Anhang B. Das Manifest zur Bedrohungsmodellierung

Beginnen wir damit, eine Untergruppe in der Sicherheits- und Datenschutzgemeinschaft zu definieren, die sich aus Menschen zusammensetzt, die ein "Meta-Interesse" an der Bedrohungsmodellierung haben, wie wir es nennen könnten. Diese Menschen erforschen Methoden in einem akademischen Umfeld, führen Bedrohungsmodelle als Fachleute in Unternehmen oder als Berater durch, halten Vorträge zu diesem Thema auf Branchenkonferenzen und predigen regelmäßig für die Bedrohungsmodellierung. Diese Personen glauben und wissen aus Erfahrung, dass die Bedrohungsmodellierung eine lohnenswerte Methode zur Entwicklung sicherer Systeme ist.

Diese Ansammlung von Individuen ist die Threat Modeling Community. Sie war schon immer lautstark und produktiv, aber seit 2017 steigt das Interesse an der Bedrohungsmodellierung bei Unternehmen und Produktentwicklungsteams. In den Jahren 2019-2020 setzte sich in der Threat Modeling-Community das Gefühl durch, dass es an der Zeit war, die gängige Meinung, Threat Modeling sei eine "Kunst", die nur von wenigen Experten ausgeübt wird, über Bord zu werfen und es als eine Disziplin zu betrachten, die gelehrt werden kann (oder, wie es Chris Romeo treffend ausdrückt, "besser gefangen als gelehrt"). Wie andere Disziplinen kann auch die Bedrohungsmodellierung erforscht, gemessen, erklärt, getestet, verbessert, in Frage gestellt und diskutiert werden - alles Prozesse, die de facto eine Disziplin ausmachen.

Wir haben viele Mitglieder ...