Ein Bedrohungsmodell beantwortet vor der ersten Codezeile die entscheidende Frage: Was schützen wir eigentlich, und vor wem? Der Sicherheitsforscher Soatok hat dazu einen bewusst informellen Leitfaden veröffentlicht, der zeigt, wie Teams Angreifer, Werte und Angriffsflächen systematisch durchdenken.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenKaum ein Sicherheitsvorfall entsteht aus einer unbekannten Superwaffe. Meist reißt eine Annahme die Lücke, die niemand aufgeschrieben hat. Genau hier setzt Bedrohungsmodellierung an, indem sie stille Annahmen sichtbar macht, bevor ein Angreifer sie findet.
Das Wichtigste in Kürze
- Ein Bedrohungsmodell beantwortet sieben Kernfragen zu Werten, Angreifern, Angriffswegen und akzeptierten Restrisiken.
- Informelle Modelle in der Entwurfsphase liefern laut Soatok oft bessere Ergebnisse als formale Verfahren im Nachhinein.
- NIS2 und der BSI-Grundschutz machen die Risikoanalyse für viele KMU ab 2026 zur Pflicht, nicht zur Kür.
- Der teuerste Fehler ist eine Angriffs-Checkliste ohne dokumentierte Annahmen und Abhängigkeiten.
Was macht ein Bedrohungsmodell praktisch aus?

Ein Bedrohungsmodell benennt Werte, Angreifer, Angriffswege und Gegenmaßnahmen und hält zusätzlich fest, welche Annahmen darunter liegen und welche Risiken bewusst offenbleiben.
Soatok gliedert ein tragfähiges Modell in sieben Fragen. Am Anfang steht der oft übersprungene Punkt: Was schützen wir überhaupt? Erst danach folgen die Angreifer, ihre Angriffswege und die passenden Verteidigungen. Entscheidend sind zwei Fragen, die viele Teams auslassen: Auf welchen Annahmen ruht die Sicherheit, und welche Risiken werden wissentlich hingenommen?
Besonders wichtig ist die Sicht auf die Zusammenhänge. „Denken Sie in Graphen, nicht in Listen“, rät Soatok, weil ein einzelnes kompromittiertes Bauteil selten allein steht. Ein gestohlenes Passwort bleibt harmlos, solange ein zweiter Faktor greift; fällt dieser Faktor unter derselben Annahme, kippt die ganze Kette. Teams, die nur Einzelrisiken abhaken, übersehen genau diese Verbindungen.
Warum hilft informelles Modellieren gerade kleineren Teams?
Informelles Bedrohungsmodellieren zwingt Teams schon in der Entwurfsphase dazu, ihre Annahmen auszusprechen, und deckt so unbekannte Schwachstellen auf, ohne teure Spezialverfahren oder externe Gutachten vorauszusetzen.
1. Werte
Was schützen wir überhaupt?
2. Angreifer
Wer will diesen Werten schaden?
3. Angriffswege
Wie könnten sie vorgehen?
4. Gegenmaßnahmen
Was hält Angriffe auf?
5. Zusammenhänge
Was hängt von was ab?
6. Annahmen
Worauf ruht die Sicherheit?
7. Restrisiken
Was bleibt bewusst offen?
Der eigentliche Gewinn liegt nicht im fertigen Dokument, sondern im Gespräch davor. Sobald ein Team formuliert, worauf seine Sicherheit baut, treten die „unbekannten Unbekannten“ hervor, jene Lücken, die niemand auf dem Schirm hatte. Diese Klarheit entsteht in der Architekturphase fast nebenbei und kostet dort einen Bruchteil dessen, was eine spätere Korrektur verschlingt.
Ein informelles Modell entlarvt auch schiefe Abhängigkeiten, bevor sie in Code gegossen werden. Prüfen Teams, welches Bauteil auf welches andere vertraut, erkennen sie fragwürdige Verbindungen früh. Das verwandte Muster kennen wir aus der KI-Sicherheit, wo Prompt Injection im Kern eine Rollenverwechslung und keine exotische Zauberei ist. Auch dort steht und fällt alles mit einer sauberen Annahme darüber, wem das System vertrauen darf.
Was bedeutet das für KMU im DACH-Raum?
Für KMU im DACH-Raum wird die informelle Modellierung zum praktischen Einstieg in Pflichten aus NIS2 und BSI-Grundschutz, weil beide Regelwerke eine dokumentierte Risikoanalyse verlangen, die genau diese sieben Fragen beantwortet.
Der BSI-IT-Grundschutz stützt sich auf eine Schutzbedarfsfeststellung, die für jeden Wert die Vertraulichkeit, Integrität und Verfügbarkeit einstuft. Fällt die Einstufung auf „hoch“ oder „sehr hoch“, verlangt der BSI-Standard 200-3 zwingend eine ergänzende Risikoanalyse. Nichts anderes leistet ein Bedrohungsmodell, nur eben eine Ebene früher und in verständlicher Sprache.
Die Verzahnung ist bemerkenswert eng: Das BSI hat bestätigt, dass sein Grundschutz rund 80 Prozent der NIS2-Anforderungen abdeckt, und führt seit Januar 2026 den schlankeren „Grundschutz++“ als Weg für wesentliche und wichtige Einrichtungen ein. Wer als KMU jetzt anfängt, geht drei Schritte: die eigenen Kronjuwelen benennen, für jeden Wert die realistischen Angreifer und Angriffswege notieren, und jedes Risiko einer der vier Stufen zuordnen. Wie stark sich Restrisiken verschieben können, zeigt der Fall, in dem der ML-KEM-Standardisierungsprozess unter Verdacht der Schwächung geriet, oder die politische Debatte, nachdem Virginia den Verkauf von Standortdaten verbot. Den Denkfehler, aus jeder Schlagzeile eine Panik abzuleiten, entschärft die nüchterne Sicht auf angebliche KI-Angriffswellen. Wer die Grundlagen sauber aufsetzen will, findet den Rahmen dafür in unseren Cybersecurity-Grundlagen für KMU.
Mehr Newshunger?
- Cybersecurity Grundlagen 2026: Was KMU jetzt umsetzen müssen
- Prompt Injection ist Rollenverwechslung, kein Trick
- Anatomie eines gescheiterten Nationalstaat-Angriffs auf einen Entwickler
- NSA versucht angeblich, den ML-KEM-Standardisierungsprozess zu schwächen
- Schwachstellenmeldungen verlieren ihren Sonderstatus
- JumpServer: Open-Source-Lösung für Privileged Access Management
- Darum verbietet Virginia den Verkauf von Standortdaten