Threat Modeling: systematisch Schwachstellen jagen

Mit der richtigen Methodik und den passenden Werkzeugen lassen sich Sicherheitslücken bereits im Design aufspüren – lange bevor sie Angreifer ausnutzen können.

Artikel verschenken

28.11.2025, 15:00 Uhr

Lesezeit: 18 Min.

iX Magazin

Von

Kai Jendrian
Oliver Oettinger

Threat Modeling: systematisch Schwachstellen jagen
- Die vier Grundfragen
Schwachstellen haben System
Visualisierung: vom Whiteboard bis zum Code
Wissensgrundlagen
Auswahlkriterien: das richtige Tool für den Job
Fazit: Pragmatismus schlägt Perfektion

Artikel in iX 1/2026 lesen

Threat Modeling klingt nach einem weiteren Sicherheits-Buzzword, ist aber weitaus nützlicher, als der Name vermuten lässt. Denn es geht nicht darum, akademische Bedrohungsmodelle zu erstellen, sondern darum, systematisch nach unzureichendem Schutz zu suchen. Anders ausgedrückt: nach den Lücken in der Verteidigung.

Die Methodik richtet sich an drei Zielgruppen: erstens Entwicklungsteams, die qua Security by Design Sicherheit von Anfang an mitdenken wollen, zweitens Operations- und drittens Securityteams, die produktive Systeme auf Herz und Nieren prüfen müssen.

Mit Threat Modeling erstellt man Bedrohungsmodelle, die einen unzureichenden Schutz der eigenen IT-Infrastruktur und Software systematisch offenlegen.
Die Threat-Modeling-Tools reichen von einfachen Diagramming-Werkzeugen über spezialisierte Software und Wissensdatenbanken bis zu Threat-Modeling-Kartenspielen.
Welches Werkzeug sich am besten eignet, hängt vom Team, den Vorkenntnissen, der Ausrichtung und der etablierten Arbeitsweise ab.
Wichtiger als das perfekte Tool ist die regelmäßige Aktualisierung und Weiterentwicklung des Threat Model.

Kai Jendrian ist Berater für Informationssicherheit bei Secorvo mit Schwerpunkt Informationssicherheitsmanagement und sichere Software, außerdem Scrum Master, Product Owner und Certified Threat Modeling Professional.

Oliver Oettinger arbeitet als Berater für Informationssicherheit bei Secorvo in Karlsruhe. Dabei beschäftigt er sich mit Pentesting, Bedrohungsanalysen und hält Vorträge auf Konferenzen und Schulungen.

Beide Ansätze haben ihre Berechtigung – und ihre eigenen Herausforderungen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

, Alle Bilder: Inge Schwabe / heise medien

Unauffällige Fitnesstracker für Finger und Handgelenk im Test

Smartbänder und Smartringe kombinieren kontinuierliches Gesundheitsmonitoring mit Diskretion. Wir haben drei Armbänder und drei Ringe getestet.

Microsoft Office: Drei gute Alternativen ausprobiert

Wer nach datenschutzfreundlichem und günstigerem oder kostenlosem Ersatz für die MS-Office-Programmen sucht, findet mindestens drei gute Alternativen.

Mathematiker schlussfolgern: Wir leben nicht in einer Simulation

Einer Theorie nach könnte unsere Welt nichts weiter sein als eine Simulation. Mathematiker wollen nun widerlegt haben, dass wir in der Matrix leben.

Wie Sie die Heizkurve senken und sofort Geld sparen – bei jeder Heizung

Niedrige Vorläufe sind eine Voraussetzung für den effizienten Betrieb einer Wärmepumpe. Sie können aber bei jeder Heizung mit wenigen Handgriffen Geld sparen.

Bluthochdruckwarner in der Apple Watch: So arbeitet die neue Funktion

Hypertonie ist eine oft erst spät entdeckte Volkskrankheit. Die Apple Watch soll das ändern. Wir zeigen, wie gut es funktioniert – und die Einschränkungen.

Microsoft Office: Was den Datenaustausch so problematisch macht

Alternative Office-Programme können Microsoft-Dateien grundsätzlich lesen und bearbeiten, bereiten aber im Detail Probleme. Wir beleuchten die Hintergründe.