What could (possibly) go wrong? Threat Modeling mit einem Kartenspiel erklärt
Nicht erst seitdem 2021 der Punkt "Insecure Design" an Stelle vier neu in die OWASP-Top-Ten-Liste aufgenommenen wurde, steht fest, dass Sicherheitsanforderungen möglichst früh im Entwicklungsprozess berücksichtigt werden sollten.
Eine der Techniken, um dies zu tun, ist das Application Threat Modeling. Aus den Erfahrungen vieler Threat-Modeling-Workshops und inspiriert durch andere Threat-Modeling-Kartenspiele hat der Referent ein für Webanwendungen spezialisiertes Threat-Modeling-Kartenspiel entwickelt.
Der Vortrag führt zunächst in die Grundlagen und bekannte Methoden des Threat Modeling ein und ordnet das selbst entwickelte Spiel in den Bereich der "Serious Games" mit Bezug zu Informationssicherheit ein.
Mit einer praktischen Vorführung wird den Teilnehmenden anschließend gezeigt, wie Kartenspiele helfen können, ein "Hacker-Mindset" in Entwicklungsteams zu etablieren.
Vorkenntnisse
Grundkenntnisse des Secure Software Development Lifecycle (SSDL) sind von Vorteil aber nicht notwendig. Geeignet ist der Vortrag für alle Personen die im Entwicklungsprozess eingebunden sind (in der Planung, Architektur, Entwicklung).
Lernziele
Teilnehmende erhalten einen Überblick über Vorgehensweisen des Threat Modeling und verwandte Konzepte (unter anderem SSDL, STRIDE, Risikobewertungen).
Nach dem Vortrag haben die Teilnehmenden einen Überblick über Methoden des Application Threat Modeling und sind in der Lage, die für sie passenden Methoden in ihren Softwareprojekten anzuwenden. Den Teilnehmenden wird verdeutlicht, wie spielerische Elemente im Entwicklungsprozess eingesetzt werden.