IT-Sicherheitsbewusstsein schaffen: Threat-Modelling per Kartenspiel

Beim Produktzyklus einer Software ist es wichtig, frühzeitig mögliche Bedrohungen zu erkennen. So fördern Sie das dafür nötige Wissen mit Kartenspielen.

Artikel verschenken

(Bild: Kartenmotive: Microsoft (CC BY 3.0 US))

22.08.2022, 11:00 Uhr

Lesezeit: 15 Min.

c't Magazin

Von

Christoph Niehoff

IT-Sicherheitsbewusstsein schaffen: Threat-Modelling per Kartenspiel
- Das ist Threat-Modelling
Gamification
Karten vermitteln Hintergrundwissen
Vorbereitung und Spielen
Fazit
Exkurs: Threat-Modelling im Homeoffice

Artikel in c't 18/2022 lesen

Eine Software über ihren gesamten Lebenszyklus kompetent zu verwalten, schließt eine Reihe von Aufgaben ein. Dazu gehören eher typische Entwicklungstätigkeiten wie Architektur der Software, kontinuierliche Tests und natürlich die Implementierung an sich. Moderne, agile Entwicklungsmethoden verzahnen diese Aufgaben mit vermeintlich nachgelagerten Arbeiten wie Deployment und Monitoring sowie der Wartung eines Softwareprodukts. Das zugehörige Schlagwort lautet "DevOps", weil die klassischerweise getrennten Bereiche Softwareentwicklung (Development) und Systemadministration (Operations) miteinander verschmelzen.

IT-Security findet dabei allerdings oft nicht den notwendigen Raum. Auch in sehr agil arbeitenden Teams bestehen die Security-Prozesse häufig aus singulären Ereignissen wie Audits oder simulierten Angriffen (Pentests), die an einzelnen Experten hängen und den anderen Prozessen nachgelagert sind.

Das kann zu unsicherer Software führen, denn selbst wenn man die Software perfekt implementiert und testet, kann das Security-Fehler im Design nicht ausgleichen. Solche Fehler gehören seit 2021 auch zur OWASP Top 10 der Sicherheitsrisiken für Web-Apps. Mit der Aufnahme in diese Liste des Open Web Application Security Projects hat "Unsicheres Design" einen gewichtigen Ritterschlag als ernstzunehmende Bedrohung bekommen. Selbst wenn man solche Probleme später in Audits entdeckt, ist der Aufwand zur Korrektur groß. Besser ist es, Security als gleichberechtigten Partner von Development und Operations in alle Teile des agilen Prozesses zu integrieren, was auch als "DevSecOps" bezeichnet wird.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Saharastaub und Pollen: (Warum) sollte ich meine Solaranlage reinigen?

Nach einigen Jahren können vor allem flach montierte Solarplatten siffig aussehen und entsprechend Leistung verlieren. Muss man die Platten zwingend reinigen?

Zettelkastenmethode: Mit diesen Apps organisieren Sie Ihre digitalen Notizen

Mit dem Konzept des Zettelkastens von Niklas Luhmann können Sie Ihr Chaos an Notizen bändigen. Wir erklären, mit welchen Apps Sie es digital umsetzen.

Ausprobiert: Windows on ARM mit neuen Snapdragon-X-Prozessoren

Einige der neuen Windows-on-ARM-Notebooks mit Copilot+ haben sich seit deren Verkaufsstart im c't-Labor eingefunden. Wir schildern unsere ersten Eindrücke.

Interview mit VanMoof-Chef Eliott Wertheimer: Pläne nach der Insolvenz

Der neue CEO Eliott Wertheimer erklärt, woran das Unternehmen gescheitert ist, wie es weitergehen soll und warum mehr Produkte den Namen VanMoof tragen werden.

Betriebssysteme: Was extra schlanke Windows-Variationen taugen

Für Windows gibt es inoffizielle, minimalistische Variationen. Wir erklären, was Atlas, ReviOS und Tiny11 bringen, wenn man sich auf sie einlässt.

Kühlen mit der Wärmepumpe: Wenn die Fußbodenheizung Kälte liefert

Wärmepumpen heizen nicht nur effizient, sie können Wohnräume auch kühlen. Was das fürs Verteilsystem bedeutet und welche Temperaturen möglich sind.

Wichtiges Wissen: Wärmepumpe

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}