Zum Inhalt

Threat Modeling Phase

Link zur offiziellen PTES-Dokumentation

Einleitung

Die Threat Modeling Phase dient dazu, potenzielle Bedrohungen strukturiert zu identifizieren und zu priorisieren, bevor aktive Tests durchgeführt werden.
In dieser Phase wird analysiert, welche Angreifer realistisch sind, welche Ziele sie verfolgen und welche Angriffswege am wahrscheinlichsten oder kritischsten sind.

Dadurch wird sichergestellt, dass sich der Penetrationstest auf relevante Risiken konzentriert und nicht wahllos oder ausschliesslich technisch motiviert durchgeführt wird.

Um was geht es bei dieser Phase?

Die Threat-Modeling-Phase liefert das strategische Fundament für alle folgenden Testschritte. Sie beschäftigt sich mit:

  • den potenziellen Bedrohungsakteuren (Threat Actors)
  • den Angriffszielen (Assets) und deren Schutzbedarf
  • den möglichen Angriffsvektoren
  • den Motivationen und Fähigkeiten eines Angreifers
  • der Eintrittswahrscheinlichkeit und Auswirkung von Angriffen
  • der Priorisierung von Testzielen

Statt ausschliesslich nach technischen Schwachstellen zu suchen, wird betrachtet, wie ein realer Angreifer denken und handeln würde.

Fiktives Beispiel: Threat Modeling in der Praxis

Ausgangssituation

Ein mittelständisches Unternehmen betreibt eine einfache Webanwendung für Kunden.
Über diese Anwendung können Nutzer:

  • sich registrieren und anmelden
  • ihre persönlichen Daten einsehen und ändern
  • Rechnungen als PDF herunterladen

Die Anwendung ist über das Internet erreichbar und wird von externen Kunden genutzt.

Schritt 1: Identifikation der Assets

Zuerst wird festgelegt, was schützenswert ist:

  • Benutzerkonten
  • Persönliche Kundendaten (Name, Adresse, E-Mail)
  • Rechnungsdokumente (PDFs)
  • Zugangsdaten (Benutzername / Passwort)

Schritt 2: Identifikation möglicher Angreifer (Threat Actors)

Anschliessend betrachten wir, wer angreifen könnte:

  • Externer Angreifer
  • Hat keinen legitimen Zugriff

  • Möchte fremde Kundendaten stehlen

  • Böswilliger Kunde

  • Hat ein eigenes Benutzerkonto
  • Versucht, auf Daten anderer Kunden zuzugreifen

Schritt 3: Mögliche Angriffsziele

Nun wird analysiert, was ein Angreifer erreichen möchte:

  • Zugriff auf fremde Benutzerkonten
  • Auslesen personenbezogener Daten
  • Download fremder Rechnungen
  • Missbrauch von Konten für Betrug

Schritt 4: Mögliche Angriffswege (Threats)

Basierend auf System und Angreifer ergeben sich potenzielle Bedrohungen:

  • Schwache Passwörter ermöglichen Accountübernahmen
  • Fehlende Zugriffskontrollen erlauben den Zugriff auf fremde Rechnungen
  • Unzureichende Session-Verwaltung führt zu Session Hijacking
  • Fehlerhafte Eingabevalidierung ermöglicht Manipulation von Anfragen

Schritt 5: Priorisierung der Bedrohungen

Nicht jede Bedrohung ist gleich kritisch.
Im Beispiel werden priorisiert:

  1. Unbefugter Zugriff auf Kundendaten (hohe Auswirkung, wahrscheinlich)
  2. Zugriff auf fremde Rechnungen (hohe Auswirkung)
  3. Accountübernahme durch schwache Passwörter (mittel bis hoch)

Diese priorisierten Bedrohungen bestimmen, worauf sich der Penetrationstest hauptsächlich konzentriert.

Ergebnis der Threat-Modeling-Phase

Durch das Threat Modeling ist nun klar:

  • Welche Systeme und Funktionen kritisch sind
  • Welche Angriffe realistisch sind
  • Welche Tests den grössten Mehrwert liefern

Der folgende Penetrationstest wird dadurch zielgerichteter, effizienter und näher an realen Angriffsszenarien durchgeführt.