Social Engineering: Der komplette Guide für Unternehmen

Wenn Hacker Social Engineering einsetzen, um an Daten und Zugänge zu gelangen, ist die Gefahr groß – denn hier hilft keine Firewall und keine Multi-Faktor-Authentifizierung. Der Faktor Mensch wird mit all seinen Schwächen ausgenutzt. Die Hackergruppe Lapsus$ demonstrierte das eindrücklich, als sie sich Zugang zu Unternehmen wie Microsoft, Nvidia, Samsung, Okta, Rockstar Games und Uber verschaffte – nicht durch Softwarelücken, sondern durch gezielte Manipulation von Mitarbeitern.

Kevin Mitnick, einer der bekanntesten Hacker der 90er Jahre, brachte es auf den Punkt: “Ich habe niemals einen Server geknackt, ohne zuerst die Menschen dahinter zu verstehen.”

Dieser Guide fasst alle relevanten Angriffstechniken, die psychologischen Grundlagen und praxistaugliche Schutzmaßnahmen zusammen.

Was ist Social Engineering?

Social Engineering nutzt keine technischen Schwachstellen oder Sicherheitslücken in einer Software aus, sondern den Menschen selbst, der diese steuert und kontrolliert. Dabei geht es darum, dass Angreifer sich das Vertrauen von Mitarbeitern erschleichen, die dann bereitwillig Informationen preisgeben, mit denen sich anschließend Zugang zu Systemen verschaffen lässt.

Die meisten großen Hacks der Geschichte basieren darauf, dass sich Angreifer als hochrangige Mitarbeiter oder vertrauenswürdige Personen präsentierten. Ist das Vertrauen aufseiten der Mitarbeiter erst einmal vorhanden, geben diese fast alles preis, ohne die verlangten Informationen zu hinterfragen. Das Konstrukt basiert auf Psychologie: sich als Teil von etwas ausgeben und daher vermeintlich legitim nach geheimen oder besonders geschützten Angaben zu fragen.

Social Engineering lässt sich nicht ohne Weiteres unterbinden. Gleichgültig, wie hoch die technischen Sicherheitsmaßnahmen ausfallen – Systeme lassen sich nicht schützen, wenn diejenigen, die Zugriff darauf haben, Zugangsdaten bereitwillig weitergeben.

Lagebilder und Statistik

Eine Studie von Barracuda analysierte zwischen Mai 2020 und Juni 2021 mehrere Millionen Mailboxen unterschiedlicher Unternehmen. Die zentralen Erkenntnisse:

• Jede Organisation wird durchschnittlich mit über 700 Social-Engineering-Angriffen pro Jahr konfrontiert.
• Phishing dominiert mit einem Anteil von 49 % aller Angriffe, gefolgt von Scamming (39 %) und Business Email Compromise (10 %). Erpressung macht 2 % aus.
• 43 % aller Phishing-Angriffe nutzen das Microsoft-Branding als Tarnung (2019 waren es noch 56 %).
• Der CEO ist entgegen der verbreiteten Annahme nur zu 6 % das Angriffsziel bei Social Engineering – Mitarbeiter im Vertrieb und in der Kommunikation sind deutlich häufiger betroffen, da sie häufig mit Externen kommunizieren.
• 77 % der Business-Email-Compromise-Angriffe zielen auf Mitarbeiter außerhalb von Führungspositionen und Finanzbereich.
• Bei gezieltem Spear Phishing liegt der CEO allerdings vorne: Ein durchschnittlicher CEO erhält ca. 57 gezielte Phishing-Angriffe pro Jahr, ein CFO ca. 51, ein IT-Verantwortlicher ca. 40.
• Angriffe mit Bezug auf Kryptowährungen wuchsen zwischen Oktober 2020 und April 2021 um 192 %.

---

Die psychologischen Grundlagen: Cialdinis Prinzipien

Angreifer nutzen gezielt die Überzeugungsprinzipien nach Robert Cialdini, die aus der Verhaltenspsychologie stammen. Das Ziel ist immer dasselbe: kritisches Denken abschalten und das Opfer zu einer Handlung bewegen, die es bei nüchterner Überlegung nicht ausführen würde.

1. Autorität

Menschen folgen Autoritäten, ohne zu hinterfragen. Angreifer geben sich daher als Vorgesetzte, IT-Admins, Behörden oder Prüfer aus.

Beispiel: “Hier ist Thomas Bergmann, CTO. Ich brauche sofort Ihren Zugangscode für den Notfall-Server – unser Sicherheitssystem hat einen Alarm!”

Bei Vishing-Angriffen (Telefonbetrug) reicht oft allein der Verweis auf eine Autoritätsrolle, kombiniert mit dem richtigen Namen des Vorgesetzten (aus LinkedIn recherchiert), um Mitarbeiter zur Kooperation zu bewegen. IT-Support-Impersonation ist eine besonders häufige Variante: Der Angreifer gibt sich als Helpdesk-Mitarbeiter aus, nennt eine echte Ticketnummer und Abteilungsbezeichnung – und wirkt dadurch vollständig legitim.

2. Dringlichkeit (Urgency/Scarcity)

Zeitdruck verhindert rationales Denken. Wer keine Zeit zum Nachdenken hat, hinterfragt nicht.

Beispiel: “Ihr Account wird in 24 Stunden gesperrt, wenn Sie nicht handeln!” oder “Unser System wird in 5 Minuten abgeschaltet, wenn wir Ihren Account nicht sofort verifizieren!”

Dringlichkeit ist das mächtigste Werkzeug im Social-Engineering-Arsenal. Es wird in nahezu jeder Angriffsvariante eingesetzt – von Phishing-E-Mails bis zum CEO Fraud.

3. Soziale Bewährtheit

Wenn andere eine Handlung bereits vollzogen haben, wirkt sie legitimiert.

Beispiel: “Alle Kollegen in der Abteilung haben schon ihre Daten bestätigt – Sie sind der Letzte, der noch fehlt.”

4. Sympathie/Liking

Menschen helfen Personen, die sie mögen oder als ähnlich wahrnehmen. Angreifer recherchieren auf LinkedIn gemeinsame Interessen und nutzen diese im Gespräch: “Wir sind Kollegen von der gleichen Konferenz!” Beim Texting (Kontaktaufbau via Social Media) kann eine vorgetäuschte Freundschaft oder sogar eine Liebesbeziehung aufgebaut werden – eine besonders perfide Methode, die aber extrem zielführend sein kann.

5. Reziprozität

Menschen fühlen sich verpflichtet, Gefälligkeiten zu erwidern. Der Angreifer hilft zuerst bei einem IT-Problem und erwähnt dann “nebenbei” eine Anfrage – das Opfer fühlt sich zum Erwidern verpflichtet.

6. Commitment/Konsistenz

Wer einmal Ja gesagt hat, sagt wieder Ja. Die Technik: zuerst kleine, unverfängliche Anfragen stellen, dann die eigentliche Forderung: “War das nicht kein Problem? Dann können Sie sicher auch…“

7. Einheit/Zugehörigkeit (Cialdinis neues Prinzip)

Wir-Gefühl und Gruppenidentität werden ausgenutzt: “Als Mitglied des Führungsteams brauchen wir jetzt Ihre Hilfe…” Dieses Prinzip ist besonders wirksam in Kombination mit Autorität.

---

Angriffstechniken im Detail

Phishing (E-Mail-basiert)

Phishing ist mit 49 % der häufigste Social-Engineering-Angriffsvektor. Es gibt mehrere Varianten mit unterschiedlichem Aufwand und Präzision:

Mass Phishing: Millionen E-Mails, niedriger Aufwand, breites Netz. Beispiele: “Ihre DHL-Sendung wird zurückgehalten”, “Microsoft-Konto gesperrt”. Erkennungsmerkmale: schlechte Grammatik (zunehmend durch KI optimiert), verdächtige Absender-Domain (dl-support@dhl-delivery.net).

Spear Phishing: Gezielt auf eine Person, hoch personalisiert. Angreifer nutzen OSINT aus LinkedIn, XING, Unternehmenswebseite und Presse. Beispiel: “Ich habe Ihren Vortrag auf der CeBIT gesehen, hier meine Analyse…” – der Anhang enthält Malware oder ein Link führt zu einer Credential-Phishing-Seite. Erkennungsrate klassischer Sicherheitsschulungen: unter 60 %.

Whaling: Spear Phishing gegen Führungskräfte (CEO, CFO, CISO). Themen sind M&A-Dokumente, Investorenanfragen, regulatorische Prüfungen. Der Aufwand ist sehr hoch, dafür sind die potenziellen Gewinne für Angreifer entsprechend groß.

Clone Phishing: Eine legitime E-Mail wird kopiert, Link oder Anhang werden ausgetauscht. Die Absender-Domain wird leicht verändert (paypa1.com, micosoft.com). Der Kontext bleibt identisch – daher sehr hohe Glaubwürdigkeit.

Weiterführend: Phishing erkennen | Phishing-Methoden im Überblick

Vishing (Voice Phishing / Telefonbetrug)

Vishing bezeichnet telefonbasierte Social-Engineering-Angriffe. Im Grunde ist Vishing dasselbe wie Phishing – nur eben via Telefonanruf. Viele Mitarbeiter, die im Arbeitsalltag wenig Zeit haben, geben bereitwillig vertrauenswürdige Informationen preis, ohne die Legitimität des Anrufers zu hinterfragen.

Caller-ID-Spoofing macht Vishing besonders gefährlich: Angreifer können beliebige Rufnummern anzeigen lassen. Ein Anruf kann mit der offiziellen IT-Helpdesk-Nummer des Unternehmens erscheinen – vollständig gefälscht. Die erfolgreichste Betrugsmasche aus dem privaten Bereich ist der Polizeibetrug: Fremde rufen mit der 110 vorwiegend Senioren an und geben vor, Bargeld oder Wertsachen aushändigen zu müssen. Analoges Vorgehen gibt es im Unternehmenskontext.

Typischer IT-Support-Angriff:

Der Angreifer recherchiert vorab: Mitarbeitername und Abteilung aus LinkedIn, IT-Helpdesk-Nummer und Ticketsystem von der Unternehmenswebseite, eingesetzten Technologie-Stack aus Job-Postings.

Dann ruft er an: “Guten Tag, hier ist Klaus Hoffmann vom IT-Service-Desk. Ich rufe wegen Ticket #12847 an – Sie haben einen Sicherheitsalarm auf Ihrem Rechner gemeldet?”

“Ich habe nichts gemeldet…”

“Oh, das ist merkwürdig. Ihr Rechner sendet in unserem Monitoring-System Alarme. Können wir das kurz zusammen prüfen? Ich müsste Sie kurz um Ihren Windows-Login bitten, um den Remote-Zugang einzurichten.”

Der Angriff funktioniert, weil ein vorgetäuschtes Problem Dringlichkeit erzeugt, der Angreifer Namen und Abteilung kennt und dadurch legitim wirkt – und IT-Support tatsächlich manchmal anruft.

Tech-Support-Scams: Angreifer geben vor, von Microsoft oder Apple zu sein. “Ihr Computer hat einen Virus” – “Installieren Sie AnyDesk…” – vollständiger Remote-Zugriff, Datendiebstahl, Erpressung.

Pretexting

Pretexting bezeichnet den gezielten Aufbau einer falschen Identität oder Geschichte über einen längeren Zeitraum. Es nutzt gezielt menschliche Emotionen und Bedürfnisse:

• Wünsche: Profilierung, materieller Gewinn
• Ängste: Verlustängste oder Ablehnung
• Charaktereigenschaften: Vertrauen in Autoritäten, Hilfsbereitschaft

Langfristiges Pretexting – Phasenablauf:

Phase 1 – Identität aufbauen (Wochen vor dem Angriff): Der Angreifer erstellt ein LinkedIn-Profil (z. B. “David Müller, Sicherheitsberater”), nimmt Kontakt mit Ziel-Mitarbeitern über Gruppen und Kommentare auf und baut Vertrauen durch hilfreiche Beiträge und demonstriertes Fachwissen auf. Wer mehr Aufwand betreibt, erstellt falsche Profile in sozialen Netzwerken und auf Dating-Portalen.

Phase 2 – Kontaktaufnahme: Per E-Mail an das Ziel: “Hallo, wir kennen uns von der IT-Security-Konferenz. Ich führe eine Sicherheitsanalyse für Ihren Bereich durch…”

Phase 3 – Informationsgewinnung: “Für unsere Analyse: Welche Sicherheitslösungen nutzt ihr?” – Der Mitarbeiter bestätigt oder korrigiert, und der Angreifer kennt anschließend den vollständigen Technologie-Stack.

Aus dem Alltag bekannt ist der Enkeltrick als klassische Form des Pretextings.

Tailgating und Piggybacking (Physischer Zutritt)

Tailgating bezeichnet das unbefugte Betreten gesicherter Bereiche im Windschatten einer autorisierten Person. Der Angreifer trägt professionelle Kleidung mit gefälschtem Firmenausweis und schwere Kartons: “Halten Sie bitte die Tür auf!” – sozialer Druck entsteht, weil das Zuhalten der Tür unhöflich wirkt. Einmal drin: unbeaufsichtigt im Serverraum.

Eine weitere Variante: Der Angreifer wartet am Eingang, folgt einem echten Mitarbeiter und führt Smalltalk. Der Mitarbeiter hält die Tür freundlich auf – ohne böse Absicht.

Die meisten Mitarbeiter fühlen sich in dieser Situation unwohl, wenn sie jemandem den Eintritt verweigern sollen. Diese Spannung zwischen Höflichkeit und Sicherheit ist ein entscheidender Angriffspunkt, der im Training explizit adressiert werden muss.

Baiting

Beim Baiting wird ein Köder eingesetzt. Meist wird an einer bestimmten Stelle ein USB-Stick oder eine Speicherkarte platziert, die Opfer dazu verführen soll, selbige in den Rechner zu stecken. Dann installiert sich vornehmlich Malware, die Angreifern Zugang verschafft. Diese Methode nutzt die Neugier des Menschen.

Infizierte USB-Sticks werden auf dem Parkplatz oder der Toilette des Zielunternehmens hinterlegt – mit verführerischen Aufklebern wie “Gehaltsübersicht 2026” oder “Vorstandssitzung_vertraulich.pdf”.

Ein Experiment der University of Illinois (2016) ist aufschlussreich: 297 USB-Sticks wurden auf dem Campus verteilt. 98 % wurden eingesteckt, 45 % der Finder öffneten die enthaltenen Dateien. Laut IBM X-Force werden 45–98 % aller gefundenen USB-Sticks angesteckt.

Warum funktioniert es? Neugier ist stärker als Vorsicht. USB-Sticks wirken harmlos und vertraut.

Der Shark Jack – ein kompaktes Pentesting-Tool von Hak5 mit Standard-RJ-45-Netzwerkanschluss – ist ein weiteres Beispiel für physisches Baiting: Das Gerät wird in eine freie Netzwerkbuchse eines Unternehmens eingesteckt und befindet sich damit direkt hinter der Firewall. Innerhalb seiner 15-minütigen Akkulaufzeit kann ein nmap-Scan das gesamte interne Netzwerk kartieren.

Verwandt ist das Dumpster Diving: Nicht geschredderte Dokumente im Müll liefern wertvolle Informationen. Ein Streifenschnitt-Schredder reicht nicht aus – erst ein Partikelschnitt macht Dokumente rekonstruktionssicher.

Shoulder Surfing

Im öffentlichen Raum oder im Großraumbüro wird der Zielperson ein Blick über die Schulter geworfen. Ohne Sichtschutzfolie kann ein Sitznachbar im Zug wertvolle Informationen sammeln, um einen späteren Angriff vorzubereiten.

Business Email Compromise (BEC) und CEO Fraud

BEC kombiniert E-Mail-Betrug mit psychologischer Manipulation. Die häufigste Variante ist der CEO Fraud.

CEO-Fraud-Ablauf:

1. OSINT: Wer ist CEO, wer ist CFO, welche Bank wird genutzt?
2. CEO-E-Mail wird gefälscht – mit einer Look-alike-Domain: firma-ag.com statt firma.de, oder eine exakt aussehende Fake-Domain.
3. CFO erhält: “Dringende Überweisung nach Hongkong – bitte sofort! Streng vertraulich, bitte nicht mit anderen besprechen.”
4. Zeitdruck + Autorität + Geheimhaltung = Überweisung.

Reale Schadenssummen: Ø 135.000 USD pro BEC-Vorfall (FBI IC3 2024). Größter bekannter Fall: 121 Millionen USD (Facebook/Google, 2013–2015).

Psychologische Hebel im Überblick:

• CEO als höchste Autorität
• Dringlichkeit durch “sofort” und “heute noch”
• Kein Rückruf möglich – verhindert Verifizierung
• Vertraulichkeit – verhindert, dass Kollegen warnen
• Emotionaler Druck durch den wichtigen Deal

Lieferanten-Kompromittierung: Das E-Mail-Konto eines Lieferanten wird gehackt. Die laufende Kommunikation mit Kunden wird fortgesetzt, dann: “Bitte überweisen Sie auf unser neues Konto XY.” Das Unternehmen überweist an das Angreifer-Konto.

Quid Pro Quo

Bei Quid-Pro-Quo-Angriffen geht es um einen konkreten Handel: Vertrauliche Informationen oder gesicherte Zugänge werden übergeben, weil es etwas dafür im Austausch gibt. Der Angreifer bietet Hilfe an und bekommt Zugang dafür. Beim Telefonbetrug ruft er viele Durchwahlen durch: “Ich bin vom IT-Support. Haben Sie gerade technische Probleme?” – früher oder später lautet die Antwort “Ja, tatsächlich…” – und der vermeintliche Helfer bittet um den Login.

Reverse Social Engineering

Bei der Reverse-Social-Engineering-Attacke wird das Opfer dazu motiviert, selbst Kontakt zum Angreifer aufzunehmen. Beispiel: Eine E-Mail informiert darüber, dass der Dienstleister für die Ticketabwicklung sich geändert hat – es gibt eine neue E-Mail-Adresse und Telefonnummer. Eröffnet das Opfer ein Ticket, wird der “neue” Service Desk kontaktiert. Anschließend wird vereinbart, dass Daten versendet werden müssen oder ein Rechner von einem “externen Dienstleister” abgeholt werden muss.

Watering-Hole-Angriffe

Die “Wasserloch”-Attacke setzt auf Mitarbeiter der Zielorganisation. Wenn bekannt ist, dass Mitarbeiter einer Firma eine bestimmte Website häufig aufsuchen müssen – z. B. für Tickets, Authentifizierung oder Informationen –, wird nach einer Sicherheitslücke auf dieser Website gesucht. Eine Lücke, die es ermöglicht, JavaScript einzuspeisen oder Weiterleitungen einzurichten. Besucht die Zielgruppe die Website, werden die Opfer mit Malware infiziert. Diese Vorgehensweise ist aufwändig, aber effektiv: Drittquellen lassen sich in Unternehmensrichtlinien selten sperren.

Reales Fallbeispiel: GoDaddy

Im November 2020 wurde GoDaddy, einer der größten Domainregistrare weltweit und viertgrößter Anbieter von SSL-Zertifikaten, Opfer eines Social-Engineering-Angriffs. Angreifer täuschten mehrere GoDaddy-Mitarbeiter und brachten sie dazu, Passwörter und Zugangsdaten preiszugeben. Mit dem daraus resultierenden Zugang zu internen Systemen konnten DNS-Einträge geändert werden, sodass Webtraffic von angegriffenen Firmen (darunter Liquid und Nicehash, beides Kryptowährungs-Dienste) an die Kriminellen umgeleitet wurde. Über abgefangene E-Mail-Adressen versuchten die Angreifer anschließend, die “Passwort vergessen”-Funktion auf Diensten wie Slack und GitHub auszunutzen.

---

Erkennungsmerkmale für Mitarbeiter

Folgende Signale sollten immer zur Vorsicht mahnen – die STOP-LOOK-ASK-Methode:

STOP – Denke nach, bevor du klickst oder antwortest.

LOOK – Überprüfe den Absender, den Link, die URL. Konkrete Red Flags:

• Unbekannter Absender mit dringender Anfrage
• Anfrage nach Zugangsdaten per Telefon oder E-Mail
• Umgehung normaler Prozesse (“diesmal ausnahmsweise…”)
• Zeitdruck ohne nachvollziehbaren Grund
• Bitte um Vertraulichkeit – verhindert Rückfragen beim Vorgesetzten
• Ungewöhnliche Bitte vom Vorgesetzten (immer separat verifizieren)
• Zu gute Angebote oder unerwartete Geschenke (Baiting-Muster)
• Caller-ID stimmt mit offizieller Nummer überein – trotzdem kein Beweis!
• Schlechte Grammatik oder ungewöhnliche Formulierungen (zunehmend KI-optimiert und schwerer erkennbar)

ASK – Im Zweifel: Kollegen, IT oder direkt beim angeblichen Absender über einen bekannten Kanal nachfragen.

Besonders wichtig: IT-Support wird niemals das Passwort eines Mitarbeiters verlangen. Keine legitime Anfrage aus dem eigenen Unternehmen erfordert die Weitergabe von Zugangsdaten per Telefon oder E-Mail.

---

Technische Gegenmaßnahmen

E-Mail-Sicherheit (DMARC/DKIM/SPF)

Standard	Funktion
SPF	Welche Server dürfen E-Mails für unsere Domain senden?
DKIM	Digitale Signatur der E-Mail
DMARC	Richtlinie wenn SPF/DKIM fehlschlägt → Reject verhindert Domain-Spoofing

DMARC auf Reject-Policy zu setzen macht es unmöglich, E-Mails mit der echten Unternehmens-Domain zu fälschen. Dies ist die wichtigste einzelne technische Maßnahme gegen CEO Fraud.

Ergänzend: Advanced Email Filtering (z. B. Microsoft Defender for Office 365) mit Safe Attachments, Safe Links, Anti-Phishing, Spoof Intelligence und “Erster Kontakt”-Bannern für neue externe Absender.

Phishing-resistente MFA

Standard-MFA schützt gegen gestohlene Passwörter, aber nicht gegen Adversary-in-the-Middle-Angriffe (AiTM-Phishing mit Tools wie Evilginx2). Diese Angriffe sitzen als Proxy zwischen User und echter Seite und stehlen den Session-Cookie direkt nach dem MFA-Login.

Schutz: Phishing-resistente MFA wie FIDO2/Passkeys oder Certificate-Based Authentication. Passkeys sind kryptografisch an die echte Domain gebunden – eine Fake-Seite erhält niemals ein gültiges Credential.

USB-Ports sperren

Computer Config → Windows Settings → Security Settings → Device Installation Restrictions

USB-Ports per Group Policy sperren oder nur zugelassene Geräte (Device-ID-Allowlist) erlauben. Endpoint-Protection sollte USB-Verbindungen monitoren und protokollieren.

Zero Trust und Conditional Access

Kein Vertrauen allein aufgrund eines korrekten Passworts: Device-Compliance, User-Risk-Score und Location-Signal fließen in den Zugriffsentscheid ein.

Physische Sicherheit gegen Tailgating

• Mantrap/Airlock: Zugang nur mit zweimaliger Authentifizierung
• Visitor-Management: Besucher werden stets begleitet, niemals unbeaufsichtigt gelassen
• Schulung des Sicherheitspersonals: Jede Person ohne sichtbaren Ausweis aktiv ansprechen – kein “Unhöflichkeits-Bias”

---

Security Awareness Training: Was wirklich wirkt

Was nicht funktioniert

• Jährliche PowerPoint-Präsentation “Vorsicht vor Phishing”
• Theorie ohne praktische Übung
• Bestrafung bei Klick auf simulierte Phishing-Mail – das erzeugt Angst statt Lerneffekt
• Zu komplexe Erkennungsregeln (“Prüfe immer alle E-Mail-Header”)
• Schulungen, die selten wiederholt werden – das Bewusstsein verblasst schnell

Was funktioniert

1. Simulierte Angriffe (Phishing + Vishing + Tailgating)

Monatliche Phishing-Simulationen, quartalsweise Vishing-Tests, Tailgating-Tests mit einem Awareness-Trainer. Messbare Kennzahlen: Klick-Rate und Credential-Eingabe-Rate.

Typische Entwicklung der Phishing-Klickrate:

Zeitpunkt	Klickrate
Startzustand (ohne Training)	20–35 %
Nach 6 Monaten Training	8–12 %
Ziel	< 5 %
Report-Rate (Ziel)	> 70 % der Phishing-Versuche gemeldet

Branche-Benchmark 2024 (Vergleich): ca. 11 % Phishing-Klickrate ohne regelmäßiges Training.

2. Sofortige Lernerfahrung

Wer auf eine Simulation hereinfällt, erhält unmittelbar – nicht beim nächsten Schulungstermin – ein kurzes Lernmodul (3–5 Minuten), das relevant und nicht beschämend gestaltet ist.

3. Storytelling statt Regelkataloge

Verbotslisten wirken autoritär und werden ignoriert. Real-Case-Stories (“Bei diesem Unternehmen passierte…”) ermöglichen Identifikation und bleiben im Gedächtnis. Live-Hacking-Shows, bei denen Teilnehmer live sehen, wie ein Social-Engineering-Angriff abläuft und wie ein Referent innerhalb von Minuten sensible Informationen “erhackt”, sind besonders einprägsam.

4. Positive Meldungskultur

Wer Phishing meldet, wird gelobt – nicht getadelt. Incident Reporting muss einfach sein (ein Klick), und es sollte Anreize für richtige Verdachtsmeldungen geben.

5. Regelmäßigkeit

Schulungen funktionieren hauptsächlich dann langfristig, wenn sie regelmäßig wiederholt werden. Nach kurzer Zeit verblasst das Bewusstsein – und die Angriffsmethoden werden kontinuierlich moderner.

Prozesse als Schutz

Callback-Verfahren gegen Vishing:

• Niemals Zugangsdaten am Telefon herausgeben
• Immer über die offizielle Hotline (nicht die Nummer aus dem Anruf!) zurückrufen
• IT-Abteilung benötigt NIE das Passwort eines Mitarbeiters

Vier-Augen-Prinzip gegen BEC:

• Überweisungen ab einem definierten Betrag: immer zwei Freigaben
• Kontoänderung bei Lieferanten: telefonische Bestätigung über eine bekannte Nummer
• Dringende, geheime Überweisung vom CEO: immer Rückruf beim CEO über eine bekannte Nummer

MFA-Hygiene:

• MFA-Faktoren dürfen niemals per Anfrage zurückgesetzt werden
• Session-Cookies dürfen niemals weitergegeben werden
• Neue MFA-Gerät-Registrierungen bei verdächtiger Aktivität sofort prüfen

---

Incident Response: Was tun wenn es passiert ist?

Wenn ein Mitarbeiter auf eine Phishing-Mail geklickt oder Daten eingegeben hat

Sofort (innerhalb von 5 Minuten):

1. IT-Sicherheit informieren (Hotline, Slack-Kanal oder E-Mail)
2. System NICHT weiternutzen (offline nehmen, wenn möglich)
3. Passwörter auf ANDEREN Geräten sofort ändern
4. MFA-Tokens überprüfen: Wurden neue Geräte registriert?

IT-Sicherheit (innerhalb von 30 Minuten):

1. Betroffenes Konto sperren oder MFA erzwingen
2. Session-Tokens ungültig machen
3. Sign-In-Logs prüfen (Risikoereignisse im IdP)
4. E-Mail-Weiterleitungsregeln prüfen – Angreifer leiten häufig E-Mails still weiter
5. OAuth-App-Berechtigungen prüfen – neuer “Zugriff auf Kalender”?

Analyse:

1. Welche Phishing-Mail ist angekommen?
2. War DMARC aktiv? Warum kam sie dennoch durch?
3. Wurden weitere Mitarbeiter ähnlich kontaktiert?
4. Handelt es sich um einen gezielten oder einen Massen-Angriff?

---

Häufig gestellte Fragen (FAQ)

Was ist der Unterschied zwischen Phishing und Vishing? Phishing läuft per E-Mail ab, Vishing per Telefonanruf. Beide Techniken nutzen dieselben psychologischen Hebel – sie unterscheiden sich nur im Kanal. Bei Vishing ist Caller-ID-Spoofing ein zusätzlicher Faktor: Die angezeigte Rufnummer kann vollständig gefälscht sein.

Was ist Spear Phishing? Spear Phishing ist eine hochpersonalisierte Form des Phishings, bei der Angreifer vorab umfangreiche Recherchen über das Ziel anstellen (Name, Abteilung, Vorgesetzte, aktuelle Projekte). Der Angriff ist auf eine bestimmte Person zugeschnitten und daher deutlich schwerer zu erkennen als generische Phishing-E-Mails.

Was ist Pretexting? Pretexting bezeichnet den gezielten Aufbau einer falschen Identität oder Geschichte über einen längeren Zeitraum, um das Vertrauen des Opfers zu gewinnen. Ein Angreifer kann beispielsweise wochen- oder monatelang ein gefälschtes LinkedIn-Profil pflegen, bevor er den eigentlichen Angriff startet.

Warum schützt MFA nicht vollständig gegen Phishing? Standard-MFA schützt gegen gestohlene Passwörter, aber nicht gegen Adversary-in-the-Middle-Angriffe: Dabei sitzt ein Proxy zwischen Nutzer und echter Webseite und stiehlt den Session-Cookie direkt nach dem erfolgreichen MFA-Login. Phishing-resistente MFA (FIDO2/Passkeys) schließt diese Lücke, da das Credential kryptografisch an die echte Domain gebunden ist.

Wie hoch ist das Risiko für unser Unternehmen? Laut Barracuda-Studie (2021) wird jede Organisation durchschnittlich mit über 700 Social-Engineering-Angriffen pro Jahr konfrontiert – unabhängig von Größe oder Branche. Entgegen der Annahme sind nicht CEO und CFO die häufigsten Ziele bei allgemeinen Social-Engineering-Angriffen, sondern Mitarbeiter im Vertrieb und in der Kommunikation, die regelmäßig mit Externen interagieren.

Was kostet ein erfolgreicher BEC-Angriff? Der durchschnittliche Schaden eines Business-Email-Compromise-Vorfalls lag laut FBI IC3 2024 bei ca. 135.000 USD. Im größten bekannten Fall (Facebook/Google, 2013–2015) wurden 121 Millionen USD überwiesen.

Wie oft sollten Phishing-Simulationen durchgeführt werden? Mindestens monatlich. Bei selteneren Abständen verblasst der Trainingseffekt. Ergänzend sollten quartalsweise Vishing-Tests und mindestens jährlich physische Tests (Tailgating) durchgeführt werden.

---

Fazit

Social Engineering ist der Angriff, den Technologie allein nicht verhindern kann. Keine Firewall, kein Virenschutz und keine MFA schützt vollständig, wenn ein Mitarbeiter dem Angreifer freiwillig seine Zugangsdaten gibt. Die Lösung liegt in einer Kombination aus:

1. Technischen Kontrollen: DMARC auf Reject, phishing-resistente MFA (FIDO2/Passkeys), USB-Port-Sperrung, Conditional Access
2. Klaren Prozessen: Vier-Augen-Prinzip bei Überweisungen, Callback-Verfahren bei Vishing, Visitor-Management
3. Regelmäßigem Training: Phishing-Simulationen, Vishing-Tests, Tailgating-Tests, sofortige Lernerfahrung nach Klick, positive Meldungskultur

AWARE7 führt realistische Phishing-Simulationen durch und entwickelt zielgruppenspezifische Awareness-Programme für mittelständische Unternehmen – mit messbaren Kennzahlen und kontinuierlicher Verbesserung der Erkennungsrate.

Phishing-Simulation anfragen | Security Awareness Training

Weiterführend: Phishing erkennen – der praktische Leitfaden | Phishing-Methoden im Überblick