Eine Firewall der neuesten Generation, ein aktueller Virenscanner, verschlüsselte Verbindungen – und trotzdem wird ein Unternehmen erfolgreich angegriffen. Wie ist das möglich? Weil der Angreifer die Technologie komplett umgangen hat und stattdessen einen Mitarbeiter manipuliert hat. Social Engineering ist heute eine der gefährlichsten Angriffsmethoden überhaupt.
Was ist Social Engineering?
Social Engineering bezeichnet die psychologische Manipulation von Menschen, um an vertrauliche Informationen oder Zugang zu Systemen zu gelangen. Im Unterschied zu technischen Angriffen nutzen Social Engineers keine Softwarelücken, sondern menschliche Eigenschaften: Hilfsbereitschaft, Vertrauen, Autoritätsglaube, Stress oder Neugier.
Der Begriff „Angriff” ist dabei irreführend – es fühlt sich oft gar nicht wie ein Angriff an, sondern wie ein normales Gespräch oder eine alltägliche Anfrage.
4 häufige Methoden
Pretexting Der Angreifer erfindet eine glaubwürdige Geschichte, um Vertrauen zu gewinnen. Klassisches Beispiel: Ein angeblicher IT-Techniker ruft an und bittet um Zugangsdaten, um ein „dringendes Problem” zu beheben. Die Geschichte klingt plausibel, die Stimme klingt professionell – und der Mitarbeiter will helfen.
CEO-Fraud Ein Angreifer gibt sich per E-Mail als Geschäftsführer aus und fordert eine Mitarbeiterin in der Buchhaltung auf, dringend eine Überweisung ins Ausland durchzuführen. Der Ton ist vertraulich, die E-Mail-Adresse wirkt auf den ersten Blick legitim. CEO-Fraud hat Unternehmen weltweit bereits Milliarden gekostet.
Vishing (Voice Phishing) Phishing per Telefon. Angreifer rufen an und geben sich als Bank, Behörde oder IT-Support aus. Sie nutzen Druckaufbau, Dringlichkeit oder gefälschte Rufnummern (Spoofing), um Opfer zur Herausgabe von Daten oder zur Durchführung von Handlungen zu bewegen.
Baiting Ein infizierter USB-Stick wird auf dem Firmenparkplatz oder im Empfangsbereich „vergessen”. Die menschliche Neugier tut den Rest: Jemand steckt ihn in einen Bürorechner, um zu sehen, was darauf ist – und installiert damit Malware.
Warum auch technisch gut aufgestellte Firmen Opfer werden
Technische Schutzmaßnahmen schützen vor technischen Angriffen. Gegen Social Engineering helfen sie wenig. Selbst Mitarbeitende, die täglich mit IT arbeiten, können Opfer werden – besonders wenn ein Angriff gut vorbereitet ist, unter Zeitdruck stattfindet oder Autorität vorspiegelt.
Das BSI schätzt, dass der Mensch in der Sicherheitskette nach wie vor das größte Einfallstor darstellt – nicht weil Menschen dumm sind, sondern weil Angreifer gezielt psychologische Mechanismen ausnutzen, die evolutionär verankert sind.
Gegenmaßnahmen, die wirklich helfen
Regelmäßige Schulungen und Simulationen Mitarbeitende müssen Social Engineering kennen, um es zu erkennen. Awareness-Trainings mit realistischen Beispielen und simulierten Angriffsszenarien sind die wirksamste Gegenmaßnahme.
Verifizierungsprozesse einführen Für sensible Aktionen – Überweisungen, Zugangsdaten-Herausgabe, Systemzugriffe – müssen klare Vier-Augen-Prinzipien und Rückrufpflichten gelten. Eine Anweisung per E-Mail reicht nicht.
Keine Zahlungen ohne Rückrufbestätigung Banktransfers auf Anweisung per E-Mail oder Telefon sollten grundsätzlich über einen verifizierten Rückruf bestätigt werden – unabhängig davon, wie dringend die Anfrage wirkt.
Klare Meldewege etablieren Wer einen verdächtigen Kontakt erlebt, muss wissen, wen er sofort informieren kann – ohne Angst vor Konsequenzen. Schnelle Meldungen begrenzen Schäden erheblich.
VIOCOM unterstützt Unternehmen in Gladbeck und dem Ruhrgebiet dabei, ihre Belegschaft durch praxisnahe Schulungen und strukturierte Sicherheitskonzepte gegen Social Engineering zu wappnen.
Jetzt IT-Sicherheitsberatung anfragen
Benötigen Sie Unterstützung?
VIOCOM berät KMU im Ruhrgebiet – persönlich, transparent und ohne versteckte Kosten.
Jetzt Kontakt aufnehmenVIOCOM GmbH · Am Wiesenbusch 2, 45966 Gladbeck · +49 2043 37520