Threat Modeling mit GenAI skalierbar machen

Releases werden schneller, Security-Reviews kommen oft kaum hinterher. Threat Modeling ist wirksam, lässt sich manuell aber nur schwer skalieren. Der Beitrag zeigt, wie GenAI dabei helfen kann, Threat Modeling früher im Designprozess zu verankern und Security-Experten gezielt zu entlasten.

Threat Modeling ist eine strukturierte Methode, um frühzeitig zu erkennen, welche Risiken für ein System bestehen, wie Angriffe ablaufen könnten und welche Schutzmaßnahmen daraus folgen.

Der Ansatz schafft ein gemeinsames Verständnis darüber, was geschützt werden muss, welche Komponenten sicherheitsrelevant sind und wie ein System angegriffen werden kann. Genau darin liegt sein Wert für Security by Design: Risiken werden nicht erst am Ende eines Projekts sichtbar, sondern schon dann, wenn Architektur, Datenflüsse und Vertrauensgrenzen entstehen. So lassen sich Sicherheitsmaßnahmen gezielt ableiten, priorisieren und in den Entwicklungsprozess integrieren. 

In der Praxis lässt sich Threat Modeling gut über die vier Leitfragen nach Adam Shostack strukturieren:

• Woran arbeiten wir?
• Was kann schiefgehen?
• Was tun wir dagegen?
• Haben wir einen guten Job gemacht? 

Dieses Raster ist so einfach wie wirksam. Es hilft Teams, nicht nur einzelne Schwachstellen zu diskutieren, sondern auch Sicherheitsrisiken systematisch in Architektur- und Designentscheidungen zu überführen (Quelle: The Four-Question Framework).

GenAI ändert nichts an der fachlichen Logik des Threat Modeling. Sie kann aber helfen, sie konsistenter und mit weniger manuellem Aufwand anzuwenden.

Ein sinnvoller Einsatz beginnt dort, wo Architekturartefakte, Systembeschreibungen oder erste Designannahmen bereits vorliegen. GenAI kann daraus die sicherheitsrelevanten Bausteine strukturieren: Assets, Datenflüsse, Schnittstellen und Vertrauensgrenzen. Das ersetzt keine fachliche Prüfung, schafft aber eine belastbare Ausgangsbasis für die weitere Analyse.

Darauf aufbauend kann GenAI Bedrohungen systematisch ableiten. Besonders hilfreich ist dabei die Anwendung etablierter Modelle wie STRIDE, um Bedrohungen entlang einzelner Komponenten oder Datenflüsse zu strukturieren. STRIDE unterstützt dabei, mögliche Risiken nachvollziehbar zu ordnen und passende Gegenmaßnahmen abzuleiten. 

Ein weiterer Vorteil liegt in der Arbeit mit Referenzquellen. Wenn GenAI an kuratierte Wissensquellen angebunden wird, lassen sich identifizierte Bedrohungen mit bekannten Schwachstellen, Angriffstechniken oder etablierten Sicherheitsmustern abgleichen. Für diese Art von Einordnung eignen sich etwa CVE, NVD oder MITRE ATT&CK. So wird aus einer rein generierten Analyse ein besser nachvollziehbarer und referenzierbarer Arbeitsstand. 

Wichtig ist dabei die richtige Erwartungshaltung: GenAI liefert keine automatisch „richtigen“ Threat Models. Sie unterstützt dabei, systematischer zu arbeiten, blinde Flecken früher zu erkennen und die Qualität der Diskussion zu erhöhen. Die Bewertung von Geschäftsrisiken, Restrisiken und Prioritäten bleibt eine fachliche und organisatorische Entscheidung.

Der eigentliche Mehrwert von Threat Modeling liegt nicht in der Liste erkannter Risiken, sondern in der Übersetzung dieser Risiken in Designentscheidungen. Aus dem Threat Model ergeben sich Anforderungen an Architektur, Schnittstellen, Berechtigungen, Segmentierung, die Absicherung von Datenflüssen sowie den Umgang mit Ausfallszenarien.

Genau an dieser Stelle wird Threat Modeling Teil des Secure-Design-Prozesses: Risiken werden nicht nur identifiziert, sondern auch in konkrete Architektur- und Designentscheidungen überführt.

Hier schließen sich Threat Modeling und Security by Design direkt zusammen. Designprinzipien wie Least Privilege, Defense in Depth oder Secure Defaults entfalten ihren Nutzen nur dann, wenn sie im konkreten Systemkontext angewendet werden. Genau dabei kann GenAI unterstützen: indem relevante Prinzipien zum jeweiligen Entwurf in Beziehung gesetzt, Lücken sichtbar gemacht und Mitigationsmaßnahmen früher im Design diskutiert werden. Secure by Design und Secure by Default verfolgen genau dieses Ziel: Sicherheit nicht nachträglich ergänzen, sondern von Beginn an im Produkt und im Entwicklungsprozess verankern. 

Für Teams ist das vor allem deshalb wertvoll, weil Architekturabweichungen früher sichtbar werden. Spätere Korrekturen, die unter Zeitdruck deutlich teurer und konfliktträchtiger sind, lassen sich dadurch häufiger vermeiden.

Threat Modeling endet nicht mit der ersten Analyse. Die Ergebnisse müssen überprüft, fortgeschrieben und mit Design- und Implementierungsentscheidungen abgeglichen werden. Genau dafür eignet sich die vierte Leitfrage besonders gut: Haben wir einen guten Job gemacht?

In Reviews zeigt sich oft ein klassisches Problem: Teams bewerten ihre eigenen Annahmen naturgemäß anders als ein externer Blick von außen. GenAI kann hier als zusätzliche Perspektive nützlich sein. Sie kann Mitigationsketten erneut gegen das Threat Model spiegeln, auf implizite Annahmen aufmerksam machen und Inkonsistenzen zwischen Architektur, Bedrohungsannahmen und Gegenmaßnahmen strukturierter sichtbar machen. Das ersetzt keinen erfahrenen Reviewer, verbessert aber Transparenz, Vergleichbarkeit und Reproduzierbarkeit der Diskussion. 

Für den Einstieg in KI-gestütztes Threat Modeling ist nicht die Formulierung von Aufgaben entscheidend, sondern die Verfügbarkeit und Nutzbarkeit der relevanten Kontextdaten. Liegen diese vor, genügen oft wenige, klar formulierte Aufgaben:

• „Identifiziere die Vertrauensgrenzen in diesem Architektur- oder Datenflussdiagramm.“
• „Wende STRIDE auf diese Komponente an und priorisiere die wichtigsten Risiken.
• „Welche Mitigationsmaßnahmen fehlen, damit dieses Design den identifizierten Bedrohungen angemessen begegnet?“

Die Ergebnisse müssen anschließend fachlich geprüft, ergänzt und im Kontext der eigenen Architektur bewertet werden.