Zusammenfassung
Durch Hackerangriffe auf technische Schwachstellen werden IT-Systeme kompromittiert und Social Engineers haben menschliche Schwachpunkte zum Ziel. Maximale Schadensszenarien entstehen in heute üblichen Angriffen, z. B. mit Ransomware oder CEO-Fraud, durch die Kombination von Software-Exploits, Social Engineering und Kenntnissen über interne Organisationsabläufe. Technik, Mensch und Organisation werden so von Angreifern als Mensch-Maschine-Einheit bedroht, während sich die Bewertung von Risiken für die Informationssicherheit häufig auf technische Schwachstellen fokussiert. Auch eine getrennte Analyse von technischen Schwachstellen und menschlichen Faktoren ist für diese Art von Bedrohung der soziotechnischen Systeme nicht angemessen. Durch die Interpretation betroffener Organisationen als soziotechnische Systeme sind Angriffe erfolgreicher als durch die ausschließliche Fokussierung auf IT-Systeme. Wenn Risikomanagement, Informations- und IT-Sicherheit dieser Entwicklung etwas entgegensetzen wollen, müssen Sicherheitsmaßnahmen die Einbettung technischer Lösungen in soziotechnische Systeme deutlich stärker berücksichtigen, als das heute üblich ist. Hierzu gehören umfassendere Szenarioanalysen im Risikoassessment ebenso wie eine Ausweitung der Berücksichtigung des Faktors Mensch bei Design, Test und Implementierung von IT-Systemen, die als Teil soziotechnischer Systeme verstanden werden müssen.
Abstract
IT systems are compromised by hacker attacks on technical vulnerabilities and social engineers target human weaknesses. Maximum damage scenarios arise in today’s common attacks, e.g. ransomware or CEO fraud, through the combination of software exploits, social engineering and knowledge of internal organizational processes. Technology, people and organizations are thus threatened by attackers as man-machine units, while the assessment of information security risks often focuses on technical vulnerabilities. Even a separation of the analysis of technical vulnerabilities and human factors is not appropriate for this type of threat to socio-technical systems. By interpreting affected organizations as socio-technical systems, attacks are more successful than by focusing exclusively on IT systems. If risk management, information and IT security want to work against this development, security measures must take much more account of the integration of technical solutions in socio-technical systems than is usual today. This includes more comprehensive scenario analyses in risk assessment as well as an expansion of the consideration of the human factor in the design, testing and implementation of IT systems, which must be understood as part of socio-technical systems.
Notes
Der Mensch, der den Mangel an Sicherheit leidet.
Literatur
Bratus S, Locasto ME, Patterson ML, Sassaman L, Shubina A (2016) Exploit programming from buffer overflows to “weird machines” and theory of computation. http://langsec.org/papers/Bratus.pdf. Zugegriffen: 16. Febr. 2020
Carr J (2014) Assumption of breach: the new security paradigm. Oreilly, Sebastopol
Eckert C (2014) IT-Sicherheit: Methoden – Verfahren – Protokolle, 9. Aufl. Oldenbourg, München
Friemel C (2018) Interesse an verschlüsselten Mails steigt. https://newsroom.gmx.net/2018/08/24/interesse-an-verschluesselten-mails-steigt/. Zugegriffen: 16. Febr. 2020
Green M (2018) Was the Efail disclosure horribly screwed up? https://blog.cryptographyengineering.com/2018/05/17/was-the-efail-disclosure-horribly-screwed-up/. Zugegriffen: 16. Febr. 2020
ISO/IEC (2009) ISO/IEC 31010:2009—Risk management—Risk assessment techniques
ISO/IEC (2013) ISO/IEC 27001:2013—information technology—Security techniques—Information security management systems—Requirements, A.12.6—Technical vulnerability management
Klipper S (2017) Homo Carens Securitate: Der Mensch, der den Mangel an Sicherheit leidet: Vom Homo Oeconomicus zum Weird Human (Einreichung und Vortrag beim 4. Forschungstag NRW). https://cyclesec.com/wp-content/uploads/CfP-Einreichung-ForschungstagNRW2017.pdf. Zugegriffen: 16. Febr. 2020
Klipper S (2015) Konfliktmanagement für Sicherheitsprofis, 2. Aufl. Springer Vieweg, Wiesbaden
Klipper S, Spangenberg M (2017) Der Faktor Mensch in der Informationssicherheit, Kurseinheit EIS04 der Wilhelm Büchner Hochschule, Darmstadt
MITRE Corporation (2019) CWE™—A community-developed list of common software security weaknesses V.3.4.1. https://cwe.mitre.org/. Zugegriffen: 16. Febr. 2020
Müller J, Brinkmann M, Poddebniak D, Böck H, Schinzel S, Somorovsky J, Schwenk J (2019) “Johnny, you are fired!”—spoofing openPGP and S/MIME signatures in emails. https://www.usenix.org/system/files/sec19fall_muller_prepub.pdf. Zugegriffen: 16. Febr. 2020
Poddebniak D, Dresen C, Müller J, Ising F, Schinzel S, Friedberger S, Somorovsky J, Schwenk J (2018) Efail: breaking S/MIME and OpenPGP email encryption using exfiltration channels. https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-poddebniak.pdf. Zugegriffen: 16. Febr. 2020
Ropohl G (2009) Allgemeine Technologie. https://publikationen.bibliothek.kit.edu/1000011529/924536. Zugegriffen: 16. Febr. 2020
Schneier B (2001) Secrets & Lies: IT-Sicherheit in einer vernetzten Welt. dpunkt.verlag, Heidelberg
Strohm O, Ulrich E (2011) Unternehmen umfassend bewerten. In: Meyn C, Peter G, Dechmann U, Georg A, Katenkamp O (Hrsg) Arbeitssituationsanalyse. VS, Wiesbaden
Wöhe G (2016) Einführung in die Allgemeine Betriebswirtschaftslehre, 26. Aufl. Vahlen, München
Author information
Authors and Affiliations
Corresponding author
Anhang
Anhang
1.1 Über den Verfasser
Sebastian Klipper ist Geschäftsführer und Mitgründer der CycleSEC GmbH. Er ist Autor mehrerer Security-Fachbücher, darunter „Konfliktmanagement für Sicherheitsprofis“. An der Wilhelm Büchner Hochschule ist er u. a. Autor der Studieneinheit „Faktor Mensch in der Informationssicherheit“.
1.2 Über CycleSEC
Die CycleSEC GmbH wurde 2015 als Spin-off der Fachhochschule Münster gegründet. Mittlerweile ist der Firmensitz in Hamburg und die Firma ist zu 100 % im Besitz des Gründers Sebastian Klipper. CycleSEC bietet anbieter- und produktneutrale Beratung und Dienstleistungen rund um die Themen Informationssicherheit, IT-Sicherheit und Cybersicherheit. CycleSEC möchte die Verbindung aus Forschung und unternehmerischem Handeln weiter nach vorne bringen.
Rights and permissions
About this article
Cite this article
Klipper, S. Weird Sociotechnical Systems. HMD 57, 571–583 (2020). https://doi.org/10.1365/s40702-020-00606-x
Received:
Revised:
Accepted:
Published:
Issue Date:
DOI: https://doi.org/10.1365/s40702-020-00606-x