Threat Modeling — kanonische Referenz.

STRIDE — Per-Komponente-Threat-Enumeration

• Spoofing — Identity-Claim ist fake. Verteidigung: Authentifizierung.
• Tampering — Daten modifiziert in Transit oder at Rest. Verteidigung: Integrity (Signaturen, MACs).
• Repudiation — Actor leugnet Aktion. Verteidigung: Logging + Non-Repudiation (signierte Actions).
• Information Disclosure — vertrauliche Daten geleakt. Verteidigung: Verschlüsselung + Access-Control.
• Denial of Service — Verfügbarkeit degradiert. Verteidigung: Rate-Limiting, Redundanz, Isolation.
• Elevation of Privilege — Actor gewinnt Rechte, die er nicht haben sollte. Verteidigung: Autorisierung, Least Privilege.
• Workflow. Data-Flow-Diagramm zeichnen → Trust-Boundaries identifizieren → pro Element, das eine Grenze überquert, STRIDE durchgehen → Bedrohung + Mitigation + Restrisiko notieren.

LINDDUN — Privacy-Threats

• Linkability — verschiedene Actions können demselben Actor zugeordnet werden.
• Identifiability — pseudonyme Daten können re-identifiziert werden.
• Non-Repudiation — Actor kann eine Action nicht leugnen (Privacy liest das als Schaden, nicht als Vorteil).
• Detectability — Actor ist als Ausführender einer Action detektierbar.
• Disclosure of Information — siehe STRIDE-I.
• Unawareness — User weiß nicht, welche Daten gesammelt/verarbeitet werden.
• Non-Compliance — System verletzt Regulation (DSGVO, CCPA).
• Wann. Überall wo persönliche Daten fließen. Richtiges Framework für jede DSGVO-/DPIA-Arbeit.

Attack-Trees

• Root = Adversary-Objektiv. Z.B. "Customer-PII exfiltrieren".
• OR-Nodes für alternative Pfade. Admin phishen ODER Web-App exploiten ODER Insider.
• AND-Nodes für benötigte Kombinationen. Admin phishen UND MFA umgehen.
• Leaf-Evaluation. Pro Blatt: Kosten, Skill, Zeit, Detektions-Wahrscheinlichkeit. Billigstes ungemitigtes Blatt = höchstpriorisierte Verteidigung.
• Deployed-Defenses markieren. Verteidigte Blätter schneiden Subtrees ab; verbleibende Pfade zeigen tatsächliches Restexposure.

Diamond-Modell

• Vier Vertices. Adversary, Capability, Infrastructure, Victim. Zwei Meta-Features: sozio-politisch (warum), Technologie (wie).
• Pivot-Beziehungen. Ein Vertex ist Anker (z.B. erbeutete C2-IP = Infrastructure); via dem, was über die IP bekannt ist, zu anderen Vertices pivoten (von welchem Actor genutzt? welches Tooling? welche Victims getroffen?).
• Disziplin. Jede Behauptung mit Source + Konfidenz getaggt. Vertices ohne Source = "unbekannt", nicht Best-Guess. Best-Guess in einem Diamond ist, was falsche Attribution produziert.

Präventive vs reaktive Controls über den Lifecycle

• Recon / Weaponization. Präventiv: externe Angriffsfläche minimieren, OSINT-Cleanup. Reaktiv: auf Reconnaissance-Muster überwachen (CT-Log-Monitoring eigener Certs, Honeypot-Subdomains).
• Delivery. Präventiv: Mail-Gateway, Web-Gateway, USB-Controls. Reaktiv: Sandbox-Detonation-Alerts, EDR-Exec-Telemetrie.
• Exploitation. Präventiv: Patching, Exploit-Mitigations (CFG, CET, ASLR). Reaktiv: EDR-Exploit-Behavior-Detections.
• Installation. Präventiv: App-Allowlisting, Code-Signing-Enforcement. Reaktiv: Persistenz-Orte überwachen (Autoruns, Scheduled Tasks).
• Command & Control. Präventiv: Egress-Filtering, DNS-Sinkhole für Known-Bad. Reaktiv: NTA, das C2-Beaconing-Muster detektiert.
• Actions on Objective. Präventiv: Data-Loss-Prevention, Segmentierung. Reaktiv: Anomales-Data-Egress-Detection, Deception (Canary-Files).