Carsten Lill: Mit Gamification und Storytelling im Threat Modeling zur sicheren Anwendung

In vielen Projekten werden Security-Anforderungen immer noch
top-down definiert – von Architekt:innen oder
Security-Spezialist:innen – ohne das Entwicklungsteam oder die
Fachseite wirklich einzubeziehen. Das führt zu unvollständigen
Schutzkonzepten und Widerstand bei der Umsetzung.


In diesem Vortrag zeigen wir anhand eines vierstufigen Modells,
wie Security kollaborativ geplant und integriert werden kann –
von der statischen Systemsicht über Schutzbedarfsanalyse und
Bedrohungserkennung bis hin zu konkreten Gegenmaßnahmen.


Mit OWASP Cornucopia Security Poker und Domain Storytelling
erarbeiten wir greifbare Methoden, wie fachliche Assets,
Angriffsvektoren und Schwachstellen teamübergreifend
identifiziert und diskutiert werden können.


So entsteht ein Security-Konzept, das nicht nur sicher, sondern
auch akzeptiert und verstanden ist – vom Developer bis zum
Datenschutzbeauftragten.


Wir haben diese Episode bei BEDcon 2025 aufgezeichnet.


Links




OWASP Cornucopia




Domain Story Telling mit Henning Schwentner und Stefan Hofer