Wenn ich als Security-Berater in Projekte komme und nach dem Threat Model frage, ist die Antwort häufig: „Haben wir eingeplant! Den Penetration-Test machen wir kurz vor Go-Live.” Während Pentests kurz vor dem Go-Live eines Projekts gemacht werden, wird ein Threat Model bereits am Anfang in der Design-Phase durchgeführt. Das hat den Vorteil, dass konzeptionelle Schwächen von vorneherein aufgedeckt werden. Eine Sicherheitslücke, die ansonsten einen enormen Aufwand in der Behebung bedeuten würde, kann geschlossen werden. Was ein Threat Model ist und wie es die Risiken deiner Anwendungen signifikant reduzieren kann, zeigt dieser Beitrag.
