DREAD-Modell
Was ist DREAD-Modell?
DREAD-ModellQualitatives Risikobewertungsmodell, das Bedrohungen anhand von Damage, Reproducibility, Exploitability, Affected users und Discoverability bewertet.
DREAD ist ein qualitatives Modell zur Risikobewertung, das Microsoft in den frühen 2000ern gemeinsam mit STRIDE für die Bedrohungsmodellierung von Anwendungen eingeführt hat. Jede identifizierte Bedrohung wird in fünf Dimensionen bewertet — Damage potential, Reproducibility, Exploitability, Affected users und Discoverability — üblicherweise mit Werten von 1 bis 10, die anschließend summiert oder gemittelt werden, um eine relative Risikobewertung zur Priorisierung zu erhalten. Microsoft hat DREAD wegen der Subjektivität und Inkonsistenz der Bewertung offiziell zurückgezogen, doch in vielen AppSec-, Threat-Modeling- und ISO-27001-Risikoanalysen wird das Modell weiter unterrichtet und genutzt, wenn ein leichtgewichtiges Schema gegenüber CVSS oder einer voll quantitativen Analyse bevorzugt wird. Es ergänzt sich gut mit STRIDE-identifizierten Bedrohungen.
● Beispiele
- 01
Ein Threat-Modeling-Workshop bewertet jede STRIDE-Bedrohung mit DREAD, um den Remediation-Backlog zu priorisieren.
- 02
Ein Product-Security-Team nutzt DREAD in frühen Design-Reviews, wenn eine CVE-artige Bewertung noch nicht greift.
● Häufige Fragen
Was ist DREAD-Modell?
Qualitatives Risikobewertungsmodell, das Bedrohungen anhand von Damage, Reproducibility, Exploitability, Affected users und Discoverability bewertet. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet DREAD-Modell?
Qualitatives Risikobewertungsmodell, das Bedrohungen anhand von Damage, Reproducibility, Exploitability, Affected users und Discoverability bewertet.
Wie schützt man sich gegen DREAD-Modell?
Schutzmaßnahmen gegen DREAD-Modell kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für DREAD-Modell?
Übliche alternative Bezeichnungen: DREAD-Risikomodell.