Welche sind die gängigsten Threat-Modeling-Frameworks?

Die am häufigsten verwendeten Frameworks sind STRIDE (von Microsoft entwickelt, kategorisiert Bedrohungen als Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege), PASTA (risikozentrierte 7-Stufen-Methodik), LINDDUN (fokussiert auf Datenschutzbedrohungen), VAST (Visual Agile Simple Threat Modeling, skaliert für große Organisationen) und Angriffsbäume. STRIDE ist am beliebtesten für die Softwareentwicklung, während PASTA für risikofokussierte Bewertungen bevorzugt wird.

Wann sollte Threat Modeling im Entwicklungszyklus durchgeführt werden?

Threat Modeling sollte während der Designphase beginnen, bevor mit der Programmierung begonnen wird. Zu diesem Zeitpunkt werden architektonische Entscheidungen getroffen und Änderungen sind am kostengünstigsten. Es sollte bei jeder wesentlichen Designänderung, vor großen Releases und während Sicherheitsreviews aktualisiert werden. Eine Schwachstelle im Design zu beheben kostet 10-100 Mal weniger als in der Produktion.

Wer sollte an Threat-Modeling-Sitzungen teilnehmen?

Effektives Threat Modeling erfordert vielfältige Perspektiven: Entwickler (Implementierungsdetails), Architekten (Systemdesign), Sicherheitsingenieure (Angriffstechniken), Produktmanager (Geschäftskontext und Risikotoleranz), QA-Ingenieure (Testansätze) und Betriebspersonal (Deployment und Laufzeitverhalten). Ein in Threat-Modeling-Methodik geschulter Moderator sollte Sitzungen mit 3-7 Teilnehmern leiten.

Wie erstellt man ein Datenflussdiagramm für Threat Modeling?

Beginnen Sie mit der Identifizierung externer Entitäten (Benutzer, externe Systeme), Prozesse (Anwendungskomponenten), Datenspeicher (Datenbanken, Dateisysteme) und Datenflüsse (Verbindungen zwischen Elementen). Zeichnen Sie Vertrauensgrenzen, um verschiedene Berechtigungsebenen zu trennen. Beschriften Sie jeden Datenfluss mit Datentyp und Protokoll. Tools wie Microsoft Threat Modeling Tool, OWASP Threat Dragon und draw.io können bei der Erstellung helfen.

Was ist Threat Modeling? STRIDE und Best Practices

Warum es wichtig ist

Threat Modeling verschiebt Sicherheit nach links im Entwicklungslebenszyklus, indem Risiken während des Designs identifiziert werden, wenn Änderungen am günstigsten sind. Das Beheben einer Sicherheitslücke im Design kostet einen Bruchteil dessen, was die Behebung in der Produktion kostet. Dennoch überspringen viele Organisationen diese Praxis und entdecken Schwachstellen erst durch teure Penetrationstests oder, schlimmer noch, tatsächliche Sicherheitsverletzungen.

Die Praxis erzwingt strukturiertes Denken über Sicherheit. Anstatt ad-hoc "Was könnte schiefgehen?"-Diskussionen bietet Threat Modeling Frameworks zur systematischen Untersuchung von Systemen, Identifizierung von Bedrohungen und Priorisierung von Mitigationen. Diese Rigorosität gewährleistet umfassende Abdeckung und dokumentierte Entscheidungen.

Threat Modeling verbessert auch die Kommunikation zwischen Sicherheitsteams und Entwicklern. Visuelle Diagramme und strukturierte Bedrohungslisten schaffen gemeinsames Verständnis von Risiken.

Für Sicherheitsexperten ermöglichen Threat-Modeling-Fähigkeiten proaktiven Einfluss. Anstatt Probleme im Nachhinein zu finden, helfen Sie, sie durch Design zu verhindern.

Der Threat-Modeling-Prozess

Kernfragen

Jedes Threat Model versucht, vier fundamentale Fragen zu beantworten:

Was bauen wir? (Systembeschreibung)
Was kann schiefgehen? (Bedrohungsidentifikation)
Was werden wir dagegen tun? (Mitigationen)
Haben wir gute Arbeit geleistet? (Validierung)

Threat-Modeling-Prozess

System zerlegen

Bedrohungen identifizieren

Bedrohungen bewerten

Mitigationen planen

Validieren

Systemzerlegung

System vor der Bedrohungsanalyse dokumentieren:

system-zerlegung.txt

Text


Systemzerlegungselemente:

Architekturdiagramm:
- Komponenten und ihre Funktionen
- Technologie-Stack
- Bereitstellungsumgebung

Datenflussdiagramm (DFD):
- Externe Entitäten (Benutzer, externe Systeme)
- Prozesse (Anwendungskomponenten)
- Datenspeicher (Datenbanken, Dateien)
- Datenflüsse zwischen Elementen

Vertrauensgrenzen:
- Wo sich Vertrauensstufen ändern
- Netzwerksegmente
- Authentifizierungsgrenzen
- Privilegienübergänge

Assets:
- Behandelte sensible Daten
- Wertvolle Funktionalität
- Geschäftskritische Operationen

Bedrohungsidentifikations-Frameworks

STRIDE

Microsofts Framework kategorisiert Bedrohungen nach Typ:

stride-framework.txt

Text


STRIDE-Kategorien:

S - Spoofing (Identitätsvortäuschung)
  - Vorgeben, ein anderer Benutzer oder System zu sein
  - Mitigationen: Authentifizierung, Zertifikate

T - Tampering (Manipulation)
  - Daten während Übertragung oder Speicherung modifizieren
  - Mitigationen: Integritätskontrollen, Signierung, Verschlüsselung

R - Repudiation (Abstreitbarkeit)
  - Leugnen, dass Aktionen durchgeführt wurden
  - Mitigationen: Logging, digitale Signaturen, Audit-Trails

I - Information Disclosure (Informationspreisgabe)
  - Daten unbefugten Parteien offenlegen
  - Mitigationen: Verschlüsselung, Zugriffskontrollen, Datenklassifizierung

D - Denial of Service (Dienstverweigerung)
  - System unverfügbar machen
  - Mitigationen: Rate-Limiting, Redundanz, Ressourcengrenzen

E - Elevation of Privilege (Privilegieneskalation)
  - Unbefugten Zugriff oder Berechtigungen erlangen
  - Mitigationen: Least-Privilege, Eingabevalidierung, Sandboxing

STRIDE anwenden:

Jedes Element im Datenflussdiagramm untersuchen
Jede STRIDE-Kategorie für dieses Element berücksichtigen
Anwendbare Bedrohungen dokumentieren

PASTA (Process for Attack Simulation and Threat Analysis)

Siebenstufige risikozentrierte Methodik für tiefgehende Bedrohungsanalyse.

DREAD (Bewertungsmodell)

Risikobewertungs-Framework zur Priorisierung von Bedrohungen:

Faktor	Frage
Damage	Wie schwer ist der Schaden?
Reproducibility	Wie einfach zu reproduzieren?
Exploitability	Wie einfach auszunutzen?
Affected Users	Wie viele Benutzer betroffen?
Discoverability	Wie einfach zu entdecken?

Jeden Faktor 1-10 bewerten, für Gesamtrisikobewertung summieren.

Praktisches Threat Modeling

Workshop-Format

workshop-format.txt

Text


Threat-Modeling-Workshop (2-3 Stunden):

Teilnehmer:
- Entwicklungsteam-Leads
- Sicherheitsvertreter
- Architekt/Tech-Lead
- Optional: Product Owner

Vorbereitung (vor dem Meeting):
- Architekturdiagramme bereit
- Systemkontext dokumentiert
- Datensensitivität identifiziert

Sitzungsablauf:

1. Kontextsetzen (15 Min)
 - Systemübersicht
 - Geschäftswert
 - Sicherheitsanforderungen

2. Diagramm-Review (30 Min)
 - Architektur durchgehen
 - Datenflüsse validieren
 - Vertrauensgrenzen identifizieren

3. Bedrohungsidentifikation (60 Min)
 - STRIDE auf jedes Element anwenden
 - Angriffsszenarien brainstormen
 - Alle potenziellen Bedrohungen dokumentieren

4. Priorisierung (30 Min)
 - Bedrohungsschwere bewerten
 - Wahrscheinlichkeit berücksichtigen
 - Top-Bedenken identifizieren

5. Mitigationsplanung (30 Min)
 - Gegenmaßnahmen diskutieren
 - Aktionspunkte zuweisen
 - Entscheidungen dokumentieren

Dokumentationsvorlage

threat-model-vorlage.txt

Text


Threat-Model-Dokument:

1. Übersicht
 - Systemname und -zweck
 - Scope und Grenzen
 - Datum und Teilnehmer

2. Systembeschreibung
 - Architekturdiagramm
 - Datenflussdiagramm
 - Technologie-Stack
 - Vertrauensgrenzen

3. Assets
 - Datenklassifikationen
 - Kritische Funktionen
 - Sensible Komponenten

4. Bedrohungsanalyse
 | ID | Bedrohung | Kategorie | Asset | Schwere | Mitigation |
 |----|-----------|-----------|-------|---------|------------|
 | T1 | SQLi in Suche | Manipulation | DB | Hoch | Parametrisierte Abfragen |
 | T2 | Session-Hijacking | Spoofing | Auth | Hoch | Sichere Cookies, HTTPS |

5. Risikoentscheidungen
 - Akzeptierte Risiken (mit Begründung)
 - Aufgeschobene Punkte
 - Außerhalb des Scopes

6. Aktionspunkte
 - Zugewiesene Mitigationen
 - Zeitrahmen
 - Verifizierungsplan

Werkzeuge und Automatisierung

Microsoft Threat Modeling Tool

Kostenloses grafisches Tool
Vorlagenbasierte Bedrohungsgenerierung
STRIDE-Methodik eingebaut
Berichtgenerierung

OWASP Threat Dragon

Open-Source-Alternative
Webbasierte Oberfläche
Plattformübergreifende Unterstützung
STRIDE- und LINDDUN-Unterstützung

Karriererelevanz

Threat-Modeling-Fähigkeiten demonstrieren Sicherheitsarchitektur-Denken. Die Praxis erscheint in Security-Architect-Rollen, Application-Security-Positionen und Senior-Engineering-Verantwortlichkeiten.

Rollen mit Threat Modeling (US-Markt)

Role	Entry Level	Mid Level	Senior
Application Security Engineer	90 $	120 $	160 $
Security Architect	115 $	145 $	190 $
Product Security Engineer	100 $	135 $	175 $

Source: CyberSeek

Im Bootcamp

Wie wir Threat Modeling unterrichten

In unserem Cybersecurity-Bootcamp lernen Sie nicht nur Threat Modeling in der Theorie, sondern üben mit echten Tools in praktischen Labs, angeleitet von Branchenfachleuten, die diese Konzepte täglich anwenden.

Behandelt in:

Modul 8: Erweiterte Sicherheitsoperationen

Verwandte Themen, die Sie beherrschen werden:Incident ResponseDFIRThreat HuntingVolatility

Sehen Sie, wie wir das unterrichten

360+ Stunden von Experten geleitete Ausbildung • 94% Beschäftigungsquote

Blog

Karriere-Guides

Glossar

Zertifizierungen

Vergleiche

Tools

Autoren

Unternehmensschulung

Unsere Talente Einstellen

Threat Modeling

Warum es wichtig ist

Der Threat-Modeling-Prozess

Kernfragen

Systemzerlegung

Bedrohungsidentifikations-Frameworks

STRIDE

PASTA (Process for Attack Simulation and Threat Analysis)

DREAD (Bewertungsmodell)

Praktisches Threat Modeling

Workshop-Format

Dokumentationsvorlage

Werkzeuge und Automatisierung

Microsoft Threat Modeling Tool

OWASP Threat Dragon

Karriererelevanz

Rollen mit Threat Modeling (US-Markt)

Wie wir Threat Modeling unterrichten