Egal ob ein historisch gewachsener Monolith oder die neueste Anwendung mit MACH-Architektur: Alle Anwendungen sind individuellen, für sie spezifischen Bedrohungen ausgesetzt. Das bedeutet, dass es keine Standardquelle oder Referenzliste geben kann, die dem Team relevante Bedrohungsszenarien beschreibt. Stattdessen muss sich das Team auf zwei unterschiedlichen Ebenen mit der eigenen Sicherheitslage auseinandersetzen: Auf der konzeptuellen Ebene erkannte Bedrohungen betreffen die Architektur und das Design der Anwendung, während Bedrohungen auf der Implementierungsebene im Code entstehen.
Threat Modeling beschreibt einen regelmäßigen Vorgang, um Bedrohungen auf konzeptueller Ebene zu identifizieren und Hinweise für solche auf Implementierungsebene zu sammeln.
In diesem Seminar geht es um verschiedene Methoden des Threat Modelings. Es werden Klassiker wie Microsofts STRIDE-Ansatz neben weniger bekannten Methoden wie PASTA und Attack Trees evaluiert. Die wesentlichen Merkmale werden anhand einer typischen Beispielanwendung veranschaulicht, die sich an den im Berateralltag regelmäßig vorgefundenen Architekturen orientiert. Dabei werden Erfahrungen bezüglich Zero-Trust- oder Serverless-Architekturen weitergegeben und mit on-premises Trust-Boundary-Szenarien verglichen.
Neben den Methoden werden auch Erfahrungen mit einschlägigen Threat Modeling Tools wie beispielsweise OWASP Threat Dragon und Microsoft Threat Modeling Tool vorgestellt. Es werden Ratschläge zur Integration von Threat Modeling in Entwicklungsprozesse gegeben.
Lernziele
Nach dem Seminar können die Teilnehmer
- ein Basis-Threat- Model einer ihnen vertrauten Anwendung erstellen und
- den Wert und die Grenzen von Threat Models einschätzen.
Zielgruppe
- Entscheider
- Projektleiter
- Architekten
- Softwareentwickler
- Sicherheitsbeauftragte
Dauer
2 Stunden bis einen Tag
Voraussetzungen
keine
Trainer
![]() |
Dr. Bastian Braun Sicherheitsberater in vielen Softwareprojekten |
![]() |
Björn Kirschner Erfahrener Penetrationstester und Informationssicherheitsberater |
![]() |
Dr. Benjamin Kellermann Erfahrener Penetrationstester und Informationssicherheitsberater |
Diese Seminare könnten Sie noch interessieren
Alle Schulungen
Ihr Ansprechpartner:
Dr.-Ing. Benjamin Kellermann
Nehmen Sie Kontakt per Email auf.
Oder rufen Sie uns an oder nutzen Sie unser Kontaktformular.