Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Angriffstechniken Glossar

Social Engineering - Die Psychologie des Angriffs

Manipulation von Menschen statt Systemen durch psychologische Prinzipien wie Autorität, Dringlichkeit und Reziprozität. Werkzeuge: Phishing (E-Mail), Vishing (Telefon), Smishing (SMS), Pretexting, Baiting. Im Gegensatz zum Insider Threat kommt der Angreifer von außen und nutzt Täuschung, um Zugang zu erlangen. 91% aller Cyberangriffe starten mit Social Engineering.

Social Engineering ist die gefährlichste Angriffstechnik in der Praxis - weil sie den schwierigsten Teil eines Angriffs umgeht: die technische Sicherheit. Menschen sind verwundbarer als Firewalls.

Psychologische Angriffsprinzipien

6 Cialdini-Prinzipien als Waffen:

1. Autorität

  • “Ich bin der CEO, ich brauche das JETZT”
  • IT-Support-Impersonation: “Microsoft Security Team”
  • Behörden-Impersonation: “Finanzamt, dringende Steuerprüfung”
  • Schutz: Identität immer verifizieren (Rückruf auf bekannte Nummer!)

2. Dringlichkeit / Zeitdruck

  • “Das Konto wird in 2 Stunden gesperrt!”
  • “Überweisen Sie JETZT - Chef sitzt im Meeting”
  • Ziel: Kritisches Denken ausschalten
  • Schutz: Innehalten + Standard-Prozesse einhalten

3. Knappheit

  • “Nur Sie können das Problem noch lösen”
  • “Das Angebot läuft in 10 Minuten ab”
  • Emotional: Angst etwas zu verpassen (FOMO)

4. Reziprozität

  • “Ich habe Ihnen geholfen, jetzt brauche ich Ihren Zugangscode”
  • Gefallen erwidern ist menschlich - und wird ausgenutzt!

5. Social Proof

  • “Alle anderen in Ihrer Abteilung haben schon zugestimmt”
  • “Ihr Kollege Max hat mir die Zugangsdaten bereits gegeben”
  • Validierung durch andere = psychologischer Sicherheitsanker

6. Sympathie / Liking

  • Angreifer baut vorher Vertrauen auf (LinkedIn Research)
  • Gleiche Hobbies, gleiche Schule, gemeinsame Kollegen
  • Je sympathischer = desto weniger kritisch

Social Engineering Angriffstypen

PHISHING (E-Mail)

  • Massen-Phishing: breit gestreut, generische Köder
  • Spear-Phishing: zielgerichtet, personalisiert (gefährlicher!)
  • Whaling: CEO/CFO als Ziel (höhere Berechtigungen!)

Erkennungsmerkmale:

  • Absender-Domain: support@m1crosoft.com (kein o, sondern 1)
  • Hover-Link: zeigt andere URL als angezeigter Text
  • Zeitdruck: “Sofort handeln!”, “Konto gesperrt”
  • Anhang: .exe, .js, .iso, verschlüsselte ZIPs

VISHING (Voice/Phone)

  • IT-Support-Betrug: “Ich bin von Microsoft, Ihr PC ist infiziert”
  • CEO-Fraud: Impersonation des Geschäftsführers per Anruf
  • Deepfake-Vishing (2024): KI-generierte Stimme des CEOs - Beispiel: 243.000 USD überwiesen nach KI-Anruf (Hong Kong 2024)
  • Call-Center-Betrug: Bankanruf, “Sicherheitsabteilung”

SMISHING (SMS)

  • DHL/Amazon Paketzustellung: “Bitte Zollgebühr bezahlen”
  • Bank-SMS: “Ihre Karte wurde gesperrt” + Fake-Link
  • OTP-Hijacking: “Bitte den Code, den wir Ihnen geschickt haben, bestätigen”

PRETEXTING

  • Aufbau einer erfundenen Identität/Geschichte
  • Beispiel: Angreifer gibt sich als IT-Auditor aus
    • Terminiert Termin per E-Mail (gefälschte Domain)
    • Erscheint im Büro: “Ich muss Ihre Workstation überprüfen”
    • Ladet Tool (Keylogger) auf PC → hat Vollzugriff
  • Langsamer Aufbau: Wochen oder Monate vor Angriff

BAITING

  • USB-Stick auf dem Firmenparkplatz: “GEHAELTER_2026.xlsx”
  • 60% der Menschen stecken gefundene USB-Sticks ein (IBM-Studie)
  • Köder: kostenlose Software, gecrackte Games (voller Malware)
  • Gegenmassnahme: USB-Ports deaktivieren (GPO/BIOS)

TAILGATING / PIGGYBACKING

  • Unberechtigter Zutritt durch Hinterherfolgen
  • Klassisch: Haende voll mit Kaffeebecher → jemand haelt die Tuer
  • Schutz: Mantraportierung, Sicherheitsschleusen, Awareness

Business Email Compromise (BEC) / CEO-Fraud

Gefährlichster Social Engineering Angriff.

Ablauf CEO-Fraud

Vorbereitung (Wochen):

  1. OSINT: LinkedIn → CEO-Name, Reiseplaene (Konferenzen!)
  2. Domain-Registrierung: c-eo@deutschebank-noreply.de (ähnlich)
  3. Ziel: CFO oder Buchhaltung identifizieren

Angriff: 4. E-Mail von “CEO”: “Ich bin auf Konferenz, kann nicht erreichbar sein” 5. “Wir haben eine dringende Akquisition - 250.000 EUR überweisen” 6. “Nicht mit anderen sprechen - NDA! Diskretion ist essenziell” 7. “Buchhalter bestätigt: Konto: DE89370400440532013000 - jetzt!”

Eskalation bei Nachfragen:

  • “Glauben Sie mir nicht? Dann bin ich enttaeuscht von Ihnen”
  • Autorität + Schuld-Induktion kombiniert

Schaden weltweit:

  • FBI IC3 2024: 2,9 Mrd. USD Schaden durch BEC
  • DACH: Fälle von 10.000 EUR bis 10 Mio. EUR bekannt

Schutz:

  • Vier-Augen-Prinzip ab 5.000 EUR (Richtlinie!)
  • Telefonische Rueckbestaetigung auf BEKANNTE Nummer
  • Kein Rueckruf auf Nummer aus der E-Mail!
  • Transaktionslimit für Erstüberweisungen auf neue Konten
  • DMARC/DKIM/SPF: Spoofing eigener Domain verhindern

Red Team Social Engineering Tests

Was AWARE7 bei SE-Tests prüft:

Phishing-Simulation (E-Mail)

  • Branche-spezifische Köder (Steuerrueckerstattung, HR, IT-Support)
  • Click-Rate messen (Ziel: < 5%)
  • Credential Harvesting Test (Ziel: 0 Credentials eingegeben!)
  • Reporting-Rate (Ziel: > 60% gemeldete Mails)

Vishing-Test (Telefon)

  • Anruf als “IT-Support”: Bitte Benutzername + Einmascode nennen
  • Anruf als “Dienstleister”: “Ich brauche WLAN-Passwort”
  • Messung: Wer gibt Informationen heraus?

Physical Pentest (On-Site)

  • Tailgating-Test: Kommt Tester ins Büro?
  • USB-Drop: Stecken Mitarbeiter gefundene USB-Sticks ein?
  • Dumpster Diving: Interne Informationen im Muell?
  • “Vergessenes” Laptop im Foyer: Wird es abgegeben?

OSINT-Assessment

  • Welche Informationen sind öffentlich über das Unternehmen?
  • LinkedIn: Mitarbeiter, Abteilungsstruktur, Tools (tech stack)
  • XING: deutsche Unternehmen oft sehr transparent
  • Job-Ausschreibungen: verraeten eingesetzte Technologien
  • Shodan/Censys: exponierte Systeme = Gespraechsstoff für SE

Awareness-Programm gegen Social Engineering

Prozessuale Kontrollen (wichtiger als Training!)

  • Vier-Augen-Prinzip: alle Zahlungen ab X EUR
  • Call-Back-Policy: Identität immer verifizieren (eigene Telefonbucheintrag!)
  • Eskalationspfad: “Ich bin mir unsicher” → wen fragen?
  • Need-to-Know: sensible Infos nur an Berechtigte
  • USB-Policy: private Geräte verboten (technisch erzwingen)
  • Clean Desk Policy: keine Passwörter auf Post-its

Security Awareness Training

  • Nicht einmalig, sondern kontinuierlich (jährlich = zu selten)
  • Gamification: Phishing-Simulation mit sofortigem Feedback
  • Positive Verstärkung: Meldungen belohnen (nie bestrafen!)
  • Echte Beispiele: Branchen-relevante Vorfälle zeigen

Technische Kontrollen

  • DMARC/DKIM/SPF gegen Spoofing der eigenen Domain
  • Email-Banner für externe E-Mails: [EXTERN] in Betreff
  • MFA: auch wenn Credentials kompromittiert → kein Zugang
  • Anti-Phishing-Lösungen: URL-Rewriting, Sandboxing

Meldungskultur

  • “Blame-free reporting”: niemand wird beschaemt
  • Einfacher Meldeweg: 1 Klick in Outlook (Phish Alert Button)
  • Bestätigungsmail: “Danke für Ihren Hinweis - wir prüfen”
  • Kennzahl: Reporting-Rate ist wichtigster KPI (hoher = besser)

AWARE7 Leistungen zum Thema

Phishing-Simulation Schulungen

Ausführlicher Wiki-Artikel

Identity & Access Management (IAM): Identitäten sicher verwalten

12 min Lesezeit

Security Operations Center (SOC) und SIEM: Cybersecurity 24/7 überwachen

13 min Lesezeit

Social Engineering: Psychologische Manipulationstaktiken in der IT-Sicherheit

11 min Lesezeit

Verwandte Begriffe

Insider Threat Phishing Phishing-Simulation - Mitarbeiter realistisch testen und schulen Threat Intelligence - Angreifer verstehen, bevor sie zuschlagen
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung