Genau dieser praxisorientierte Ansatz stand beim 7. Cyber Security Roundtable Liechtenstein im Fokus. Dabei wurde aufgezeigt, wie sich Bedrohungen und Schwachstellen systematisch identifizieren und Risiken gezielt priorisieren lassen.

Mathias Fasser (Creasoft) führte die Teilnehmenden anhand eines konkreten Beispiels durch eine beispielhafte Threat Modeling Session. Im Mittelpunkt stand die Risikoanalyse des User Lifecycle Management Prozesses (Joiner-Mover-Leaver) in einem KMU – mit Betrachtungen aus HR-, IT- und organisatorischer Perspektive.

Entlang der vier zentralen Leitfragen des Threat Modeling – What are we working on?, What can go wrong?, What are we doing about it? und Have we done a good job? – zeigte er auf, wie sich Risiken systematisch dokumentieren, Bedrohungen sichtbar machen und daraus konkrete Massnahmen ableiten lassen.

Threat Modeling wurde dabei als interaktives, kollaboratives Workshop-Format erlebbar, das Security greifbar macht und Risikomanagement aus der oft theoretischen Pflichtübung in die Praxis überführt. Die strukturierte Vorgehensweise schafft Transparenz und unterstützt Teams dabei, ein gemeinsames Verständnis für tatsächliche Risiken zu entwickeln.

Ergänzend stellte Mathias Fasser verschiedene Methoden und Tools vor – von Brainstorming und STRIDE bis hin zu Risikomatrix und DREAD – und teilte Erfahrungen aus zwei Jahren praktischer Anwendung.

Abschliessend wurde diskutiert, wie sich Threat Modeling sinnvoll in bestehende DevSecOps- oder ISMS-Strukturen, etwa im Kontext von ISO 27001, integrieren lässt und welchen Mehrwert dieser Ansatz für Organisationen jeder Grösse bietet.