Was ist Social Engineering?
Social Engineering bezeichnet den systematischen Einsatz psychologischer Manipulation, um Menschen zu Handlungen zu bewegen, die sie andernfalls nicht ausführen würden — das Preisgeben von Zugangsdaten, das Öffnen einer Tür, das Autorisieren einer Zahlung, das Installieren von Software.
Der Begriff ist bewusst weit: Social Engineering ist kein einzelner Angriffstyp, sondern die Grundlage nahezu aller anderen Bedrohungen in dieser Bibliothek. Phishing manipuliert über E-Mail. CEO-Fraud nutzt Autoritätsgefälle. Vishing funktioniert am Telefon. Was alle gemeinsam haben: Sie setzen auf menschliche Vorhersagbarkeit — auf sechs Prinzipien, die der Sozialpsychologe Robert Cialdini bereits in den 1980er-Jahren beschrieben hat und die in der Angreifer-Community seitdem systematisch eingesetzt werden.
Im Unternehmenskontext spielt Social Engineering besonders bei Initial Access eine Rolle: Der erste Schritt in ein gut gesichertes Netzwerk führt fast immer durch einen Menschen, nicht durch eine technische Lücke.
Auf einen Blick
Technologie schützt nicht davor
Kein Firewall-Regelwerk schützt vor einem Mitarbeitenden, der einem überzeugend klingenden Anrufer ein Passwort nennt. Social Engineering umgeht Technik, indem es Menschen angreift.
Vorhersagbare Muster
Autorität, Knappheit, Reziprozität, Konsistenz, Sympathie, Konsens — wer diese sechs Hebel kennt, kann sie im Alltag erkennen, bevor sie wirken.
Auch physisch möglich
Tailgating, Impersonation (jemanden vortäuschen) und Dumpster Diving sind physische Social-Engineering-Techniken, die im Unternehmensalltag regelmäßig vorkommen.
Woran erkennen Sie Social Engineering?
Unnatürliche Höflichkeit oder Freundlichkeit
Angreifer bauen bewusst Sympathie auf, bevor sie etwas fordern. Auffallend nette Fremde, die sich für Ihre Arbeit interessieren, verdienen Aufmerksamkeit.
Unnötige Eile ("sofort", "jetzt")
Zeitdruck schaltet reflektiertes Denken aus. Wer Sie zu sofortigen Handlungen drängt, ohne Zeit für Rückfragen zu lassen, nutzt das Knappheits-Prinzip.
Berufung auf Vorgesetzte oder Autoritäten
"Das hat der CEO persönlich angeordnet", "Ich bin vom IT-Security-Team" — Autorität erhöht die Bereitschaft, Regeln zu übergehen.
"Kannst du das mal eben für mich erledigen?"
Kleine Gefälligkeiten, die jemanden bitten, Zugangsdaten weiterzugeben oder Systeme freizuschalten — oft eingeleitet durch einen Gefallen, den der Angreifer zuvor geleistet hat (Reziprozität).
Tailgating
Jemand folgt Ihnen durch eine gesicherte Tür, ohne eigenen Ausweis. Höflichkeit (Tür aufhalten) wird als Einstieg in gesicherte Bereiche ausgenutzt.
Ungewöhnlich genaue Kenntnis interner Details
Wenn jemand Projektbezeichnungen, Kollegennamen oder interne Abläufe kennt, die nicht öffentlich sind, kann das Recherche-Ergebnis aus LinkedIn, OSINT oder einem kompromittierten Konto sein.
So schützen Sie sich
Für Mitarbeitende
- Jede ungewöhnliche Anfrage verlangsamen: Bei Unsicherheit: "Ich prüfe das kurz und melde mich zurück." Kein Druck, sofort zu entscheiden.
- Identität über bekannten Kanal verifizieren: Bei Anrufen oder E-Mails, die nach Zugang oder Handlungen fragen — zurückrufen über eine unabhängig bekannte Nummer.
- Keine Türen für Fremde aufhalten, die keinen eigenen Ausweis vorzeigen. Das ist keine Unhöflichkeit, sondern Schutzmaßnahme.
- Interne Details nicht unnötig teilen: Organigramme, Projektbezeichnungen, Kollegennamen sind für Angreifer wertvolles Recherchematerial.
Für Administratoren
- Tabletop-Übungen und Social-Engineering-Simulationen (physisch und digital) regelmäßig durchführen.
- Klare Eskalationspfade kommunizieren: Was tue ich, wenn ich eine verdächtige Anfrage bekomme? Wen rufe ich an?
- Privileged-Access-Management (PAM): Zugangsdaten mit hoher Privilegierung nur für spezifische Aufgaben, automatisch zeitbegrenzt — minimiert den Schaden einer Social-Engineering-Kompromittierung.
- Visitor-Management-System: Physische Besucher immer anmelden, abholen lassen, begleiten. Keine freien Zutritte für "IT-Techniker" ohne Ticket im Helpdesk-System.
- Awareness-Kampagnen zu den sechs Cialdini-Prinzipien: Wenn Mitarbeitende die Muster kennen, können sie sie erkennen.
Echte Beispiele
Ein Angreifer rief in der IT-Abteilung an, gab sich als Dozent aus und berichtete, er sei im Ausland und sein Notebook-Passwort sei abgelaufen. Er kannte den Namen des IT-Leiters und ein laufendes Projekt. Die Helpdesk-Mitarbeiterin setzte das Passwort zurück — ohne Identitätsprüfung. Der Angreifer griff anschließend auf Prüfungsdaten zu.
Ein Angreifer gab sich als externer Wartungstechniker aus und betrat das Firmengebäude mit einem professionell aussehendem Sicherheitsausweis (gefälscht). In einem unbeaufsichtigten Serverraum installierte er einen Hardware-Keylogger an einem Administratoren-PC. Der Keylogger blieb sechs Wochen unentdeckt.
Was tun, wenn es passiert ist?
Die ersten 15 Minuten
- Handlung unterbrechen, wenn möglich — Transaktion stoppen, Zugangsdaten sperren, Tür wieder schließen.
- Alles dokumentieren: Wer hat angerufen, was genau wurde gesagt, welche Informationen wurden weitergegeben?
- IT-Security oder ISB informieren — auch bei Vorfällen, bei denen "vielleicht nichts passiert ist". Der Versuch ist ein Signal.
- Zugangsdaten ändern, wenn diese möglicherweise weitergegeben oder eingesehen wurden.
- Betroffene Systeme überwachen lassen (erhöhtes Log-Niveau), um Folgehandlungen des Angreifers zu erkennen.
- Kollegen informieren: Wenn ein Angreifer eine bestimmte Rolle, ein Projekt oder ein Gebäude ins Visier genommen hat, könnten weitere Mitarbeitende kontaktiert werden.
Häufige Fragen
Kann Social Engineering auch ohne technische Komponente sein?
Ja. Tailgating, Impersonation bei Behörden, das Aufsammeln weggeworfener Dokumente (Dumpster Diving) oder das Ausspähen von Bildschirmen (Shoulder Surfing) sind rein physische Social-Engineering-Techniken.
Warum sind selbst erfahrene Mitarbeitende anfällig?
Weil Cialdinis Prinzipien auf evolutionäre Verhaltensmuster abzielen — nicht auf mangelndes Wissen. Wer unter Zeitdruck, Autoritätsdruck oder sozialem Druck steht, reagiert anders als in einer ruhigen Analyse-Situation.
Was ist OSINT und wie nutzen Angreifer es?
OSINT (Open Source Intelligence) bezeichnet das Sammeln von Informationen aus öffentlichen Quellen: LinkedIn, Xing, Unternehmenswebsites, Handelsregister, Pressemitteilungen, GitHub. Angreifer nutzen es, um überzeugend informiert zu wirken.
Schützen Security-Awareness-Trainings wirklich?
Ja — wenn sie regelmäßig, praxisnah und mit Simulationen durchgeführt werden. Einmalige Jahres-Schulungen haben kaum nachhaltigen Effekt. Kurze, häufige Lerneinheiten und simulierte Angriffe mit Debriefing wirken nachweisbar besser.
Weitere Themen
Social Engineering ist die Basis für Phishing, CEO-Fraud und viele Insider-Threat-Szenarien. Wer die Manipulationstechniken kennt, hat eine deutlich höhere Erkennungsrate bei allen anderen Bedrohungstypen.
Training
Dieses Thema im Training vertiefen
3–5 Minuten pro Modul. Mit Quiz und PDF-Zertifikat.
In Training vertiefen →Weitere Themen