📐 Phase 1: Plan & Design
Bereits in der Planungsphase werden die Weichen für Sicherheit, Geschwindigkeit und Skalierbarkeit gestellt. Hier entsteht die gemeinsame Verantwortung von Dev, Sec und Architekturbeteiligten.
🧠 Was passiert in dieser Phase?
- Security Acceptance Criteria werden definiert
- Architekturentscheidungen berücksichtigen Risikopotenziale
- Threat Modeling (z. B. STRIDE, PASTA, LINDDUN) gemeinsam durchgeführt
- Verantwortlichkeiten und Audits bereits mitgedacht
🛠 Tools & Praktiken
- Threat Dragon, IriusRisk, Microsoft TMT
- Security User Stories in Jira/Backlog
- Frühzeitige Integration von Test- & Compliance-Requirements
- Dokumentierte Design-Risiken mit Verlinkung zu Controls
📌 Empfehlung
Nutze Architektur-Reviews aktiv für Security-Themen. Lege pro Feature mindestens 1 potenzielle Abuse-Case-Story fest. Und: mach’s sichtbar – in Backlog, PRD oder Whiteboard.