Unternehmen schützen Daten auf ihren IT-Systemen mit technischen Maßnahmen wie Firewalls, Antiviren-Software oder Verschlüsselung. Doch eine der größten Schwachstellen bleibt weiterhin bestehen – der Mensch. Cyberkriminelle setzen zunehmend auf sogenannte Social Engineering Angriffe, bei denen sie gezielt menschliche Schwächen ausnutzen, um an vertrauliche Informationen zu gelangen. Oft ist das erfolgreicher als jeder technische Angriff.

Die Idee hinter Social Engineering

Moderne IT-Systeme sind heute besser denn je gegen technische Angriffe geschützt. Klassische Hacking-Methoden erfordern Fachwissen, Zeit und ein gewisses Risiko, entdeckt zu werden. Social Engineering hingegen funktioniert über psychologische Manipulation – also ohne eine einzige Zeile Schadcode.

Dabei wird meist ein konkretes Ziel innerhalb eines Unternehmens ausgesucht, z.B. eine Assistenzkraft, ein Teamleiter oder jemand aus dem Kundenservice. Der Angreifer gibt sich als vertrauenswürdige Person aus – etwa als Kollege, Dienstleister oder sogar als IT-Administrator – und bringt das Opfer dazu, sensible Informationen preiszugeben, wie z.B. Zugangsdaten, interne Abläufe oder geschäftskritische Informationen.

Typische Vorgehensweisen bei Social Engineering

Für den Zugriff auf Unternehmenssysteme benötigen Angreifer in der Regel drei Dinge:

  • Den Namen oder die URL des Zielsystems
  • Einen gültigen Benutzernamen
  • Das zugehörige Passwort

Social Engineers nutzen verschiedenste Kommunikationskanäle, um an diese Daten zu gelangen:

  • Telefonische Angriffe (Pretexting)
    Die Angreifer rufen im Unternehmen an und geben sich beispielsweise als IT-Support oder Geschäftspartner aus. Sie setzen auf zeitlichen Druck oder erzeugen künstliche Notlagen, um das Opfer zur Preisgabe von Informationen zu bringen.
  • Phishing und Spear-Phishing
    Über gefälschte, oft täuschend echte E-Mails werden Mitarbeitende dazu verleitet, auf manipulierte Links zu klicken oder sensible Informationen direkt preiszugeben. Besonders gefährlich sind zielgerichtete Phishing-Angriffe, sogenannte Spear-Phishing-Mails, die genau auf das Ziel und seinen Arbeitskontext zugeschnitten sind.
  • Smishing und Vishing
    Auch über SMS (Smishing) oder Sprachdienste wie VoIP (Vishing) werden heute Angriffe durchgeführt. Dabei spielen Angreifer mit der zunehmenden Erreichbarkeit von Mitarbeitenden über Mobilgeräte.

Warum Social Engineering so erfolgreich ist

Die hohe Erfolgsquote liegt in der Psychologie: Menschen neigen dazu, hilfsbereit zu sein und Autoritätspersonen zu vertrauen. Social Engineers nutzen diese Eigenschaften gezielt aus. Sie arbeiten mit Techniken wie:

  • Dringlichkeit: „Ich brauche das Passwort sofort, sonst fällt das ganze System aus.“
  • Sympathie: Small Talk und freundliche Kommunikation zur Vertrauensbildung.
  • Autorität: Auftreten als Vorgesetzter oder externer Auditor.
  • Insiderwissen: Nutzung öffentlich zugänglicher Informationen aus Open Source Intelligence (OSINT), z.B. über Social Media.

Gerade Netzwerke wie LinkedIn, Facebook oder Xing liefern Angreifern viele verwertbare Informationen: Reiserouten, Positionen im Unternehmen, Projektverantwortlichkeiten – alles potenzielle Aufhänger für glaubwürdige Geschichten.

Professionelle Social Engineers agieren oft über Wochen hinweg, kontaktieren mehrere Personen im Unternehmen und bauen sich so ein Mosaik an Details zusammen. Sie nutzen Social Engineering nicht selten als Einstiegspunkt für größere Angriffe wie Ransomware-Angriffe oder Business E-Mail Compromise (BEC).

Künstliche Intelligenz als Verstärker für Social Engineering

Die rasante Entwicklung der Künstlichen Intelligenz hat die Methoden des Social Engineerings auf ein neues Niveau gehoben. Angreifer nutzen KI-gestützte Tools, um täuschend echte Phishing-Mails zu verfassen, Deepfakes zu erzeugen oder Informationen über Zielpersonen aus sozialen Netzwerken und anderen öffentlich zugänglichen Quellen automatisiert zu sammeln. Selbst Telefonanrufe mit synthetischen Stimmen, inklusive der Imitation von Führungskräften, sind mittlerweile technisch möglich. Dadurch steigen sowohl die Qualität als auch die Glaubwürdigkeit der Angriffe erheblich.

Risiken für Unternehmen

Die Folgen erfolgreicher Social Engineering Angriffe sind gravierend:

  • Datendiebstahl: Interne Informationen, personenbezogene Daten, Kundendaten oder vertrauliche Geschäftsdaten gelangen in falsche Hände.
  • Reputationsschäden: Öffentlich gewordene Vorfälle beschädigen das Vertrauen von Kunden, Partnern und Mitarbeitenden.
  • Rechtliche Konsequenzen: Datenpannen im Sinne der DSGVO müssen der zuständigen Aufsichtsbehörde gemeldet werden. Es drohen Bußgelder und Auflagen.
  • Finanzielle Verluste: Neben regulatorischen Kosten können auch Erpressung (z.B. bei Ransomware), Vertragsstrafen oder Kundenabwanderung finanzielle Schäden verursachen.

Schutzmaßnahmen gegen Social Engineering

Einen vollständigen Schutz vor Social Engineering gibt es nicht – dafür ist der Faktor Mensch zu unberechenbar. Aber Unternehmen können das Risiko deutlich reduzieren, indem sie geeignete organisatorische und awareness-basierte Maßnahmen ergreifen.

  1. Sicherheitsrichtlinien und Zugriffskontrolle:
    Klare Regeln für den Umgang mit Zugangsdaten, Authentifizierungsverfahren (z.B. Zwei-Faktor-Authentifizierung) und eine konsequente Berechtigungsvergabe helfen, die Angriffsfläche zu verkleinern. Eine gute Passwortrichtlinie ist Pflicht.
  2. Security Awareness Trainings:
    Mitarbeitende müssen regelmäßig geschult werden, wie Social Engineering funktioniert, welche Erkennungsmerkmale es gibt und wie man im Verdachtsfall reagiert. Praxisnahe Trainings, z.B. mit simulierten Phishing-Angriffen, erhöhen das Sicherheitsbewusstsein messbar.
  3. Notfallprozesse und Meldewege:
    Wer verdächtige Anfragen erhält, sollte wissen, an wen er sich im Unternehmen wenden kann. Je klarer die Meldewege definiert sind, desto schneller lassen sich Vorfälle abwehren oder eindämmen.

Wirksamkeit von Schulungen – ein Realitätscheck

Manche Kritiker bezweifeln den Nutzen von Awareness-Maßnahmen, da sich menschliches Verhalten nicht vollständig kontrollieren lässt. Das ist richtig – dennoch zeigen Erfahrungswerte und Studien klar:

Ohne Schulung gaben bei simulierten Angriffen rund 25 bis 30 % der Mitarbeitenden sensible Informationen preis. Nach gezielten Awareness-Kampagnen sank dieser Anteil in vielen Unternehmen auf unter 5 %. Sensibilisierte Mitarbeitende fragen kritisch nach, melden verdächtige Vorgänge und lassen sich nicht mehr so leicht täuschen.

Fazit: Sicherheit beginnt beim Menschen

Social Engineering zählt zu den größten Risiken in der heutigen Informationssicherheitslandschaft – nicht trotz, sondern gerade wegen der fortschreitenden technischen Absicherung von IT-Systemen. Wer Cyberangriffe effektiv abwehren will, muss deshalb den Faktor Mensch gezielt in sein Sicherheitskonzept einbinden. Das gelingt nicht mit Technik allein, sondern nur mit klaren Regeln, kontinuierlicher Sensibilisierung und gelebter Sicherheitskultur. Genau hier setzen wir an: Als erfahrene Berater für Datenschutz und Informationssicherheit unterstützen wir Unternehmen dabei, organisatorische und technische Schutzmaßnahmen sinnvoll zu verzahnen und Mitarbeitende nachhaltig zu stärken.

Wir sind in Stockelsdorf / Region Lübeck ansässig und bundesweit tätig, z.B. in Düsseldorf oder Stuttgart. In einer kostenlosen Erstberatung zeigen wir Ihnen gerne, welche Schritte in Ihrem Unternehmen sinnvoll und notwendig sind.

Philipp Herold

Über

Experte für Informationssicherheit, Compliance und Datenschutz. Berät Unternehmen mit präzisen Lösungsansätzen und umfassendem Wissen zum Schutz sensibler Daten und gesetzlicher Anforderungen.

Über uns

Die Herold Unternehmensberatung ist Ihr Partner für Risk Management, Informationssicherheit, Compliance und Datenschutz. Wir unterstützen Sie dabei, die geltenden Anforderungen in den Bereichen Risk Management, Informationssicherheit, Compliance und Datenschutz zu erfüllen.

Mehr über uns erfahren

Teambild Herold Unternehmensberatung

Beitrag teilen