18. Weird Sociotechnical Systems

Durch Angriffe auf technische Schwachstellen werden IT-Systeme kompromittiert und Social Engineers haben menschliche Schwachpunkte zum Ziel. Maximale Schadensszenarien entstehen in heute üblichen Angriffen, z. B. mit Ransomware oder CEO-Fraud, durch die Kombination von Software-Exploits, Social Engineering und Kenntnissen über interne Organisationsabläufe. Technik, Mensch und Organisation werden so von Angreifer/innen als Mensch-Maschine-Einheit bedroht. Die Bewertung von Risiken für die Informationssicherheit fokussiert dabei häufig auf technische Schwachstellen und interpretiert die Unwissenheit über die Parameter eines potentiellen Angriffs meist nicht als strategische Unsicherheit, sondern als bestimmtes Maß von Wahrscheinlichkeit. Auch eine getrennte Analyse von technischen Schwachstellen und menschlichen Faktoren ist für diese Art von Bedrohung der soziotechnischen Systeme nicht angemessen. Durch die Interpretation betroffener Organisationen als soziotechnische Systeme sind Angriffe erfolgreicher als durch die ausschließliche Fokussierung auf IT-Systeme. Wenn Risikomanagement, Informations- und IT-Sicherheit dieser Entwicklung etwas entgegensetzen wollen, müssen Sicherheitsmaßnahmen die Einbettung technischer Lösungen in soziotechnische Systeme deutlich stärker berücksichtigen, als das heute üblich ist. Hierzu gehören einerseits umfassendere Szenarioanalysen in einem die strategische Unsicherheit berücksichtigenden Risikoassessment. Darüber hinaus ist eine stärkere Einbeziehung des Faktors Mensch bei Design, Test und Implementierung von IT-Systemen wichtig, die als Teil soziotechnischer Systeme verstanden werden müssen.