• Social Engineering:
    so erkennen und verhindern Sie gezielte Manipulation

Cyberkriminelle setzen gezielte Manipulation ein, um Vertrauen zu erschleichen und Menschen dazu zu bringen, sensible Daten preiszugeben oder unwissentlich in ihrem Interesse zu handeln. Ausgewählte Zielpersonen sollen etwa sensible Informationen preisgeben, Geldsummen auf betrügerische Konten transferieren oder das Eindringen in technische Systeme oder Gebäude ermöglichen. Mit täuschend echten Vorwänden und falschen Identitäten nutzen sie Schwachstellen im Alltag aus.

Auf dieser Seite erfahren Sie, wie Social Engineering funktioniert, wie Sie die gängigen Anzeichen besser erkennen können und wie Sie typische Fehler vermeiden. 

Das Wichtigste in Kürze:

Männerhand schlägt auf einem Schachbrett mit dem schwarzen Turm die weiße Dame

Schützen Sie Vertrauliche Informationen und teilen Sie nie persönliche oder berufliche Details, Projekte, Kontakte oder vertrauliche Informationen auf sozialen Plattformen

Mehrere Personen sitzen nebeneinander auf einer Bank und halten jeweils ein Smartphone in der Hand, auf das sie blicken

Geben Sie keine sensiblen Informationen wie persönliche Daten, Passwörter oder Kontaktdetails anderer Personen an unbekannten Kontakte weiter. Nehmen Sie sich immer die Zeit, über Anfragen und ihre Rechtmäßigkeit nachzudenken. Banken und seriöse Firmen fordern ihre Kunden nie per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf.

Frau sitzt am Schreibtisch mit Laptop und Schreibzeug und hält ihr Smartphone in der Hand, auf das sie mit nachdenklichem Blick und Hand an der Schläfe blickt

Nehmen Sie Ihr Bauchgefühl ernst und hinterfragen Sie ungewöhnliche Anfragen. Melden Sie verdächtige Vorfälle direkt - im beruflichen Umfeld an die IT-Abteilung oder Security-Ansprechpartner, privat an die Polizei oder offizielle Meldestellen wie die Verbraucherzentrale.

So funktioniert Social Engineering

Social Engineering basiert auf psychologischer Manipulation, um Vertrauen aufzubauen und gezielt sensible Informationen zu erlangen oder Handlungen auszulösen. Phishing, Pretexting und Baiting sind klassische Techniken, um Zielpersonen zu täuschen und das betrügerische Vorhaben in die Tat umzusetzen. Die Cyberkriminellen analysieren im Vorfeld ihre Kontaktpersonen und deren Umfeld gründlich, um Schwachstellen auszunutzen und ihre Angriffe erfolgreich zu gestalten.

Diese Techniken werden häufig im Rahmen von Social Engineering verwendet:

This icon describes a globe.

Phishing

Phishing ist eine weit verbreitete Methode, bei der Angreifer z.B. gefälschte E-Mails, SMS oder Webseiten nutzen, um sensible Informationen wie Passwörter, Kreditkartendaten oder andere persönliche Informationen zu stehlen. Sie geben sich dabei oft als vertrauenswürdige Institutionen aus.

This icon describes a globe.

Pretexting

Beim Pretexting erfinden Angreifer eine glaubwürdige Geschichte und Identität, um das Vertrauen des Opfers zu gewinnen und gezielt an sensible Informationen zu gelangen die das Opfer freiwillig preisgibt. Zum Beispiel geben sie sich am Telefon als Bankmitarbeiter, Paketdienst oder Techniksupport o.ä. aus und erfragen Daten oder fordern Zugriffe für einen anscheinend legitimen Zweck

This icon describes a globe.

Baiting

Baiting nutzt die menschliche Neugier aus: Angreifer locken ihre Opfer mit einem Anreiz, wie etwa einem kostenlosen Download oder einer vermeintlich attraktiven Datei. Oft sind diese Köder mit Schadsoftware versehen, die das System infiziert. Im Vergleich zu Phishing gibt es bei Baiting einen konkreten „Köder“.

This icon describes a globe.

Tailgating (oder Piggybacking)

Bei dieser Methode verschaffen sich Angreifer physischen Zugang zu geschützten Bereichen, indem sie sich unbemerkt hinter einer autorisierten Person in ein Gebäude einschleusen.

This icon describes a globe.

Vishing (Voice + Phishing)

Vishing ist die telefonische Variante des Phishings, bei der Angreifer versuchen, über Anrufe sensible Informationen zu erlangen, indem sie sich als vertrauenswürdige Personen oder Organisationen ausgeben.

This icon describes a globe.

Quid Pro Quo

In diesem Szenario bieten Angreifer scheinbar eine Gegenleistung an, wie technische Unterstützung oder ein Gewinnspiel, und nutzen das Vertrauen der Opfer aus, um Zugang zu Informationen oder Systemen zu erhalten.

Diese Methoden verdeutlichen, wie vielseitig und kreativ Social Engineers vorgehen, um ihre Ziele zu erreichen. Achtsamkeit und gesunde Skepsis sind entscheidend, um sich davor zu schützen.

StayInformed

Wie nutzen Social Engineers Künstliche Intelligenz?

  • Mittels Voice Cloning sprechen sie in Sprachnachrichten, Telefonaten und Videokonferenzen mit der Stimme einer bekannten Person.
  • Mithilfe von Textgeneratoren erstellen sie betrügerische Texte für Phishing-Nachrichten.
  • Zur Vorbereitung von Cyberangriffen mithilfe von Social Engineering werten sie KI-basiert Informationen über ein Zielunternehmen und deren Mitarbeitende aus.

Wie kann man sich aktiv gegen Social Engineering schützen?

Achten Sie auf typische Warnsignale, die auf Social Engineering hindeuten können. Seien Sie misstrauisch bei unaufgeforderten Kontaktaufnahmen, insbesondere wenn sie mit einem Gefühl von Dringlichkeit verbunden sind. Hinterfragen Sie ungewöhnliche Bitten um vertrauliche Informationen oder Zugriffsrechte und prüfen Sie Absenderadressen sowie Telefonnummern genau. Überlegen Sie immer, ob die Anfrage zu Ihrem beruflichen oder privaten Kontext passt. Mit gesundem Misstrauen und einem kritischen Blick können Sie Social Engineering frühzeitig entlarven und sich vor potenziellen Angriffen schützen.

  • Bleiben Sie wachsam: Hinterfragen Sie ungewöhnliche Bitten, unerwartete Anrufe oder E-Mails kritisch – vor allem, wenn diese vertrauliche Informationen betreffen.
  • Verdacht melden: Informieren Sie umgehend Ihren E-Mail-Provider, das imitierte Unternehmen, oder Ihre IT- oder Sicherheitsabteilung, wenn Ihnen ein möglicher Social-Engineering-Angriff auffällt.
  • Sicher kommunizieren: Senden Sie sensible Daten nur über sichere Wege – zum Beispiel per verschlüsselter E-Mail. Achten Sie darauf, dass E-Mails mit einem digitalen Zertifikat unterschrieben sind – das zeigt, dass sie echt sind. Wenn Sie Daten über eine Webseite verschicken, achten Sie auf das Schloss-Symbol in der Adresszeile. Es zeigt, dass die Verbindung geschützt ist. Prüfen Sie immer, ob die Person, die etwas von Ihnen will, wirklich die ist, die sie vorgibt zu sein.
  • Schulungen nutzen: Halten Sie sich über aktuelle Betrugsmaschen und Sicherheitsrisiken auf dem Laufenden – z. B. über vertrauenswürdige Medien, Fachportale oder offizielle Stellen. Im Unternehmensumfeld bieten häufig interne Schulungen und Wissensdatenbanken zusätzlich wertvolle Informationen

StayInformed

Um Zielpersonen zu manipulieren, nutzen Cyberkriminelle u.a. diese psychologischen Strategien:

  • Autorität: Sie geben sich als staatliche oder andere vertrauenswürdige Stelle oder Vorgesetzte aus und fordern prompte Reaktion.
  • Ähnlichkeit: Sie bauen über angebliche Gemeinsamkeiten eine Brücke.
  • Gegenseitigkeit: Sie starten mit einem persönlichen Austausch, der sympathisch wirkt.
  • Knappheit: Sie locken mit einem Ereignis oder einem Gut, das angeblich nur zeitnah verfügbar sei.
  • Konsistenz: Der Vorwand wirkt schlüssig und nachvollziehbar.
  • Konsens: Die Zielperson wird überzeugt, dass das geforderte Verhalten normal und sicher ist.

Typische Beispiele für Social Engineering-Attacken

Frauenhand mit Smartphone in der Hand in der Frontalperspektive

Phishing: Unerwartete Kontaktanfragen

Angreifer geben sich z.B. auf Social Media Plattformen als Bekannte, Mitarbeitende, Headhunter, Influencer oder Unternehmen aus. Nach dem Aufbau eines scheinbar harmlosen Kontakts und erstem Vertrauensaufbau versenden sie betrügerische Nachrichten mit Links – z.B. zu gefälschten Login-Seiten oder Gewinnspielen.

Baiting: Gefundener USB-Stick im Treppenhaus

Ein USB-Stick liegt scheinbar vergessen in einem gemeinsam genutzten Eingangsbereich oder auf dem Parkplatz. Wer ihn aus Neugier in den eigenen Rechner steckt, installiert z.B. unbemerkt Schadsoftware, die Daten abgreift oder den Computer sperrt.

Hand steckt einen USB-Stick seitlich in einen Laptop

Konsequenzen von Social Engineering: warum Prävention entscheidend ist

Ein erfolgreicher Social-Engineering-Angriff kann sowohl im privaten als auch beruflichen Umfeld schwerwiegende Folgen haben:

Im privaten Umfeld:

  • Identitätsdiebstahl: Persönliche Daten wie Name, Adresse oder Geburtsdatum können missbraucht werden, z. B. für Vertragsabschlüsse oder Kontoeröffnungen.
  • Finanzielle Verluste: Betrüger können durch Phishing oder gefälschte Zahlungsaufforderungen direkten Zugriff auf Konten oder Zahlungsdienste erlangen.
  • Missbrauch persönlicher Fotos oder Inhalte: Private Informationen können veröffentlicht, manipuliert oder für Erpressung genutzt werden.
  • Zugriff auf Online-Konten: Angreifer verschaffen sich Zugang zu E-Mail-Postfächern, Social-Media-Konten oder Cloud-Diensten und übernehmen digitale Identitäten.
  • Verlust von Vertrauen: Betroffene fühlen sich verletzt oder bloßgestellt, insbesondere wenn persönliche Kontakte betroffen sind.
  • Hoher Aufwand zur Wiederherstellung: Die Wiederherstellung von Konten, Daten oder Ruf kann langwierig und belastend sein.

Im beruflichen Umfeld:

  • Finanzielle Schäden: Angriffe können hohe Kosten durch Betrug, Datenmissbrauch oder Ausfallzeiten verursachen.
  • Reputationsverlust: Ein Sicherheitsvorfall kann das Vertrauen von Kunden und Partnern nachhaltig schädigen.
  • Gefährdung sensibler Geschäftsgeheimnisse: Unternehmensinterne Informationen könnten missbraucht werden.
  • Persönliche Betroffenheit: Private Daten könnten für Identitätsdiebstahl oder Betrug genutzt werden.
  • Erhöhter Aufwand für Schadensbegrenzung: Angriffe erfordern umfangreiche Gegenmaßnahmen und erhöhen die Belastung für IT- und Sicherheitsteams.

FAQ: häufige Fragen zu Social Engineering

Zeige Inhalt von Was soll ich tun, wenn ich Opfer eines Social Engineering-Angriffs geworden bin?

Ändern Sie sofort alle betroffenen Passwörter, informieren Sie betroffene Institutionen wie z.B. ihre Bank oder ihren Arbeitgeber und überwachen Sie Ihre Konten auf unbefugte Aktivitäten.

Zeige Inhalt von Betrifft der Social Engineering Angriff ihr berufliches Umfeld?

Informieren sie zusätzlich ihre IT-Abteilung und ihren Vorgesetzten, um den Vorfall zu schildern.

Zeige Inhalt von Was ist Social Hacking?

Sich einem Menschen in öffentlicher Umgebung zu nähern, um ihn beim Eingeben eines Passworts zu beobachten oder zu filmen.