten Labels kombiniert, die auf die im Ereignis gestellten Anfragen angewendet werden.
Fazit
Bei korrekter Positionierung sind AWS WAF Managed Rule Groups eine effektive Lösung als Baseline. Sie ermöglichen die Erkennung und Behebung von Injektionsangriffen, bekannten bösartigen Eingaben, automatisiertem Missbrauch und Traffic-Anomalien. Dennoch werden die zentralen OWASP-Risiken wie Probleme in der Lieferkette, Kryptografie und unsichere Designs ausdrücklich aus ihrem Fokus ausgeschlossen.