Injection bezeichnet eine Angriffsklasse, bei der ein Angreifer Schadcode über Eingabefelder in eine Anwendung einschleust. Die bekannteste Variante ist SQL Injection, bei der manipulierte Datenbankabfragen ausgeführt werden. Weitere Formen sind Command Injection, LDAP Injection und XPath Injection. Injection-Schwachstellen gehören seit Jahren zu den OWASP Top 10. Die wirksamste Gegenmaßnahme ist die Verwendung von Prepared Statements bzw. parametrisierten Abfragen. Zusätzlich hilft Input-Validierung als Defense-in-Depth-Schicht. In deinem ISMS sollte die sichere Entwicklungsrichtlinie Injection als Risiko benennen und Code-Reviews sowie automatisierte SAST-Scans vorsehen.