Social Engineering

Auch bekannt als: Menschliche Manipulation, Human Hacking

Social Engineering bezeichnet Angriffe, die nicht technische Schwachstellen, sondern menschliches Verhalten ausnutzen: Vertrauen, Hilfsbereitschaft, Autoritätshörigkeit oder Zeitdruck. Die meisten erfolgreichen Cyberangriffe beginnen mit Social Engineering.

Welche Formen von Social Engineering gibt es?

Das Spektrum reicht von der Massen-Phishing-Mail bis zum monatelang vorbereiteten Einzelangriff: Phishing und seine Varianten (Spear-Phishing, Quishing, Vishing) erschleichen Zugangsdaten, Pretexting arbeitet mit erfundenen Geschichten („Ich bin der neue IT-Dienstleister, ich brauche kurz Ihr Passwort”), Baiting lockt mit Ködern wie präparierten USB-Sticks, und CEO-Fraud kombiniert Autorität mit Zeitdruck. Die modernste Eskalationsstufe sind Deepfakes - KI-geklonte Stimmen und Videos, die den Identitätsbeweis „vertraute Stimme” aushebeln.

Allen Varianten gemeinsam ist der Ablauf: Informationen sammeln (Website, LinkedIn, Social Media), Vertrauen oder Druck aufbauen, Handlung auslösen - Überweisung, Datenfreigabe, Passworteingabe.

Warum funktioniert Social Engineering so zuverlässig?

Weil es keine Software-Schwachstelle braucht, sondern normale menschliche Eigenschaften ausnutzt: Wir helfen gern, respektieren Autorität, vermeiden Konflikte und entscheiden unter Zeitdruck schlechter. Technische Schutzschichten - Firewall, Virenscanner, Mail-Filter - sind wirkungslos, wenn ein Mitarbeiter freiwillig Zugangsdaten eingibt oder eine Zahlung freigibt.

Wie schützen sich Unternehmen?

Mit einer Kombination aus Prozessen und Kultur: verbindliche Verifizierungsregeln für sensible Vorgänge, Vier-Augen-Prinzip bei Zahlungen, kontinuierliche Awareness-Schulungen mit realistischen Simulationen - und einer Fehlerkultur, in der Rückfragen erwünscht sind und niemand bestraft wird, der einen Verdacht meldet. Der Mensch ist nicht das schwächste Glied, sondern die letzte Verteidigungslinie; er muss nur dafür ausgerüstet werden.

Fragen zu Social Engineering in Ihrem Unternehmen?

Ich unterstütze kleine und mittlere Unternehmen pragmatisch bei IT-Consulting, Administration und Security – herstellerneutral und ohne Vertriebsdruck.

Zuletzt aktualisiert: 4. Juli 2026