Threat Modeling vor dem Pentest: Warum die Vorarbeit über das Ergebnis entscheidet
Ein Penetrationstest ist nur so wertvoll wie die Fragen, die er beantworten soll. Schickt man Tester ohne klares Bild davon los, was wirklich zählt, riskiert man einen teuren Bericht voller Befunde, die an den eigentlich gefährlichen Bedrohungen vorbeigehen. Genau hier setzt Threat Modeling an – die Disziplin, vor dem ersten Exploit zu klären, was geschützt werden soll, wer es angreifen könnte und auf welchem Weg.
Was ist Threat Modeling?
Threat Modeling ist ein strukturierter Prozess, um potenzielle Bedrohungen, Schwachstellen und Angriffsvektoren gegen ein System zu identifizieren, zu analysieren und zu priorisieren – idealerweise früh, noch vor dem Test oder sogar bevor eine Zeile Code produktiv geht. Statt zu fragen „Ist dieses System sicher?", stellt Threat Modeling die schärferen Fragen: Was schützen wir? Wer würde es angreifen wollen – und warum? Was könnte schiefgehen? Und was tun wir dagegen?
Das Ergebnis ist kein vages Risikogefühl, sondern eine konkrete, priorisierte Übersicht der Bedrohungsszenarien, die widerspiegelt, wie Ihr System, Ihre Daten und Ihr Geschäft tatsächlich funktionieren.
Warum vor dem Pentest?
Ein Pentest hat begrenzte Zeit und ein begrenztes Budget. Ohne Threat Modeling verteilt sich dieser Aufwand zu dünn oder zielt auf die falschen Bereiche. Mit Threat Modeling wird das Projekt um die Szenarien herum aufgesetzt, die wirklich zählen: die schützenswertesten Daten, die exponierten Schnittstellen, die Vertrauensgrenzen, die ein Angreifer realistisch überwinden würde.
Threat Modeling schreibt damit faktisch den Testplan. Es zeigt, wo der Tester in die Tiefe gehen soll, welche Angriffspfade zuerst zu verfolgen sind und welche Annahmen zu hinterfragen sind. Das Ergebnis ist ein Pentest, der echtes Risiko überprüft, statt generische Häkchen zu setzen.
Gängige Methoden
Mehrere etablierte Frameworks strukturieren den Prozess. Welches passt, hängt vom System und vom Ziel ab:
- STRIDE – Microsofts Modell kategorisiert Bedrohungen in Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service und Elevation of Privilege. Ideal, um die Komponenten eines Systems systematisch zu untersuchen.
- PASTA (Process for Attack Simulation and Threat Analysis) – ein risikozentrierter Ansatz in sieben Stufen, der technische Bedrohungen mit den Auswirkungen auf das Geschäft verknüpft.
- Attack Trees – eine hierarchische Methode, um abzubilden, wie ein Angreifer ein Ziel erreichen könnte, indem ein übergeordnetes Ziel in konkrete Schritte zerlegt wird.
- MITRE ATT&CK – eine Wissensdatenbank realer Angreifer-Taktiken und -Techniken, unverzichtbar, um Bedrohungsszenarien an der tatsächlichen Vorgehensweise von Angreifern auszurichten.
- MAESTRO (Multi-Agent Environment, Security, Threat, Risk, and Outcome) – ein neueres, siebenschichtiges Framework der Cloud Security Alliance, das speziell für agentische KI und Multi-Agenten-Systeme entwickelt wurde. Autonomie, nicht-deterministisches Verhalten und fehlende Vertrauensgrenzen schaffen hier Angriffsflächen, für die klassische Frameworks nie ausgelegt waren.
In der Praxis werden diese Ansätze oft kombiniert: STRIDE zur Aufzählung, ATT&CK für realistische Szenarien, Attack Trees zur Priorisierung.
So läuft es in der Praxis
Ein typischer Threat-Modeling-Prozess durchläuft vier Phasen:
- System zerlegen. Architektur, Datenflüsse, Eintrittspunkte und Vertrauensgrenzen erfassen. Man kann nicht schützen, was man nicht abgebildet hat.
- Bedrohungen identifizieren. Mit einem Framework wie STRIDE jede Komponente durchgehen und fragen, was schiefgehen könnte.
- Bewerten und priorisieren. Jede Bedrohung nach Eintrittswahrscheinlichkeit und Auswirkung einstufen, sodass die gefährlichsten Szenarien nach oben rücken.
- Reaktion festlegen. Entscheiden, was behoben wird, was im kommenden Pentest getestet wird und was als Restrisiko akzeptiert wird.
Die konkreten Vorteile
Gezielte Pentests. Der Test konzentriert sich auf die kritischsten und realistischsten Bedrohungen und maximiert so den Nutzen jeder investierten Stunde.
Kosten- und Zeiteffizienz. Werden die zentralen Bedrohungen vorab identifiziert, landen die Ressourcen dort, wo sie die größte Wirkung haben – kein Budget für Tests mit geringem Wert.
Eine ganzheitliche Sicherheitsstrategie. Threat Modeling ist nicht nur Pentest-Vorbereitung. Es deckt Lücken auf, die herkömmliche Tests übersehen können, und holt Sicherheit in die Planungsphase, statt sie nachträglich aufzusetzen.
Gemeinsames Verständnis im Team. Ein fundiertes Bedrohungsmodell gibt Entwicklern, Sicherheitsverantwortlichen und Management ein gemeinsames Bild der Risikolage – was die tatsächliche Umsetzung von Maßnahmen erheblich erleichtert.
Was es kostet, darauf zu verzichten
Verzichtet man auf Threat Modeling, findet ein Pentest zwar immer noch Schwachstellen – aber meist die offensichtlichen, an den offensichtlichen Stellen, während der Angriffspfad, den ein entschlossener Angreifer tatsächlich nehmen würde, ununtersucht bleibt. Man erhält einen Bericht, aber nicht zwangsläufig Klarheit über das reale Risiko. Schlimmer noch: Man geht womöglich mit falscher Sicherheit nach Hause.
Wie ich arbeite
Bei HSEC.Consulting empfehle ich Threat Modeling ausdrücklich als Ausgangspunkt jeder ernsthaften Sicherheitsüberprüfung. Ein Muss ist es nicht – wenn Sie Ihre Risiken bereits klar im Blick haben oder einen schnellen, eng umrissenen Test benötigen, gehen wir direkt in die technische Umsetzung. Doch nach meiner Erfahrung zahlt sich der anfängliche Aufwand meist um ein Vielfaches aus. Modellieren wir die Bedrohungen zuerst – verschaffe ich mir also ein genaues Bild Ihrer Systeme, Ihrer Daten und dessen, was für Ihr Geschäft wirklich relevant ist –, ist der anschließende Pentest nicht nur tiefgehend, sondern relevant, kontextbezogen und auf die Szenarien zugeschnitten, die für Sie zählen.
Wenn Sie eine Sicherheitsüberprüfung möchten, die auf echtes Risiko zielt statt auf generische Checklisten, schlage ich genau dort den Beginn vor.
#ThreatModeling #CyberSecurity #Pentesting #RiskManagement
