Jetzt vormerken: heise devSec 2025 am 30. September und 1. Oktober in Regensburg

What could (possibly) go wrong? Threat Modeling mit einem Kartenspiel erklärt

Nicht erst seitdem 2021 der Punkt "Insecure Design" an Stelle vier neu in die OWASP-Top-Ten-Liste aufgenommenen wurde, steht fest, dass Sicherheitsanforderungen möglichst früh im Entwicklungsprozess berücksichtigt werden sollten.

Eine der Techniken, um dies zu tun, ist das Application Threat Modeling. Aus den Erfahrungen vieler Threat-Modeling-Workshops und inspiriert durch andere Threat-Modeling-Kartenspiele hat der Referent ein für Webanwendungen spezialisiertes Threat-Modeling-Kartenspiel entwickelt.

Der Vortrag führt zunächst in die Grundlagen und bekannte Methoden des Threat Modeling ein und ordnet das selbst entwickelte Spiel in den Bereich der "Serious Games" mit Bezug zu Informationssicherheit ein.

Mit einer praktischen Vorführung wird den Teilnehmenden anschließend gezeigt, wie Kartenspiele helfen können, ein "Hacker-Mindset" in Entwicklungsteams zu etablieren.

Vorkenntnisse

Grundkenntnisse des Secure Software Development Lifecycle (SSDL) sind von Vorteil aber nicht notwendig. Geeignet ist der Vortrag für alle Personen die im Entwicklungsprozess eingebunden sind (in der Planung, Architektur, Entwicklung).

Lernziele

Teilnehmende erhalten einen Überblick über Vorgehensweisen des Threat Modeling und verwandte Konzepte (unter anderem SSDL, STRIDE, Risikobewertungen).
Nach dem Vortrag haben die Teilnehmenden einen Überblick über Methoden des Application Threat Modeling und sind in der Lage, die für sie passenden Methoden in ihren Softwareprojekten anzuwenden. Den Teilnehmenden wird verdeutlicht, wie spielerische Elemente im Entwicklungsprozess eingesetzt werden.

Speaker

 

Maximilian Stauss
Maximilian Stauss ist als Berater für Informationssicherheit tätig und berät Kunden bei der Einführung von Managementsystemen für Informationssicherheit, führt Schulungen für Beschäftigte und Administratoren durch und prüft regelmäßig Unternehmen auf ihr Sicherheitsniveau. In seiner Master-Arbeit hat er er sich mit der Bewertung von Cyber-Bedrohungen mittels einer Graph-Datenbank beschäftigt.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden