TMC DACH Threat Modeling Lagerfeuer 🔥 - Threat Modeling für alle / Threat Modeling for all

:de: :switzerland: :austria: [lang:de]

Wer wünscht es sich nicht… ein gemeinsamer Abend im Sommer am Lagerfeuer. Man tauscht sich aus und genießt die Zeit nach der Arbeit.

Genau das haben 18 Threat Model Interessierte letzte Woche Dienstag zusammen gemacht.

Neues Format in der deutschsprachigen :de: :switzerland: :austria: Zweigstelle:

In unserem Formt Lagerfeuer diskutiert die TMC DACH Gemeinschaft ein Impulsthema in Brich-Heraus-Räumen und tauscht sich zu Erfahrungen aus.

Threat Modelling für alle :people_holding_hands: – das war das diesmalige Thema, welches von Richard beigesteuert wurde. Als kurze Einführung gab es die Vorstellung verschiedener Gründe, warum Threat Modeling noch nicht so weit verbreitet ist, wie es vielleicht sein sollte. Die Teilnehmer:innen wurden zu den genannten Thesen gefragt, ob sie dieses aus Ihrer Erfahrung oder dem Bekanntenkreis kennen.

Ergebnisse der Umfage

“Threat Modeling noch gänzlich unbekannt.”
:thumbsup: Ja: 42%
:thumbsdown: : 48%
:man_shrugging: : 0%

“Threat Modeling wird bei Entscheider:innen als sehr kompliziert wahrgenommen und darum gar nicht erst eingeführt.”
:thumbsup: : 50%
:thumbsdown:: 25%
:man_shrugging: : 25%

“Es gibt keinen Sponsor, der Threat Modeling etablieren möchte.”
:thumbsup: : 25%
:thumbsdown:: 42%
:man_shrugging:: 33%

“Security und damit deren Anforderungen werden nicht als Feature wahrgenommen.”
:thumbsup: : 50%
:thumbsdown:: 42%
:man_shrugging: : 8%

“Es wird versucht, Sicherheit über andere Anwendungssicherheitspraktiken herzustellen (Secure Coding, Code Scan, Pentest, …)”
:thumbsup: : 77%
:thumbsdown:: 8%
:man_shrugging: : 15%

Viele vorhandene und kommende Regulierungen wie DORA, Maschinen-VO und CRA fordern Risikoanalysen und Security-by-Design, mit diesen Risikoanalysen wird auch Threat Modeling deutlich an Bedeutung gewinnen!
:thumbsup: : 46%
:thumbsdown: 15%
:man_shrugging:: 15%

Für die anschließenden Brich-Herausräume gab es dann auch einige Anregungen und Impulsragen.

Zusammenfassung der wichtigsten Ergebnisse

Förderung von oben :man_in_business_suit_levitating:
Wie vieles in Organisationen hängt es davon ab, ob man vom Management bzw. der Führung unterstützt wird. Wird dort Sicherheit bzw. Security-by-Design nicht als Mehrwert wahrgenommen, hilft alles andere wenig. Sicherheit sollte als Feature platziert werden.

Untersetzung von unten :office_worker:
Unternehmenskultur frisst Strategie zum Frühstück (Peter Drucker) – auch der beste Ansatz von oben bringt nichts, wenn es von der Produktentwicklung nicht unterstützt wird. Am besten funktioniert es, wenn beide Seiten es wollen. Fragt sich nur noch wie…

Für den Start hilft es wenn man sich Hilfe von außen holt
Oft ist es schwierig mit dem Threat Modeln anzufangen. Einfach als Angreifer:in zu denken, geht schlecht. Wenn man hier Starthilfe bekommt, ist das viel Wert, dann kann es intern weiter gehen.

Sicherheit braucht einen Champion :trophy: – Threat Modelling auch
Oft bedarf es eines initialen Schrittes. Dafür bieten sich Security Champions oder Threat Model-Botschafter:innen oder auch Threat Curators an. Und wenn erstmal eine Person für Threat Modeling brennt, dann ziehen andere mit und schon kann es losgehen.

Schwergewicht :muscle: vs. Fliegengewicht :fly:
Die Herangehensweise ist so vielfältig wie die Organisationen selber. Viele Methoden von langen Workshops hin zu einzelnen kurzen Impulsen vor einem Refinement können helfen. Wenn man nicht die Zeit für mehrere Stunden hat, hilft es 2-3 Karten z.B. aus Cornucopia oder Cumulus zu ziehen und diese im Refinement besonders zu berücksichtigen.

Anfang ist besser als auf Perfektion zu warten
Manchmal fehlt es schon an Diagrammen für eine Threat Model Übung. Hier kann es helfen, einfach nach dem zu fragen, was schiefgehen kann (4-Fragen-Framework). Wenn das Team die Features und Funktionen kennt, bringt das manchmal die Diskussion ins Laufen. Ein Diagramm kann man dann auch während der Übung erstellen. Im Anschluss können Verfahren wie kontinuierliches Threat Modeling (Beispiel Izar) helfen. Auch eine Kombination mit Datenschutz, z.B. Datenschutzfolge-abschätzungen ist möglich und man hat einen Anknüpfungspunkt.

Eine Größe passt nicht allen
Wenn ein Ansatz nicht funktioniert, dann versuche etwas anderes. Es lohnt sich das Thema von verschiedenen Seiten anzugehen. Nur nicht aufgeben! :muscle:

Es war auf jeden Fall wieder ein gelungener Abend. Wir freuen uns auf das nächste Treffen, dann im neuen Format. Das Thema lautet „Rückblick auf den Hackathon 2025“ unter anderem mit dem Bewerter/Richter (Judge) Daniel

:us: :uk: [lang:en]

Who doesn’t wish for it… an evening together around the campfire in summer. You exchange ideas and enjoy the time after work.

That’s exactly what 18 Threat Model enthusiasts did together Tuesday last week.

New format in the German-speaking :de: :switzerland: :austria:: chapter:

In our Lagerfeuer format, the TMC DACH community discusses an impulse topic in break-out rooms and exchanges experiences.

Threat modeling for all :people_holding_hands: - that was the topic this time, which was contributed by Richard. As a short introduction, there was a presentation of various reasons why threat modeling is not yet as widespread as it perhaps should be. The participants were asked about the theses mentioned, whether they know this from their experience or from their circle of acquaintances.

Results of the survey

“Threat modeling still completely unknown.”

:thumbsup: Yes: 42%

:thumbsdown: : 48%

:man_shrugging: : 0%

“Threat modeling is perceived as very complicated by decision-makers and is therefore not even introduced.”

:thumbsup: : 50%

:thumbsdown:: 25%

:man_shrugging: : 25%

“There is no sponsor who wants to establish threat modeling.”

:thumbsup: : 25%

:thumbsdown:: 42%

:man_shrugging:: 33%

“Security and its requirements are not perceived as a feature.”

:thumbsup: : 50%

:thumbsdown:: 42%

:man_shrugging: : 8%

“Attempts are made to establish security via other application security practices (secure coding, code scan, pentest, …)”

:thumbsup: : 77%

:thumbsdown:: 8%

:man_shrugging: : 15%

Many existing and upcoming regulations such as DORA, Machine Regulation and CRA require risk analyses and security-by-design, with these risk analyses threat modeling will also become significantly more important!

:thumbsup: : 46%

:thumbsdown: 15%

:man_shrugging:: 15%

There were also some suggestions and impulse contributions for the subsequent break-out rooms.

Summary of the most important results

Tone from the top :man_in_business_suit_levitating:
Like many things in organizations, it depends on whether you have the support of management or leadership. If security or security-by-design is not perceived as added value there, everything else is of little help. Security should be positioned as a feature.

Support from below :office_worker:
Corporate culture eats strategy for breakfast (Peter Drucker) - even the best approach from the top is useless if it is not supported by product development. It works best when both sides want it. The only question is how…

To get started, it helps to get help from outside
It is often difficult to get started with threat modeling. Simply thinking as an attacker is a bad idea. If you get help to get started, it’s worth a lot, then you can continue internally.

Security needs a champion :trophy: - Threat modeling also
Often requires an initial step. Security champions, threat model ambassadors or threat curators are ideal for this. And once one person is on fire for threat modeling, others join in and you’re ready to go.

Heavyweight :flexed_biceps: vs. flyweight :fly:
The approach is as diverse as the organizations themselves. Many methods from long workshops to individual short impulses before a refinement can help. If you don’t have the time for several hours, it helps to draw 2-3 cards, e.g. from Cornucopia or Cumulus, and give them special consideration in the refinement.

Beginning is better than waiting for perfection
Sometimes there is a lack of diagrams for a threat model exercise. Here it can help to simply ask what can go wrong (4-question framework). If the team knows the features and functions, this sometimes gets the discussion going. A diagram can also be created during the exercise. Procedures such as continuous threat modeling (e.g. Izar) can then help. A combination with data protection, e.g. data protection impact assessments, is also possible and you have a starting point.

One size does not fit all
If one approach does not work, try something else. It’s worth approaching the topic from different angles. Just don’t give up! :muscle:

In any case, it was another successful evening. We look forward to the next meeting, then in a new format. The topic will be “Review of the Hackathon 2025” with, among others, the evaluator/judge Daniel

2 Likes

My key takeaway: Few people with high passion are contagious!! :fire: Be that person.

1 Like