|
| 1 | += STRIDE Bedrohungsmodell |
| 2 | +:categories: testing-quality |
| 3 | +:roles: software-developer, software-architect, qa-engineer, devops-engineer, consultant, team-lead |
| 4 | +:related: owasp-top-10, regulated-environment |
| 5 | +:proponents: Loren Kohnfelder, Praerit Garg, Adam Shostack |
| 6 | +:tags: security, threat-modeling, appsec, risk, threats |
| 7 | + |
| 8 | +[%collapsible] |
| 9 | +==== |
| 10 | +Vollständiger Name:: STRIDE Bedrohungsmodellierungs-Framework |
| 11 | + |
| 12 | +Auch bekannt als:: STRIDE Bedrohungsmodell, Microsoft STRIDE |
| 13 | + |
| 14 | +[discrete] |
| 15 | +== *Kernkonzepte*: |
| 16 | + |
| 17 | +Spoofing (Identitätsvortäuschung):: Vortäuschung einer anderen Identität (Benutzer, Prozess oder System) zum Erlangen unbefugten Zugriffs; Gegenmaßnahme: starke Authentifizierung |
| 18 | + |
| 19 | +Tampering (Manipulation):: Unbefugte Veränderung von Daten während der Übertragung oder Speicherung; Gegenmaßnahme: Integritätskontrollen, digitale Signaturen und Zugriffskontrollen |
| 20 | + |
| 21 | +Repudiation (Abstreitbarkeit):: Abstreiten, eine Aktion durchgeführt zu haben; Gegenmaßnahme: Audit-Logging und Nicht-Abstreitbarkeitsmechanismen |
| 22 | + |
| 23 | +Information Disclosure (Informationsoffenlegung):: Preisgabe vertraulicher Daten an unbefugte Parteien; Gegenmaßnahme: Verschlüsselung, Zugriffskontrolle und Datensparsamkeit |
| 24 | + |
| 25 | +Denial of Service (Dienstverweigerung):: Beeinträchtigung oder Unterbrechung der Verfügbarkeit eines Systems für legitime Nutzer; Gegenmaßnahme: Rate Limiting, Redundanz und Resilienz |
| 26 | + |
| 27 | +Elevation of Privilege (Rechteausweitung):: Erlangen von Berechtigungen über das legitim zugewiesene Maß hinaus; Gegenmaßnahme: Least-Privilege-Prinzip und Autorisierungsprüfungen |
| 28 | + |
| 29 | +Schlüsselvertreter:: Loren Kohnfelder und Praerit Garg (Microsoft, 1999); verbreitet durch Adam Shostack („Threat Modeling: Designing for Security", 2014) |
| 30 | + |
| 31 | +[discrete] |
| 32 | +== *Wann zu verwenden*: |
| 33 | + |
| 34 | +* Strukturierte Bedrohungsmodellierung während Software-Design und Architektur-Reviews |
| 35 | +* Identifizierung und Kategorisierung potenzieller Bedrohungen bei Sicherheitsbewertungen |
| 36 | +* Schulung von Entwicklern im sicherheitsorientierten Denken über Systembedrohungen |
| 37 | +* Priorisierung von Sicherheitsmaßnahmen und Gegenmaßnahmen beim Systemdesign |
| 38 | +* Durchführung sicherheitsorientierter Design-Reviews und Red-Team-Übungen |
| 39 | +* Schaffung einer gemeinsamen Sprache für die Diskussion von Sicherheitsbedrohungen im Team |
| 40 | + |
| 41 | +[discrete] |
| 42 | +== *Verwandte Anker*: |
| 43 | + |
| 44 | +* <<owasp-top-10,OWASP Top 10>> |
| 45 | +* <<regulated-environment,Reguliertes Umfeld>> |
| 46 | +==== |
0 commit comments