Pretexting
Angriffstechnik bei der ein Angreifer eine erfundene Identität oder Situation (Pretext) erschafft, um das Opfer zur Preisgabe von Informationen oder zur Durchführung von Aktionen zu manipulieren - die verfeinerte Grundlage jedes Social Engineering-Angriffs.
Pretexting ist eine Social-Engineering-Technik bei der ein Angreifer eine glaubwürdige Hintergrundgeschichte (den “Pretext”) konstruiert, um das Vertrauen des Opfers zu gewinnen. Im Gegensatz zu generischen Phishing-E-Mails ist Pretexting immer maßgeschneidert und kontextspezifisch.
Wie Pretexting funktioniert
Ein typischer Pretexting-Angriff durchläuft vier Phasen:
1. Reconnaissance (OSINT) Der Angreifer sammelt Informationen über das Zielunternehmen und die Zielperson: LinkedIn-Profile, Unternehmenswebsite, Pressemitteilungen, Organigramme, Berufsbezeichnungen, Namen von Vorgesetzten und Kollegen, Projektbezeichnungen.
2. Pretext-Entwicklung Auf Basis der Recherche wird eine glaubwürdige Rolle und Situation entwickelt:
- IT-Support-Mitarbeiter (“Ihr Account wurde gesperrt, ich benötige Ihr Passwort zur Entsperrung”)
- Externer Prüfer (“Im Rahmen unseres Compliance-Audits benötige ich Zugriff auf die Finanzberichte”)
- Neuer Kollege (“Ich bin seit Montag in der Buchhaltung, könntest du mir schnell die Lieferantenliste schicken?”)
- Behördenmitarbeiter (“BSI-Incident-Response, wir untersuchen einen Vorfall in Ihrer Infrastruktur”)
3. Aufbau von Rapport Der Angreifer etabliert Glaubwürdigkeit durch Details, die nur “Eingeweihte” kennen würden: Mitarbeiternamen, laufende Projekte, Fachjargon, interne Abkürzungen.
4. Ausführung Mit dem etablierten Vertrauen wird die eigentliche Manipulation durchgeführt: Credentials abfragen, schädlichen Link öffnen lassen, Überweisung anweisen, Zugang gewähren.
Typische Pretexting-Szenarien
CEO/CFO-Fraud (BEC): Der Angreifer gibt sich als Geschäftsführer aus und weist die Buchhaltung per E-Mail an, dringend eine vertrauliche Überweisung durchzuführen. Der Pretext enthält oft: Zeitdruck (“Muss noch heute raus”), Vertraulichkeit (“Sag es noch niemandem”) und Autorität.
IT-Support-Impersonation: “Ihre Zugangsdaten laufen heute ab - ich verbinde Sie direkt mit unserem System.” Typisch bei Helpdesk-Kompromittierungen (Vishing).
Vendor-Fraud: Gefälschte Lieferantenrechnungen mit geänderten Bankdaten. Der Pretext: “Wir haben unsere Bankverbindung gewechselt, bitte aktualisieren Sie Ihre Unterlagen.”
Contractor-Pretexting: “Ich bin vom Facility Management, die Kamera im Serverraum muss getauscht werden.” Physischer Zugang zum Rechenzentrum.
Vishing (Telefon): KI-generierte Stimmen können heute Vorgesetzte überzeugend imitieren. Deep-Fake-Audio in Videokonferenzen ist 2024 reale Bedrohung.
Pretexting in professionellen Penetrationstests
Im Rahmen von Red Team Assessments und physischen Penetrationstests setzen Sicherheitsexperten Pretexting ein, um Zugangskontrollen, Mitarbeitersensibilisierung und Sicherheitsprozesse zu testen. Dies ist legal und vertraglich vereinbart.
Typische Red-Team-Szenarien:
- Fake-IT-Support ruft an und erbittet Passwort-Reset-Bestätigung
- Vortäuschen eines Reinigungsdienstes zum Zugang zum Serverraum
- Fake-Lieferant betritt Büro mit falschen Zugangskarten
Wichtig: Pretexting ohne Genehmigung ist eine Straftat - auch wenn keine Daten entnommen werden. § 263 StGB (Betrug) und § 269 StGB (Fälschung beweiserheblicher Daten) können relevant sein.
Schutzmaßnahmen
Prozessuale Kontrollen:
- Rückruf-Pflicht bei unbekannten Anrufern die Zugangsdaten oder Überweisungen anfordern
- Vier-Augen-Prinzip für Zahlungen über Schwellwert
- Verifizierungsprotokoll: Anfragen über einen zweiten Kanal bestätigen
Technische Maßnahmen:
- DMARC/SPF/DKIM gegen E-Mail-Spoofing (verhindert gefälschte Absenderadressen)
- Anrufernummern-Validierung (Spoofed Caller-ID erkennen)
- Anti-Phishing-Filter für spezifische Pretext-Muster
Training: Security Awareness Training mit konkreten Pretexting-Szenarien. Mitarbeitende müssen lernen: Autorität und Dringlichkeit sind Warnzeichen - nicht Gründe zum schnellen Handeln. Gutes Training etabliert “Nein-sagen als sichere Handlung”.
Pretexting vs. Phishing vs. Social Engineering
| Pretexting | Phishing | Social Engineering | |
|---|---|---|---|
| Scope | Maßgeschneidert | Meist generisch | Oberbegriff |
| Medium | Persönlich, Telefon, E-Mail | E-Mail, SMS | Alle Kanäle |
| Aufwand | Hoch | Niedrig-Mittel | Variabel |
| Wirksamkeit | Sehr hoch | Mittel | Variabel |
| Erkennbarkeit | Schwer | Einfacher | Variabel |
Pretexting ist die Grundlage der meisten gezielten Angriffe (APT). Während generisches Phishing durch technische Filter abgefangen werden kann, ist ein gut konstruierter Pretext schwer automatisiert zu erkennen.
AWARE7 Leistungen zum Thema
Ausführlicher Wiki-Artikel
Active Directory Angriffe
10 Min. Lesezeit
OSINT: Open Source Intelligence in der Cybersecurity
12 min Lesezeit
Phishing und Social Engineering: Angriffsmethoden, Psychologie und Schutzmaßnahmen
16 min Lesezeit
Social Engineering: Psychologische Manipulationstaktiken in der IT-Sicherheit
11 min Lesezeit
