Willkommen bei ThreatPad!

Hier könnt ihr gemeinsam schnell und einfach online ein Threat Model erstellen.

Was ist Threat Modeling?

Sicher zu sein bedeutet, vor Gefahren geschützt zu sein. Also stellt sich die Frage: Welche Gefahren sehen wir? Wie schützen wir uns davor? Beim Threat Modeling beantworten wir diese Fragen. Ein Threat Model ist der so entstehende Plan. Viele Praktizierende folgen auch dem Vier Fragen Rahmen von Adam Shostack.

Was kann ich mit ThreatPad machen?

Hier kannst du...

mit einem Klick anonym ein Threat Model erstellen
den geheimen Link teilen und zusammenarbeiten
Gefahren erfassen
Maßnahmen zu den Gefahren erfassen
dir einen Überblick verschaffen und exportieren
bei alledem Ende-zu-Ende-Verschlüsselung genießen

Wir gehen hier davon aus, dass ihr schon wisst, woran ihr arbeiten wollt (Shostack's Frage 1: Woran arbeiten wir?).

Wie funktioniert die Ende-zu-Ende-Verschlüsselung?

Alle Daten sind Ende-zu-Ende-verschlüsselt.
Der Server sieht nur Bitsalat.

Das geht so:

Der Link oben in der Adresszeile ist alles, was du zum teilnehmen brauchst. Er besteht aus einem vorderen Teil und einem hinteren Teil, die durch den Datenzaun „#“ getrennt sind.

Der vordere Teil wird benötigt, um die App vom Server herunter zu laden.

Der hintere Teil hinter dem Datenzaun „#“ wird nicht zum Server gesendet. Er enthält eine geheime Kennung, mit der du in einem eigenen Bereich Daten lesen und schreiben kannst. Außerdem enthält er einen 256 Bit AES-GCM Schlüssel. Das ist eine sehr sichere Verschlüsselung.

Bevor die Daten deinen Browser verlassen, werden sie damit verschlüsselt. Wenn sie in deinem Browser ankommen, werden sie wieder entschlüsselt.

Der Server sieht immer nur verschlüsselte Daten, die ich gerne Bitsalat nenne, und nie den Schlüssel. Dein Browser kann die Klardaten sehen und anzeigen. Das ist Ende-zu-Ende-Verschlüsselung.

Der Quellcode der App ist absichtlich einfach gehalten und gut lesbar, damit Fachkundige das nachvollziehen können.

Jetzt liegt es an dir, den Link vertraulich zu behandeln und nur den Richtigen weiterzugeben.

Bitte beachte auch die Hinweise zur Zweckbestimmung in den Nutzungsbedingungen.

Bitte lies hier die sehr kurzen Nutzungsbedingungen!

ThreatPad wird kostenfrei angeboten wie es ist - ohne irgendwelche Garantien.
Der Anwendungszweck sind kurzlebige Threat Models für Sicherheitsschulungen und Spielzeug Threat Models. Bitte nutze den Dienst nicht für vertrauliche, unternehmerische oder personenbezogene Daten!
Je nach Nutzungsaufkommen kann es sein, dass alte Daten wieder gelöscht werden, um Platz für Neues zu schaffen.
Bewahre den Link, damit du dich nicht aussperrst.
Bitte beschränke dich auf faire, normale Benutzung.

Welcome to ThreatPad!

Here, you can threat model together - online, fast and easy.

What is Threat Modeling?

Being secure is being protected from danger. So the question is: What danger / threats do we see? How can we protect ourselves? When we threat model, we answer these questions. A threat model is the plan that evolves. Many practitioners follow the Four Question Frame from Adam Shostack.

What can I do with ThreatPad?

Here you can...

anonymously create a threat model with one click
share the secret link and collaborate
capture threats
capture mitigations for the threats
get an overview and export
with all of this: enjoy end-to-end encryption

We assume you already know what you are working on (Shostack's Question 1: What are we working on?).

How does the end-to-end encryption work?

All data is end-to-end encrypted.
The server only sees bit salat.

Here is how that works:

The link in the address bar is all you need to participate. It has a front and a back part, which are separated by "#".

The front part is needed so that the browser can download the app from the server.

The back part behind the "#" is not sent to the server. It has a secret identifier that can be used to read and write data in your own separate space. It also has a 256 bit AES-GCM key. This is a very secure encryption mechanism.

Before the data leaves your browser, it is encrypted with this key. When the data arrives at your browser, it is decrypted again.

The server will only see encrypted data, which I like to call bit salad. It never sees the decryption key. Your browser can see the original data and show it. This is end-to-end encryption.

The source code of the app is intentionally kept simple and readable, so that those familiar with programming can audit the encryption themselves.

Now it's your turn to keep the link confidential and only share it with people you trust.

Please also note the information on the intended purpose in the terms of use.

Please read here the very short terms of use!

ThreatPad is provided for free as is - without any warrenties.
The intended purpose of ThreatPad is short-lived threat models for security trainings and toy threat models. Please don't use the service for confidential, corporate or person-related data!
Depending on overall usage, old data may be deleted to create space for the new.
Keep the link, so you won't get locked out.
Please limit yourself to fair, normal use.