Egal ob ein historisch gewachsener Monolith oder die neueste Anwendung mit MACH-Architektur: Alle Anwendungen sind individuellen, für sie spezifischen Bedrohungen ausgesetzt. Das bedeutet, dass es keine Standardquelle oder Referenzliste geben kann, die dem Team relevante Bedrohungsszenarien beschreibt. Stattdessen muss sich das Team auf zwei unterschiedlichen Ebenen mit der eigenen Sicherheitslage auseinandersetzen: Auf der konzeptuellen Ebene erkannte Bedrohungen betreffen die Architektur und das Design der Anwendung, während Bedrohungen auf der Implementierungsebene im Code entstehen.

Threat Modeling beschreibt einen regelmäßigen Vorgang, um Bedrohungen auf konzeptueller Ebene zu identifizieren und Hinweise für solche auf Implementierungsebene zu sammeln.

In diesem Seminar geht es um verschiedene Methoden des Threat Modelings. Es werden Klassiker wie Microsofts STRIDE-Ansatz neben weniger bekannten Methoden wie PASTA und Attack Trees evaluiert. Die wesentlichen Merkmale werden anhand einer typischen Beispielanwendung veranschaulicht, die sich an den im Berateralltag regelmäßig vorgefundenen Architekturen orientiert. Dabei werden Erfahrungen bezüglich Zero-Trust- oder Serverless-Architekturen weitergegeben und mit on-premises Trust-Boundary-Szenarien verglichen.

Neben den Methoden werden auch Erfahrungen mit einschlägigen Threat Modeling Tools wie beispielsweise OWASP Threat Dragon und Microsoft Threat Modeling Tool vorgestellt. Es werden Ratschläge zur Integration von Threat Modeling in Entwicklungsprozesse gegeben.