Einführung ins Threat Modeling – IT-Security als Mindset etablieren

IT-Security sollte ein zentrales Qualitätsmerkmal professioneller Softwareentwicklung sein. Oft genug wird das Thema jedoch zunächst zurückgestellt. Insbesondere in modernen Projekten, in denen Agilität beziehungsweise DevOps im Fokus stehen, nimmt nicht nur die Geschwindigkeit zu, es wachsen auch die Erwartungen an die Entwickler.

Häufig genug landen dadurch zunächst die gewollten Features auf der Liste, während Sicherheitsaspekte ganz nach hinten rutschen. Was zunächst sinnvoll aussieht, weil Projekte schneller fertig zu werden scheinen, entpuppt sich später oft genug als großes Problem: Es häufen sich technische (Sicherheits-)Schulden an, die nicht erst dann zum Problem werden, wenn der Hacker anklopft. Firmen benötigen daher ein pragmatisches, kontinuierliches Sicherheitskonzept, das direkt beim Entwicklerteam beginnt.

Das bietet der Workshop

In praktischen Beispielen und kommunikativen Brainstormings tasten sich die Workshop-Teilnehmer gemeinsam mit dem Referenten an neue Methoden heran. Ziel ist es, Threat Modeling auch ohne großes Vorwissen als Teil einer durchdachten Sicherheitsstrategie durchführen zu können. Dies ist hilfreich, damit Entwicklungsteams die Verantwortung für die Sicherheit ihres Produktes effizient stemmen können.

Die Teilnehmer betrachten ein Beispielszenario eines komplexen IT-Systems. Mithilfe des STRIDE-Frameworks versuchen sie, Bedrohungen für dieses System zu finden und zu benennen.

Zum Schluss zeigt der Referent, wie sich Threat Modeling über einen Gamification-Ansatz mittels eines Kartenspiels in Teams einführen lässt, sodass alle Entwickler eingebunden sind und sich der Ansatz in den agilen Arbeitsalltag reibungsfrei einbinden lässt.

Der Workshop selbst findet auf Deutsch statt. Die Präsentation liegt in englischer Sprache vor.

Zielgruppe

Der Workshop richtet sich an Entwickler, die noch keine tieferen Security-Vorkenntnisse haben.