Ein Bedrohungsmodell beantwortet vor der ersten Codezeile die entscheidende Frage: Was schützen wir eigentlich, und vor wem? Der Sicherheitsforscher Soatok hat dazu einen bewusst informellen Leitfaden veröffentlicht, der zeigt, wie Teams Angreifer, Werte und Angriffsflächen systematisch durchdenken.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Kaum ein Sicherheitsvorfall entsteht aus einer unbekannten Superwaffe. Meist reißt eine Annahme die Lücke, die niemand aufgeschrieben hat. Genau hier setzt Bedrohungsmodellierung an, indem sie stille Annahmen sichtbar macht, bevor ein Angreifer sie findet.

Das Wichtigste in Kürze

  • Ein Bedrohungsmodell beantwortet sieben Kernfragen zu Werten, Angreifern, Angriffswegen und akzeptierten Restrisiken.
  • Informelle Modelle in der Entwurfsphase liefern laut Soatok oft bessere Ergebnisse als formale Verfahren im Nachhinein.
  • NIS2 und der BSI-Grundschutz machen die Risikoanalyse für viele KMU ab 2026 zur Pflicht, nicht zur Kür.
  • Der teuerste Fehler ist eine Angriffs-Checkliste ohne dokumentierte Annahmen und Abhängigkeiten.

Was macht ein Bedrohungsmodell praktisch aus?

Ein Setzkasten mit Begriffen und einer Figur, die den Bereich Fakten prüft
Ein Bedrohungsmodell definiert Schutzwerte, Angreifer und Abwehrmaßnahmen. Soatok strukturiert es in sieben Fragen, beginnend mit der grundlegenden: Was schützen wir?

Ein Bedrohungsmodell benennt Werte, Angreifer, Angriffswege und Gegenmaßnahmen und hält zusätzlich fest, welche Annahmen darunter liegen und welche Risiken bewusst offenbleiben.

Soatok gliedert ein tragfähiges Modell in sieben Fragen. Am Anfang steht der oft übersprungene Punkt: Was schützen wir überhaupt? Erst danach folgen die Angreifer, ihre Angriffswege und die passenden Verteidigungen. Entscheidend sind zwei Fragen, die viele Teams auslassen: Auf welchen Annahmen ruht die Sicherheit, und welche Risiken werden wissentlich hingenommen?

Besonders wichtig ist die Sicht auf die Zusammenhänge. „Denken Sie in Graphen, nicht in Listen“, rät Soatok, weil ein einzelnes kompromittiertes Bauteil selten allein steht. Ein gestohlenes Passwort bleibt harmlos, solange ein zweiter Faktor greift; fällt dieser Faktor unter derselben Annahme, kippt die ganze Kette. Teams, die nur Einzelrisiken abhaken, übersehen genau diese Verbindungen.

Warum hilft informelles Modellieren gerade kleineren Teams?

Informelles Bedrohungsmodellieren zwingt Teams schon in der Entwurfsphase dazu, ihre Annahmen auszusprechen, und deckt so unbekannte Schwachstellen auf, ohne teure Spezialverfahren oder externe Gutachten vorauszusetzen.

Bedrohungsmodell: die sieben Fragen und vier Risikostufen
Ein tragfähiges Modell klärt erst die Werte und Annahmen, dann sortiert es jedes Risiko in eine Stufe.

1. Werte

Was schützen wir überhaupt?

2. Angreifer

Wer will diesen Werten schaden?

3. Angriffswege

Wie könnten sie vorgehen?

4. Gegenmaßnahmen

Was hält Angriffe auf?

5. Zusammenhänge

Was hängt von was ab?

6. Annahmen

Worauf ruht die Sicherheit?

7. Restrisiken

Was bleibt bewusst offen?

Vier Stufen, um jedes Risiko einzuordnen
Prevented by DesignDer Angriff kann grundsätzlich nicht gelingen.
MitigatedScheitert, solange keine Annahme falsch ist.
AddressableLässt sich abwehren, kostet aber Sorgfalt.
OpenBleibt bewusst ungedeckt und wird akzeptiert.

Der eigentliche Gewinn liegt nicht im fertigen Dokument, sondern im Gespräch davor. Sobald ein Team formuliert, worauf seine Sicherheit baut, treten die „unbekannten Unbekannten“ hervor, jene Lücken, die niemand auf dem Schirm hatte. Diese Klarheit entsteht in der Architekturphase fast nebenbei und kostet dort einen Bruchteil dessen, was eine spätere Korrektur verschlingt.

Ein informelles Modell entlarvt auch schiefe Abhängigkeiten, bevor sie in Code gegossen werden. Prüfen Teams, welches Bauteil auf welches andere vertraut, erkennen sie fragwürdige Verbindungen früh. Das verwandte Muster kennen wir aus der KI-Sicherheit, wo Prompt Injection im Kern eine Rollenverwechslung und keine exotische Zauberei ist. Auch dort steht und fällt alles mit einer sauberen Annahme darüber, wem das System vertrauen darf.

Was bedeutet das für KMU im DACH-Raum?

Für KMU im DACH-Raum wird die informelle Modellierung zum praktischen Einstieg in Pflichten aus NIS2 und BSI-Grundschutz, weil beide Regelwerke eine dokumentierte Risikoanalyse verlangen, die genau diese sieben Fragen beantwortet.

Der BSI-IT-Grundschutz stützt sich auf eine Schutzbedarfsfeststellung, die für jeden Wert die Vertraulichkeit, Integrität und Verfügbarkeit einstuft. Fällt die Einstufung auf „hoch“ oder „sehr hoch“, verlangt der BSI-Standard 200-3 zwingend eine ergänzende Risikoanalyse. Nichts anderes leistet ein Bedrohungsmodell, nur eben eine Ebene früher und in verständlicher Sprache.

Die Verzahnung ist bemerkenswert eng: Das BSI hat bestätigt, dass sein Grundschutz rund 80 Prozent der NIS2-Anforderungen abdeckt, und führt seit Januar 2026 den schlankeren „Grundschutz++“ als Weg für wesentliche und wichtige Einrichtungen ein. Wer als KMU jetzt anfängt, geht drei Schritte: die eigenen Kronjuwelen benennen, für jeden Wert die realistischen Angreifer und Angriffswege notieren, und jedes Risiko einer der vier Stufen zuordnen. Wie stark sich Restrisiken verschieben können, zeigt der Fall, in dem der ML-KEM-Standardisierungsprozess unter Verdacht der Schwächung geriet, oder die politische Debatte, nachdem Virginia den Verkauf von Standortdaten verbot. Den Denkfehler, aus jeder Schlagzeile eine Panik abzuleiten, entschärft die nüchterne Sicht auf angebliche KI-Angriffswellen. Wer die Grundlagen sauber aufsetzen will, findet den Rahmen dafür in unseren Cybersecurity-Grundlagen für KMU.

Mehr Newshunger?

4,3 21 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?