Zusammenfassung
Durch Angriffe auf technische Schwachstellen werden IT-Systeme kompromittiert und Social Engineers haben menschliche Schwachpunkte zum Ziel. Maximale Schadensszenarien entstehen in heute üblichen Angriffen, z. B. mit Ransomware oder CEO-Fraud, durch die Kombination von Software-Exploits, Social Engineering und Kenntnissen über interne Organisationsabläufe. Technik, Mensch und Organisation werden so von Angreifer/innen als Mensch-Maschine-Einheit bedroht. Die Bewertung von Risiken für die Informationssicherheit fokussiert dabei häufig auf technische Schwachstellen und interpretiert die Unwissenheit über die Parameter eines potentiellen Angriffs meist nicht als strategische Unsicherheit, sondern als bestimmtes Maß von Wahrscheinlichkeit. Auch eine getrennte Analyse von technischen Schwachstellen und menschlichen Faktoren ist für diese Art von Bedrohung der soziotechnischen Systeme nicht angemessen. Durch die Interpretation betroffener Organisationen als soziotechnische Systeme sind Angriffe erfolgreicher als durch die ausschließliche Fokussierung auf IT-Systeme. Wenn Risikomanagement, Informations- und IT-Sicherheit dieser Entwicklung etwas entgegensetzen wollen, müssen Sicherheitsmaßnahmen die Einbettung technischer Lösungen in soziotechnische Systeme deutlich stärker berücksichtigen, als das heute üblich ist. Hierzu gehören einerseits umfassendere Szenarioanalysen in einem die strategische Unsicherheit berücksichtigenden Risikoassessment. Darüber hinaus ist eine stärkere Einbeziehung des Faktors Mensch bei Design, Test und Implementierung von IT-Systemen wichtig, die als Teil soziotechnischer Systeme verstanden werden müssen.
überarbeiteter Beitrag basierend auf dem Artikel „Weird Sociotechnical Systems“ von Sebastian Klipper, HMD Heft 333, Stefan Reinheimer, Kristin Weber (Hrsg.): Faktor Mensch, Juni 2020, S. 571–583.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
CISO: Abk. f. Chief Information Security Officer.
Literatur
Bratus S, Locasto ME, Patterson ML, Sassaman L, Shubina A (2016) Exploit programming from buffer overflows to „Weird Machines“ and theory of computation. http://langsec.org/papers/Bratus.pdf. Zugegriffen: 16. Febr. 2020
Carr J (2014) Assumption of breach: the new security paradigm. Oreilly & Associates Inc, Sebastopol
Eckert C (2014) IT-Sicherheit: Methoden – Verfahren – Protokolle, 9. Aufl. De Gruyter Oldenbourg, München
Friemel C (2018) Interesse an verschlüsselten Mails steigt. https://newsroom.gmx.net/2018/08/24/interesse-an-verschluesselten-mails-steigt/. Zugegriffen: 16. Febr. 2020
Geiger G (2014) ICT security risk management: economic perspectives. Position papers of the 2014 Federated Conference on Computer Science and Information Systems. FedCSIS, 2014
Green M (2018) Was the Efail disclosure horribly screwed up? https://blog.cryptographyengineering.com/2018/05/17/was-the-efail-disclosure-horribly-screwed-up/. Zugegriffen: 16. Febr. 2020
ISO/IEC (2013) ISO/IEC 27001:2013 – Information technology — Security techniques — Information security management systems — Requirements, A.12.6 – Technical Vulnerability Management
ISO/IEC (2009) ISO/IEC 31010:2009 – Risk management – Risk assessment techniques
Klipper S (2021) Konfliktmanagement für Sicherheitsprofis, 3. Aufl. Springer Vieweg, Wiesbaden
Klipper S (2017) Homo Carens Securitate: Der Mensch, der den Mangel an Sicherheit leidet: Vom Homo Oeconomicus zum Weird Human (Einreichung und Vortrag beim 4. Forschungstag NRW). https://cyclesec.com/wp-content/uploads/CfP-Einreichung-ForschungstagNRW2017.pdf. Zugegriffen: 16. Febr. 2020
Klipper S, Spangenberg M (2017) Der Faktor Mensch in der Informationssicherheit. Kurseinheit EIS04 der Wilhelm Büchner Hochschule, Darmstadt
Klipper S (2018) Unwahrscheinlich unwissend. Wirtschaftsinformatik & Management 10(3):26–27
MITRE Corporation (2019) CWE™ ‒ A community-developed list of common software security weaknesses V.3.4.1. https://cwe.mitre.org/. Zugegriffen: 16. Febr. 2020
Müller J, Brinkmann M, Poddebniak D, Böck H, Schinzel S, Somorovsky J, Schwenk J (2019) „Johnny, you are fired!“ – Spoofing OpenPGP and S/MIME Signatures in Emails. https://www.usenix.org/system/files/sec19fall_muller_prepub.pdf. Zugegriffen: 16. Febr. 2020
Petzela E, Czajaa R, Geiger G, Blobnercal C (2014) Does lift of liquid ban raise or compromise the current level of aviation security in the European Union? Simulation-based quantitative security risk analysis and assessment. J Risk Res 18(7):808‒821
Poddebniak D, Dresen C, Müller J, Ising F, Schinzel S, Friedberger S, Somorovsky J, Schwenk J (2018) Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels. https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-poddebniak.pdf. Zugegriffen: 16. Febr. 2020
Ropohl G (2009) Allgemeine Technologie, 3., überarb. Aufl. https://publikationen.bibliothek.kit.edu/1000011529/924536. Zugegriffen: 16. Febr. 2020
Schneier B (2001) Secrets & Lies: IT-Sicherheit in einer vernetzten Welt. dpunkt, Heidelberg
Strohm O, Ulrich E (2011) Unternehmen umfassend bewerten. In: Meyn C, Peter G, Dechmann U, Georg A, Katenkamp O (Hrsg) Arbeitssituationsanalyse. VS Verlag, Wiesbaden
Wöhe G (2016) Einführung in die Allgemeine Betriebswirtschaftslehre, 26. Aufl. Vahlen, München
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Rights and permissions
Copyright information
© 2022 Der/die Autor(en), exklusiv lizenziert durch Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature
About this chapter
Cite this chapter
Klipper, S. (2022). Weird Sociotechnical Systems. In: Weber, K., Reinheimer, S. (eds) Faktor Mensch. Edition HMD. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-34524-2_18
Download citation
DOI: https://doi.org/10.1007/978-3-658-34524-2_18
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-34523-5
Online ISBN: 978-3-658-34524-2
eBook Packages: Computer Science and Engineering (German Language)