Zeitschriftenartikel
Weird Sociotechnical Systems
Vorschaubild nicht verfügbar
Volltext URI
Dokumententyp
Text/Journal Article
Zusatzinformation
Datum
2020
Autor:innen
Zeitschriftentitel
ISSN der Zeitschrift
Bandtitel
Verlag
Springer
Zusammenfassung
Durch Hackerangriffe auf technische Schwachstellen werden IT-Systeme kompromittiert und Social Engineers haben menschliche Schwachpunkte zum Ziel. Maximale Schadensszenarien entstehen in heute üblichen Angriffen, z. B. mit Ransomware oder CEO-Fraud, durch die Kombination von Software-Exploits, Social Engineering und Kenntnissen über interne Organisationsabläufe. Technik, Mensch und Organisation werden so von Angreifern als Mensch-Maschine-Einheit bedroht, während sich die Bewertung von Risiken für die Informationssicherheit häufig auf technische Schwachstellen fokussiert. Auch eine getrennte Analyse von technischen Schwachstellen und menschlichen Faktoren ist für diese Art von Bedrohung der soziotechnischen Systeme nicht angemessen. Durch die Interpretation betroffener Organisationen als soziotechnische Systeme sind Angriffe erfolgreicher als durch die ausschließliche Fokussierung auf IT-Systeme. Wenn Risikomanagement, Informations- und IT-Sicherheit dieser Entwicklung etwas entgegensetzen wollen, müssen Sicherheitsmaßnahmen die Einbettung technischer Lösungen in soziotechnische Systeme deutlich stärker berücksichtigen, als das heute üblich ist. Hierzu gehören umfassendere Szenarioanalysen im Risikoassessment ebenso wie eine Ausweitung der Berücksichtigung des Faktors Mensch bei Design, Test und Implementierung von IT-Systemen, die als Teil soziotechnischer Systeme verstanden werden müssen. IT systems are compromised by hacker attacks on technical vulnerabilities and social engineers target human weaknesses. Maximum damage scenarios arise in today’s common attacks, e.g. ransomware or CEO fraud, through the combination of software exploits, social engineering and knowledge of internal organizational processes. Technology, people and organizations are thus threatened by attackers as man-machine units, while the assessment of information security risks often focuses on technical vulnerabilities. Even a separation of the analysis of technical vulnerabilities and human factors is not appropriate for this type of threat to socio-technical systems. By interpreting affected organizations as socio-technical systems, attacks are more successful than by focusing exclusively on IT systems. If risk management, information and IT security want to work against this development, security measures must take much more account of the integration of technical solutions in socio-technical systems than is usual today. This includes more comprehensive scenario analyses in risk assessment as well as an expansion of the consideration of the human factor in the design, testing and implementation of IT systems, which must be understood as part of socio-technical systems.