This is a 2D presentation
(→ chapters / ↓ slides of that chapter)

• Move on: Space
• 2D-Navigation: Arrows
• Overview: Escape
• Fullscreen: F

built with reveal.js

Willkommen!

Was ist
Threat Modeling
Connect DACH
?

Was ist Threat Modeling?

• Vorsorgen
• Systeme untersuchen, um sie besser vor Gefahren zu schützen

TMC DACH - Wer wir sind

• Wir versammeln die deutschsprachige Threat Modeling Gemeinschaft!
• Teil von Threat Modeling Connect
• Alle Eingänge: 🆕 https://tmcdach.de/ 🆕

Threat Modeling Feierabend

🛠️ Werkzeugkoffer trifft 🛝 Spielwiese

Erlernen → Erproben → Besprechen

Heute

GEGEBEN-WENN-DANN + Attack Trees
trifft
personenbezogene Daten, Datenschutz und Soziale Medien

Gründungstreffen 🛫 [Bericht]

TM Feierabend: 💘💔 Online Dating [Bericht]

TM Feierabend: ☁️ OWASP Cumulus [Bericht]

🔥 Lagerfeuer: TM für alle! [Bericht]

Hackathon Rückblick 🚗👀 [Bericht]

🙁 Leider ⇆ 🙂 Zum Glück von 🔐 E2EE [Bericht]

Global Threat Model Together Day [Bericht]

Treffen auf dem German OWASP Day 2025

🔥 Threat Modeling und Cyber Resilience Act! 🔥 (BSI TR-03183-1) [Bericht]

Kamera an (/aus)? Name OK? 😃?
Verwendung: Berichte + Werbung

Nächstes Treffen: 18.03.2026

Ablauf heute

1. 3 Videos, Problematisierung, Methoden
2. Gemeinsames Threat Modeling:
   „Na und?! Warum ist das sensibel...“

Ablauf heute genauer

• (1) 👋🏼 Triff Arnold
• ⚒️ Methode: GEGEBEN WENN DANN
• ⚒️ Methode: Attack Trees
• (2) 👋🏼 Triff Sarina
• 🛩️ Ausflug: Echte-Welt-Angriffe
• (3) 👋🏼 Triff Ella
• ▶️ Gemeinsam: Ella Attack Tree
• 🛩️ Ausflug: Kategorien personenbezogener Daten + sensibel?
• ▶️ Gemeinsam: „Na und?! Warum ist das sensibel...“

📹 3 Videos, Problematisierung, Methoden

(1) 👋🏼 Triff Arnold

GEGEBEN

• viele Daten von dir sind online

WENN

• [...]

DANN

• dir entsteht ein Nachteil ???

GEGEBEN

• du bist ein berühmter Autor

WENN

• du wirst online seltsamer Verschwörungstheoretiker
• Buchhandlungen erfahren von deinem neuen Ich
• Buchhandlungen nehmen deine Bücher aus dem Sortiment

DANN

• du verkaufst weniger Bücher

⚒️ Methode:
GEGEBEN WENN DANN

GEGEBEN

WENN

DANN

GEGEBEN

• Voraussetzungen

WENN

• Ereignisse
• nächste Ereignisse

DANN

• Auswirkungen
• nächste Auswirkungen

GEGEBEN WENN DANN ≈ Attack Defense Trees
≈ ☹️ Leider ⇆ 🙂 zum Glück

GEGEBEN WENN DANN
≈ Petri Netze

⚒️ Methode:
Attack Trees

Endzwecke

Quellen

Grundannahmen / Angriffsoberfläche / Dinge, die jede:r direkt tun kann / versagender Schutz

Innere Knoten / Zwischenschritte

Erkundung

↑ ↑ Und dann? / ↑ ↑

Mehrstufige Attacken

Die Weisheit der Sprache

Sprache liefert diese Konzepte
mittels Konjunktionen direkt mit:

• und, oder
• bevor, nachdem, dann
• indem, damit, um, sodass
• wenn, falls, sobald, sooft
• es sei denn, außer

Das angrenzende Mögliche
(adjacent possible)

Weil etwas jetzt wirklich ist,
ist etwas anderes angrenzend möglich.

WENN [...] DANN KANN [...]

(2) 👋🏼 Triff Sarina

GEGEBEN

• du über-teilst online

WENN

• ich greife deine Daten ab

DANN

• ich weiß wie du aussiehst
• ich weiß wie du heißt
• ich weiß wo du wohnst
• ich kenne dein Geburtsdatum
• ich kenne deine Kreditkartennummer
• [...]

GEGEBEN

• ich weiß wie du heißt
• ich weiß wo du wohnst
• ich kenne dein Geburtsdatum
• ich kenne deine Kreditkartennummer

WENN

• ich kaufe mit deinen Daten online ein

DANN

• du verlierst Geld 💰
• ich kann "du sein" ???

Welche Daten brauche ich,
um welchen Schaden anrichten zu können?

Was tun wir deswegen?
(selbst / als Unternehmen / als Gesellschaft)

🛩️ Ausflug: Echte-Welt-Angriffe

polizei-beratung.de

Gute Quelle für allerlei Echte-Welt-Gefahren, auch interessant mit 🥽 Bedrohungsmodellierungsbrille

Ziel: Person oder Gruppe?

Gefährder?

Böswilliger Angreifer

(ehrlicher aber neugieriger) Dienstanbieter

(3) 👋🏼 Triff Ella

GEGEBEN

• deine Eltern teilen deine Bilder/Videos online

WENN

• [...] [mehrere Ketten]

DANN

• deine schreckliche Zukunft beginnt:
• ich stehle deine Identität
• du kommst ins Gefängnis für etwas, das du nie tun würdest
• dein Credit Score wird zerstört
• deine Stimme wird von KI geklont, um deine Mutter abzuzocken
• du wirst zum Meme
• du wirst Opfer von Cyber Mobbing
• du wirst zum Lustobjekt von Pädosexuellen

▶️ Gemeinsam:
Ella Attack Tree

🛩️ Ausflug: Kategorien personenbezogener Daten + sensibel?

Interviewer: Wie vertraulich findest du deine medizinischen Bilder?

Interviewter: Das ist mir auch egal. Ich frag’ mich: Wer hat Interesse an meinen Bildern? Wer hat Interesse an diesen Dingern da? Wer soll die klauen wollen? Wer soll damit was ummachen? Wen interessiert das? Also ist das auch... Wer soll damit Unfug treiben? Und ob ich jetzt Krebs hab’ oder nicht: Wen interessiert das? Und wenn einer das weiß, was will er damit machen? Ist mir auch egal... An mein Geld soll keiner ran. Das andere ist mir auch ((lacht))... Ja, ist eben so. [...]

kesse Behauptung

Viele personenbezogene Daten sind nicht einfach so sensibel, sondern weil sie zu kennen in schlimmen Konsequenzen enden könnte.

Lasst uns
das threat-modeln!

▶️ Gemeinsam:
„Na und?! Warum ist das sensibel...“

GEGEBEN

• ich weiß wo du wohnst
• [...]

WENN

• [...]

DANN

https://www.der-postillon.com/2017/11/schiri-auto.html

💬 Diskussion

Diskussion (Methode)

• Ist GEGEBEN-WENN-DANN hilfreich, um sich diesen Fragen zu nähern?
• Wie klappte die Attack Tree „Na und?!“-Exploration?
• Wie sind eure Attack Tree Erfahrungen?

Diskussion (Inhalte)

• Was nehmt ihr mit?

Ausklang

Aufrufe zum Handeln

• Melde dich bei uns, wenn du etwas beitragen möchtest
• Abonniere unseren Kalender
• Slack 1/2: Komm ins TMC Slack
• Slack 2/2: Tritt unserem Kanal #tmc-dach bei
• Komm ins TMC Forum
• Sei bei internationalen TMC Veranstaltungen dabei (ThreatModCon, ...)

Nächstes Treffen: 18.03.2026