[lang:de]
Threat Modeling Feierabend mit OWASP Cumulus – Smarte Saugroboter, Cloud und spannende Erkenntnisse!
Was für ein Abend! Am letzten Threat Modeling Feierabend drehte sich alles um das kooperative Kartenspiel OWASP Cumulus im Rahmen eines hochaktuellen Szenarios: Ein smarter Saugroboter, gesteuert per App, verbunden mit Cloud-Diensten, Map- und Firmware-Service, GitHub, DockerHub und vielem mehr… Unter der Leitung von @ChristophNiehoff, unterstützt von den Moderatoren Ron und Tobias, tauchten wir gemeinsam in die Welt der Cloud-Sicherheit ein und haben dabei nicht nur gespielt, sondern auch jede Menge gelernt.
Ablauf & Atmosphäre
Los ging’s um 17:00 Uhr mit einem kurzen Einstieg ins Thema: Wie funktioniert OWASP Cumulus eigentlich? Christoph führte uns mit viel Begeisterung und Know-how ins Thema ein und gab einen Einblick in die Gamification von Bedrohungsmodellierung.
Ab 17:40 Uhr hieß es dann: Karten auf den Tisch! In drei Gruppen wurde fleißig gespielt, diskutiert und analysiert. Die Spielleiter @ChristophNiehoff, @RonMK und Tobias sorgten dafür, dass alle mitmischen konnten – egal ob Neuling oder alter Hase. Die Stimmung war locker, der Austausch intensiv und die Zeit verging wie im Flug.
Nach gut einer Stunde Spielspaß folgte die Reflexion: Welche Bedrohungen haben wir gefunden? Was hat uns überrascht? Hier zeigte sich, wie vielfältig und kreativ die Community denkt – und wie wichtig der offene Austausch ist. Im Outro gab’s noch ein Gewinnspiel (mehr dazu unten), ein herzliches Dankeschön an alle Teilnehmenden und die Einladung, beim nächsten Mal wieder dabei zu sein.
Christophs Folien findet ihr hier: https://owasp.org/www-project-cumulus/assets/pdf/20250520_TMC-DACH.pdf
Auszüge aus den Folien:
Erstaunliche und erwähnenswerte Threats
Die Spielrunden förderten eine beeindruckende Bandbreite an Bedrohungen zutage – von Klassikern bis zu echten Aha-Momenten:
- Fehlendes Konfigurationsmanagement und fehlende SBOMs für Mobile Apps und Firmware wurden als zentrale Schwachstellen identifiziert.
- Besonders brisant: Dependency Hijacking und Typosquatting-Angriffe – hier kann schon ein kleiner Tippfehler in der Paketverwaltung zu großen Problemen führen.
- Angreifer könnten Debug-Tools missbrauchen oder durch verwaiste Projekte und nicht entfernte Abhängigkeiten Einfallstore finden.
- Im Bereich Recovery wurde klar: Phishing, Verlust von Produktionsgeheimnissen und fehlende Tests der Recovery-Mechanismen sind Risiken, die oft unterschätzt werden.
- Im Monitoring- und Ressourcenbereich stachen fehlende Erreichbarkeit bei Vorfällen, Brute-Force-Angriffe, Kostenexplosionen in der Cloud und der Missbrauch von Ressourcen für Kryptomining hervor.
- Besonders spannend: Unbekannter Datenabfluss aus Kubernetes-Clustern und Kontrollverlust über persönliche Daten durch Weitergabe von Logfiles.
Gewinnspiel & Gewinner
Ein Highlight des Abends: das Gewinnspiel! Drei glückliche Gewinner dürfen sich über je einen 25$-Gutschein für Agile Stationery freuen und können damit direkt ihr eigenes OWASP Cumulus-Set shoppen. Herzlichen Glückwunsch an Dan, Ingo und Richard!
Fazit
Ob Neuling oder Profi – alle konnten beim Threat Modeling Feierabend im Szenario rund um den smarten Saugroboter aktiv mitdenken, voneinander lernen und neue Perspektiven gewinnen. Die Mischung aus Spiel, Reflexion und Austausch in der Gemeinschaft hat wieder einmal gezeigt: Bedrohungsmodellierung macht gemeinsam am meisten Spaß! Unser Dank gilt Christoph für seinen spannenden Beitrag. Wir freuen uns schon auf das nächste Mal zum Threat Modeling Lagerfeuer im Juli – und bis dahin: Bleibt neugierig und wachsam!
[lang:en]
Threat Modelling Feierabend with OWASP Cumulus – Smart vacuum robots, the cloud and exciting insights!
What an evening! The last Threat Modelling get-together was all about the cooperative card game OWASP Cumulus in a highly topical scenario: a smart vacuum robot, controlled via an app, connected to cloud services, map and firmware services, GitHub, DockerHub and much more… Led by @ChristophNiehoff and supported by moderators @RonMK and Tobias, we immersed ourselves in the world of cloud security and not only had fun playing, but also learned a lot.
Schedule & atmosphere
We kicked off at 5 p.m. with a brief introduction to the topic: How does OWASP Cumulus actually work? Christoph introduced us to the topic with great enthusiasm and expertise and gave us an insight into the gamification of threat modelling.
At 5:40 p.m., it was time to lay our cards on the table! We were divided into three groups and spent the next hour playing, discussing and analysing. Game masters @ChristophNiehoff, @RonMK and Tobias made sure that everyone could join in, regardless of whether they were newbies or old hands. The atmosphere was relaxed, the exchange intense, and time flew by.
After a good hour of fun, it was time to reflect: What threats did we find? What surprised us? This showed how diverse and creative the community thinks – and how important open exchange is. The outro featured a competition (more on that below), a heartfelt thank you to all participants and an invitation to join us again next time.
@ChristophNiehoff’s slides can be found here: https://owasp.org/www-project-cumulus/assets/pdf/20250520_TMC-DACH.pdf
Excerpts from the slides:
Amazing and noteworthy threats
The game rounds revealed an impressive range of threats – from classics to real eye-openers:
- Lack of configuration management and SBOMs for mobile apps and firmware were identified as key vulnerabilities.
- Particularly explosive: dependency hijacking and typosquatting attacks – here, even a small typo in package management can lead to major problems.
- Attackers could misuse debugging tools or find entry points through orphaned projects and dependencies that have not been removed.
- In the area of recovery, it became clear that phishing, loss of production secrets and lack of testing of recovery mechanisms are risks that are often underestimated.
- In the monitoring and resources area, lack of availability in the event of incidents, brute force attacks, cost explosions in the cloud and the misuse of resources for cryptomining stood out.
- Particularly exciting: unknown data leakage from Kubernetes clusters and loss of control over personal data through the disclosure of log files.
Competition & winners
A highlight of the evening: the competition! Three lucky winners will each receive a $25 voucher for Agile Stationery, which they can use to purchase their own OWASP Cumulus deck. Congratulations to Dan, Ingo and Richard!
Conclusion
Whether newcomer or pro, everyone was able to actively contribute to the Threat Modeling Feierabend scenario based on the smart vacuum robot, learn from each other and gain new perspectives. The mix of play, reflection and community exchange showed once again that threat modelling is most fun when done together! Our thanks go to Christoph for his exciting contribution. We are already looking forward to the next Threat Modelling Campfire in July – and until then: stay curious and vigilant!