Die stärkste Firewall hilft wenig, wenn ein einziger Anruf genügt, um an Zugangsdaten zu kommen. Social Engineering zielt auf den Menschen als Teil des Sicherheitssystems und macht Vertrauen und Zeitdruck zu Werkzeugen. Für IT-Entscheider ist das Thema unbequem: Schutz lässt sich weder kaufen noch installieren, er entsteht aus dem Zusammenspiel von Prozessen und Technik.
Was ist Social Engineering?
Social Engineering bezeichnet die gezielte Manipulation von Menschen mit dem Zweck, an Informationen, Zugänge oder Geld zu gelangen oder Schadsoftware zu platzieren. Der Angreifer umgeht technische Schutzmaßnahmen, indem er Mitarbeitende dazu bringt, sie freiwillig auszuhebeln: Ein geöffneter Anhang, ein genanntes Passwort oder eine bestätigte Überweisung wirken von außen wie legitime Handlungen.
Die Angriffe laufen über alle Kanäle: per E-Mail, am Telefon, über Messenger und soziale Netzwerke oder direkt vor Ort am Empfang. Häufig kombinieren Angreifer mehrere Kanäle und bereiten sich mit öffentlich verfügbaren Informationen vor, etwa aus Karriereportalen, Pressemitteilungen oder Organigrammen. Je besser die Geschichte zur Realität des Unternehmens passt, desto geringer die Chance, dass jemand stutzig wird.
So funktioniert es
Einige Techniken tauchen in Angriffen immer wieder auf:
- Pretexting: Der Angreifer erfindet einen glaubwürdigen Vorwand und eine Rolle, etwa als IT-Support, Wirtschaftsprüfer oder Behördenvertreter, und baut darüber Vertrauen auf, bevor er nach sensiblen Informationen fragt.
- Baiting: Ein Köder weckt Neugier oder verspricht einen Vorteil, zum Beispiel ein präparierter USB-Stick auf dem Parkplatz oder ein kostenloser Download, der Schadsoftware mitbringt.
- Tailgating: Der Angreifer verschafft sich physischen Zutritt, indem er hinter Berechtigten durch gesicherte Türen geht, gern mit vollen Händen oder in Handwerkerkleidung.
- CEO-Fraud: Im Namen der Geschäftsführung fordert der Angreifer eine vertrauliche, eilige Überweisung an. Die Masche richtet sich meist an Mitarbeitende in Finanzabteilungen und setzt auf Hierarchie und Diskretion.
- Quid pro quo: Der Angreifer bietet eine Gegenleistung an, etwa angebliche Hilfe bei einem IT-Problem, und lässt sich dafür Zugangsdaten oder einen Fernzugriff geben.
Dass diese Techniken funktionieren, liegt an erprobten psychologischen Hebeln. Autorität lässt Anweisungen von oben ungeprüft passieren. Dringlichkeit schaltet das Nachdenken aus, weil angeblich keine Zeit für Rückfragen bleibt. Hilfsbereitschaft und Konfliktscheu tun das Übrige, denn kaum jemand weist gern eine freundliche oder ranghohe Person ab.
Warum es wichtig ist
- Der Mensch ist in vielen Angriffsketten der erste Schritt, lange bevor technische Schwachstellen ausgenutzt werden.
- CEO-Fraud und manipulierte Zahlungsläufe verursachen unmittelbare finanzielle Schäden, die sich selten zurückholen lassen.
- Erbeutete Zugangsdaten öffnen Angreifern legitime Wege ins Netzwerk, die der klassischen Erkennung kaum auffallen.
- Angriffe hinterlassen zunächst keine technischen Spuren, weil keine Schadsoftware nötig ist.
- Öffentlich verfügbare Informationen über Unternehmen und Beschäftigte machen Angriffe immer passgenauer, KI-generierte Texte und Stimmen senken den Aufwand zusätzlich.
- Versicherer und Prüfer erwarten nachweisbare Maßnahmen, von Schulungen bis zu Freigabeprozessen.
Typische Szenarien
- Ein angeblicher IT-Mitarbeiter ruft an, meldet ein Sicherheitsproblem und bittet um Bestätigung einer MFA-Anfrage, die er selbst ausgelöst hat.
- Die Buchhaltung erhält eine vertraulich markierte Mail der vermeintlichen Geschäftsführung mit der Bitte um eine eilige Auslandsüberweisung.
- Ein Lieferant teilt scheinbar neue Bankdaten mit, tatsächlich stammt die Nachricht von einem Angreifer, der die Korrespondenz mitliest.
- Ein Besucher in Arbeitskleidung folgt Mitarbeitenden durch die Zutrittsschleuse und platziert im Gebäude ein präpariertes Gerät.
- Vor dem Bürogebäude liegen USB-Sticks mit der Aufschrift „Gehaltsliste", einer davon landet in einem Dienstrechner.
Social Engineering vs. Phishing
Phishing ist die bekannteste und am weitesten verbreitete Form des Social Engineering: massenhaft oder gezielt verschickte Nachrichten, die auf gefälschte Seiten locken oder Anhänge öffnen lassen. Social Engineering ist der Oberbegriff und umfasst darüber hinaus alle Manipulationstechniken über Telefon, persönlichen Kontakt oder physischen Zutritt. Praktisch heißt das: Wer allein E-Mail-Filter betreibt, adressiert einen einzelnen Kanal. Ein tragfähiges Schutzkonzept rechnet damit, dass Angreifer den Kanal wechseln, sobald einer verschlossen ist.
Schutz mit KAEMI
Wirksamer Schutz kombiniert Prozesse und Technik. Prozessseitig gehören dazu Freigaben nach dem Vier-Augen-Prinzip für Zahlungen und Stammdatenänderungen, verbindliche Rückrufverfahren über bekannte Nummern und eine praxisnahe, regelmäßige Sensibilisierung. Technisch geht es darum, den Schaden zu begrenzen, wenn die Täuschung doch gelingt. Genau hier setzt KAEMI an: Mit SASE/SSE wird jeder Zugriff anhand von Identität, Gerät und Kontext geprüft, gestohlene Zugangsdaten allein genügen dann nicht mehr für den Vollzugriff. Zero Trust Mikrosegmentierung sorgt dafür, dass ein übernommenes Konto oder Gerät keinen Weg durch das gesamte Netzwerk öffnet. Sprechen Sie uns über unser Kontaktformular an, wenn Sie Ihre Abwehr auf dieses Zusammenspiel ausrichten möchten.