Ziel dieser Masterarbeit ist es, einem existierenden Bedrohungsmodell Zugriff auf neue Bedrohungs- und Verwundbarkeitsinformationen zu ermöglichen und dadurch das Potenzial der Bedrohungsmodellierung und der darauf aufbauenden Bedrohungsanalyse zu steigern. Diese Informationen können aus verschiedenen Quellen stammen und sowohl in strukturierter, als auch unstrukturierter Form vorliegen. Daher wird im Rahmen dieser Arbeit ein Informationsextraktionsprozess eingeführt und ein speziell darauf ausgelegtes Datenmodell diskutiert. Als Informationsquellen dienen sowohl die National Vulnerability Database, als auch Packetstorm. Während der Fokus bezüglich Packetstorm auf die Extraktion relevanter Daten aus unstrukturiertem Text gelegt wird, stellt die NVD einen großteil ihrer Daten strukturiert zur Verfügung. Sie beinhaltet zusätzliche Metriken, welche einen wichtigen Beitrag zum Prozess des Risikomanagements leisten. Folglich wird auch auf mögliche Mappings dieser zusätzlichen Attribute eingegangen. Diese Masterarbeit wird ein existierendes, regelbasiertes Bedrohungsmodell mit Hilfe eines automatisierten Regelerstellungsprozesses um reale Schwachstellendaten erweitern. Des Weiteren wird die Entwicklung eines Prototypen erörtert der die genannten Punkte umsetzt. Die Masterarbeit wird von einem "zip" File begleitet, das Source Code und vom Programm verwendete Ressourcen beinhaltet.

The aim of this master thesis is to leverage the capabilities of threat modelling and the threat analysis based on it by enabling a threat model to access up-to-date threat and vulnerability information. This information can come from arbitrary sources in structured or unstructured form. Therefore, this work will discuss an information extraction process and explore a custom model utilized for the representation of the resulting data. The repositories serving as information sources are the National Vulnerability Database and Packetstorm. While the focus in Packetstorm will be put on the extraction of relevant information, the NVD is more sophisticated and contains supplementary attributes that can improve risk treatment. Consequently, suitable mappings of these additional facets will be considered. This thesis shows a way for extending an existing rule-based threat model by automating the process of creating rules from real-world vulnerability data and discusses the development of a prototype. The master thesis is accompanied by a "zip" file containing source code and resources required by the application.