Read next post…

Am 03.02.2026 trafen sich Bedrohungsmodellierungsbegeisterte von TMC DACH zu einem weiteren Threat Modeling Feierabend. Das Thema: “Na und?! Warum ist das sensibel?”

TMC-DACH-Treffen09 Gruppenfoto1228×553 129 KB

Hier gibt es die Folien:

Die Idee

Die erste Idee war, etwas zu Privacy / Datenschutz anzubieten. Als Spielfeld wurden schnell soziale Medien auserkoren und übermäßiges Teilen als relevanteste Bedrohung identifiziert. Was kann man also auf Social Media teilen? ALLES! Welche Kategorien personenbezogenen Daten gibt es? Zu Tage kam eine gehaltvolle Karte. Auch mit dabei: “sensibel” Markierungen:

Karte mit Kategorien personenbezogener Daten1920×1200 327 KB

Schon war die Kontroverse da: Warum ist das eine sensibel? Und das andere nicht? Das müssen wir threat-modeln! Die Idee der Zusammenkunft war geboren.

Angriffsbäume - mal andersherum

Als Methode für dieses Unterfangen wurden Angriffsbäume (Attack Trees) eingeführt. Und die GEGEBEN-WENN-DANN-Methode in deren Nähe gerückt.

Angriffsbäume modellieren mögliche Zustandsübergänge in einem Angriff und Konkretisierungen abstrakter Gefahren in einer Graph-Struktur. So können wir unterschiedliche Wege modellieren, wie Angreifende ein Ziel erreichen können und uns über Endziele, Zwischenschritte und Grundannahmen bewusst werden.

GEGEBEN-WENN-DANN ist ein sprachliches Muster für Bedrohungsbeschreibungen, das ähnliche Strukturen entwickelt, sobald wir Bestandteile wiederverwenden.

Zwei Erkundungsrichtungen bei Angriffsbäumen1920×1200 313 KB

Ein wesentlicher Aspekt bei einem Angriffsbaum ist dann die Erkundungsrichtung: Wenn wir uns einen beliebigen Knoten anschauen, so können wir uns fragen:

• Wie kann es dazu kommen? (Auftreten)

• Was kommt als nächstes? / Und dann? / Na und? (Auswirkung)

Normalerweise bauen wir Angriffsbäume beginnend mit einem Endziel-Knoten aus Sicht einer angreifenden Person. Dann fragen wir uns: Wie kann es dazu kommen? Wir erkunden das Auftreten und verfeinern so den Baum.

Diesmal ging es darum, die Erkundung einmal umzudrehen: Angreifende haben bestimmte personenbezogene Daten. Was können sie damit machen? Wir erkunden mögliche Auswirkungen. Es entsteht ein Baum mit möglichen Konsequenzen.

Triff Arnold, Sarina und Ella!

Die Methoden wurden mit einem Augenzwinkern anhand von Videos eingeführt, die das übermäßige Teilen auf Social Media problematisieren.

(1) Arnold muss seine Schuhe zurückgeben, weil er etwas Anstößiges auf Social Media geteilt hat und der Schuhhersteller nicht mit seinen Ansichten in Verbindung gebracht werden möchte.

(2) Sarina hat zu viele Daten auf Social Media preisgegeben, sodass ein Angreifer ihre Daten aufsammelt und dann damit einkaufen geht.

(3) Die junge Ella meldet sich KI-generiert aus der Zukunft und warnt ihre Eltern davor, zu viele Bilder von ihr zu teilen, damit nicht eine schreckliche Zukunft für sie beginnt.

Deutsch:

English:

Das sind die Kernaussagen des Videos als GEGEBEN-WENN-DANN:

Ella als GEGEBEN-WENN-DANN1920×1200 380 KB

Gemeinsame Bedrohungsmodellierung

Dann ging es los mit der gemeinsamen Bedrohungsmodellierung. Zuerst sammelten wir, welche personenbezogenen Daten uns spannend vorkamen. Dann pickten wir einzelne davon heraus und verfeinerten sie im interaktiven Gespräch in Angriffsbäumen.

Das Ergebnis nach 40 Minuten ohne Nachbesserung?

Ein Angriffsbaum zum Thema Browserverlauf, der die Mannigfaltigkeit der daraus ableitbaren Erkenntnisse zeigt:

Angriffsbaum zum Thema Browserverlauf2685×1246 207 KB

Ein Angriffsbaum zum Thema Arbeitgeber, der auch über Begegnung und Verfolgung die Heimadresse thematisiert:

Angriffsbaum zum Thema Arbeitgeber2685×1246 199 KB

Und zum Runterkommen ein Angriffsbaum über die Schuhgröße, die - wenig überraschend - als nicht besonders sensibel klassifiziert werden kann, aber doch mehr verrät als zuerst klar ist:

Angriffsbaum zur Thema Schuhgröße2685×1246 188 KB

Abschließendes Gespräch

Im abschließenden Gespräch wurde der Ansatz für gut befunden. Zu Angriffsbäumen in freier Wildbahn wurde das Problem aufgezeigt, dass sie oft zu komplex würden. Die Erkundung in dieser Sitzung hätte noch davon profitiert, die Perspektive “Wie wahrscheinlich ist das?” mehr einzubringen.

Nächste Veranstaltungen

Die nächste Veranstaltung ist die zehnte (!!!) Veranstaltung von TMC DACH. Sie fällt auf unser 1-jähriges Bestehen. Jan berichtet über das Experiment Vibestagram: Mittels Vibecoding haben sie mehrere Instagram-Klone erschaffen. Dann haben sie deren Sicherheit untersucht. Hier geht es zur Anmeldung:

Am Horizont ist außerdem eine weitere Veranstaltung zu Angriffsbäumen. Bleibt gespannt!

Lies den vorherigen Beitrag…

On February 3, 2026, threat modeling enthusiasts from TMC DACH met for another Threat Modeling Afterwork event. The topic: “So what?! Why is that sensitive?”

TMC-DACH Meetup 09 Group photo1228×553 129 KB

Here’s the slides:

The idea

The initial idea was to offer something related to privacy. Social media was quickly chosen as the playground, and oversharing was identified as the most relevant threat. So what can you share on social media? EVERYTHING! What categories of personal data are there? A comprehensive map emerged. Also included: “sensitive” markings:

Map with categories of personal data1920×1200 327 KB

And then the controversy began: Why is this sensitive? And why isn’t that? We need to threat model this! The idea for the meeting was born.

Attack trees - this time reversed

Attack trees were introduced as a method for this undertaking. And the GIVEN-WHEN-THEN method was brought into play.

Attack trees model possible state transitions in an attack and concretize abstract threats in a graph structure. This allows us to model different ways in which attackers can reach a certain end goal and become aware of intermediate steps, and basic assumptions.

GIVEN WHEN THEN is a linguistic pattern for threat descriptions that develops similar structures as soon as we reuse components.

Two directions of exploration in attack trees1920×1200 313 KB

An essential aspect of an attack tree is the direction of exploration: When we look at any node, we can ask ourselves:

• How can this happen? (Occurrence)

• What comes next? / And then? / So what? (Impact)

We usually build attack trees starting with an end goal node from the perspective of an attacker. Then we ask ourselves: How can this happen? We explore the occurrence and refine the tree.

This time, the idea was to turn the exploration around: Attackers have certain personal data. What can they do with it? We explore possible effects. The result is a tree with possible consequences.

Meet Arnold, Sarina, and Ella!

The methods were introduced with a wink using videos that highlight the problem of excessive sharing on social media.

(1) Arnold has to return his shoes because he shared something offensive on social media and the shoe manufacturer does not want to be associated with his views.

(2) Sarina has revealed too much information on social media, allowing an attacker to collect her data and then use it to go shopping.

(3) Young Ella sends an AI-generated message from the future, warning her parents not to share too many pictures of her, lest a terrible future befall her.

German:

English:

These are the key messages of the video as GIVEN WHEN THEN statements in German:

Ella as IF-THEN statements1920×1200 380 KB

Joint threat modeling

Then we started with joint threat modeling. First, we collected personal data that we found interesting. Then we picked out individual items and refined them in interactive discussions in attack trees.

The result after 40 minutes without any revisions?

An attack tree on the topic of browser history, which shows the diversity of insights that can be derived from it:

Attack tree on the topic of browser history2685×1246 207 KB

An attack tree on the topic of employers, which also addresses home addresses via encounters and tracking:

Attack tree on the topic of employers2685×1246 199 KB

And to calm things down, an attack tree about shoe size, which – unsurprisingly – can be classified as not particularly sensitive, but still reveals more than is initially clear:

Attack tree on the topic of shoe size2685×1246 188 KB

Final discussion

In the final discussion, the approach was deemed to be good. With regard to attack trees in the wild, the problem was pointed out that they often become too complex. The exploration in this session would have benefited from incorporating the perspective “How likely is that?” to a greater extent.

Next events

The next event is the tenth (!!!) event organized by TMC DACH. It coincides with our 1-year anniversary. Jan reports on the Vibestagram experiment: Using Vibecoding, they created several Instagram clones. Then they examined their security. Click here to register:

Another event on attack trees is also on the horizon. Stay tuned!

(Translated with https://deepl.com )