Go to landing page.
Willkommen bei PrivacyXperts
Registrierung per Kundennummer

Top-Thema

Social Engineering: Wie der Mensch im Jahr 2025 zum Ziel von Kriminellen wird

Die technischen Sicherheitsmaßnahmen in Unternehmen wurden in den vergangenen Jahren immer besser. Deshalb versuchen die Angreifer, das vermeintlich schwächste Glied in der Kette anzugreifen: den Menschen bzw. die Beschäftigten des Unternehmens. Bei Social-Engineering-Angriffen verfolgen die Angreifer also nicht das Ziel, technische Sicherheitslücken in Systemen auszunutzen, sondern Menschen!

Andreas Hessel

22.08.2025 · 6 Min Lesezeit

Das versteht man unter Social Engineering

Beim Social Engineering werden Manipulationstechniken eingesetzt. Mithilfe dieser Techniken sollen Menschen oftmals dazu gebracht werden, den Angreifern

  • sensible Daten oder Dokumente zu übermitteln,
  • Geld oder andere Vermögenswerte zu transferieren,
  • zu helfen, technische Schutzmaßnahmen zu umgehen.

Die Angreifer nutzen dazu die unterschiedlichsten Kommunikationswege und Methoden sowie Kombinationen, um an ihr Ziel zu gelangen. Mögliche Opfer sind sowohl Unternehmen und andere Organisationen als auch Privatpersonen.

Phishing, Smishing und Quishing

Üblicherweise senden die Angreifer beim Phishing eine Nachricht per E-Mail (Phishing), SMS (Smishing) oder Messenger. Es werden aber auch andere Kommunikationskanäle genutzt, wie Chats in Online-Plattformen oder QR-Codes (Quishing).

Das Ziel eines Phishing-Angriffs ist es eigentlich, Zugangsdaten zu erbeuten. Oft werden aber auch andere sensible Daten über diese Kommunikationskanäle erbeutet, etwa Kreditkartendaten.

Die Absender geben sich als Bank, Behörde oder große Plattform aus. QR Codes von Kriminellen wurden unter anderem auf Ladesäulen für Elektroautos und auf angeblichen Strafzetteln gefunden.

Achtung: Die große Herausforderung ist zunehmend, Nachrichten auch als Phishing zu erkennen. Denn diese werden immer besser!

Durch den Einsatz von Automatisierung und künstlicher Intelligenz (KI) sowie erbeuteten und veröffentlichten Daten sind die Angreifer zunehmend in der Lage, individualisierte Phishing-Nachrichten mit echten Daten zu übermitteln.

Statt also Nachrichten einer „Sparkasse“ zu versenden, enthalten diese Nachrichten dann die jeweils korrekte Bezeichnung der Sparkasse und sogar die richtige Kontonummer bzw. einen Teil davon.

Pretexting und die Chef-Falle

Beim sogenannten Pretexting nehmen die Angreifer eine falsche Identität an und entwickeln ein mehr oder weniger glaubhaftes Szenario. So gibt es sehr schlichte Varianten, bei denen die Angreifer nahezu wahllos ihre potenziellen Opfer kontaktieren und sich etwa als Mitarbeiter von Microsoft ausgeben.

In dieser Rolle versuchen diese dann, ihr Opfer dazu zu bringen, dass es einen Fernwartungszugang öffnet oder eine Schadsoftware installiert. In anderen Fällen recherchieren die Angreifer ausführlicher und können damit realistisch wirkende Geschichten erfinden.

Hier gibt sich der Angreifer dann etwa als bekannte Person des beauftragten IT-Dienstleisters aus, bezieht sich z. B. auf ein gerade durchgeführtes Software-Projekt, weiß, dass der IT-Leiter im Urlaub ist, und bittet um Fernwartungszugang wegen eines wichtigen Problems.

Als einen speziellen Pretexting-Angriff kann die sogenannte Chef-Falle (CEO-Fraud) angesehen werden. Hierbei geben sich die Angreifer als Chef oder Vorgesetzter aus und versuchen, ihre potenziellen Opfer
dazu zu bringen, Finanztransaktionen durchzuführen.

Enkeltrick, Schockanrufe, Honeytrap und Erpressung

Social-Engineering-Angriffe zielen nicht nur auf Unternehmen ab. Einige Kriminelle haben speziell Senioren im Visier und geben sich als Enkel in Not, etwa wegen eines Unfalls im Urlaub, aus.

Andere setzen Familienmitglieder unter Schock, etwa indem sie sich als Beamte oder Mitarbeiter eines Krankenhauses ausgeben und behaupten, dass ein Familienmitglied einen schweren Unfall hätte oder in eine kriminelle Handlung verwickelt sei.

Mit der Honeytrap-Strategie versuchen Angreifer, eine romantische oder sexuelle Beziehung zum potenziellen Opfer aufzubauen, um im Anschluss um Geld zu bitten oder – etwa nach der vorherigen Übermittlung intimer Bilder – dieses zu erpressen.

Baiting

Beim Baiting (englisch für Ködern) stellen die Kriminellen ihren potenziellen Opfern einen kostenfreien oder stark vergünstigten Gegenstand oder eine Dienstleistung bzw. Belohnung in Aussicht. Teilweise wird auch versucht, die Neugier zu wecken.

Dies wurde – insbesondere früher – etwa dadurch erreicht, dass USB-Sticks mit Schadsoftware „zufällig“ verloren wurden.

Heute locken die Angreifer eher mit angeblich teuren gewonnenen Artikeln, wie Smartphones, oder stellen kostenfreie oder stark vergünstigte Software oder Dienstleistungen, wie Musik- oder Video-Streaming, in Aussicht.

Im Regelfall zielen die Angriffe darauf ab, dass die Opfer sensible Daten übermitteln oder eine Schadsoftware installieren.

Tailgating/Piggybacking

Beim Tailgating (etwa dicht auffahren/dicht folgen), auch Piggybacking (etwa Huckepack) genannt, versuchen Angreifer, sich Zugang zu einem Bereich, Gebäude oder Raum zu verschaffen.

Sehr vereinfacht lassen sich die Angreifer durch eine berechtigte Person mitnehmen oder sich von dieser die Türe aufhalten. Schlussendlich wird hier die Hilfsbereitschaft ausgenutzt.

In der Praxis gibt sich der Angreifer etwa als Lieferant, Paketbote, Handwerker oder Reinigungskraft aus. Er läuft dann einfach einer Person hinterher, welche in den gewünschten Bereich geht, und bittet ihn etwa, die Türe aufzuhalten – sofern das nicht ohnehin automatisch erfolgt.

Am Ziel angelangt, kann die Person dann je nach Situation und Ziel z. B. Dokumente oder Daten einsehen, kopieren oder entwenden und Geräte manipulieren, entwenden sowie eigene Geräte, etwa für einen Zugriff von außen, installieren.

So schützen Sie sich vor Social-Engineering-Angriffen

Beim Social Engineering nutzen die Angreifer Manipulationstechniken, um ihre potenziellen Opfer dazu zu bringen, eine Handlung auszuführen. Dazu wird entweder Neugier geweckt, eine Belohnung oder ein hoher Rabatt in Aussicht gestellt, auf die Hilfsbereitschaft

der Person gesetzt oder Druck aufgebaut und mit möglichen Konsequenzen Angst erzeugt. Dies sind
somit zumindest erste Indizien für einen Social-Engineering-Angriff. Deshalb:

1. Seien Sie skeptisch bei ungewöhnlichen Anfragen

Besonders dann, wenn Druck aufgebaut wird („dringend“, „sofort“, „Chef hat’s beauftragt“) oder Daten/ Zugänge eingefordert werden: Fragen Sie lieber einmal mehr nach – etwa direkt bei Ihrer Führungskraft,
der IT oder den jeweiligen Verantwortlichen.

2. Prüfen Sie Absender, Links und Anhänge

Klicken Sie nicht ohne vorherige Prüfung auf Links oder beigefügte Anhänge, wenn Ihnen die Nachricht seltsam vorkommt. Dies gilt auch, wenn der Absender augenscheinlich bekannt ist!

Bitte bedenken Sie bei Ihrer Prüfung, dass die Angreifer mithilfe von Schadsoftware oder einer vorherigen erfolgreichen Phishing-Attacke möglicherweise auch Zugriff auf das Postfach des Absenders haben. Fragen Sie bei Zweifeln beim vorgegebenen Absender nach weiter und verwenden Sie hierfür andere, bekannte Kommunikationskanäle.

3. Lassen Sie sich nicht unter Druck setzen

Dringlichkeit ist ein typisches Mittel zur Manipulation. Sie kennen das sicherlich bereits aus Phishing-Nachrichten, in denen Ihnen als Konsequenz aufgezeigt wird, dass etwa das betroffene Bank- oder Benutzerkonto unwiderruflich gesperrt wird oder hohe Kosten entstehen.

Je nach Kontext des Angriffs werden die Angreifer erhebliche Konsequenzen in Aussicht stellen. Um solche Drohungen ins Leere laufen zu lassen, sollten im Vorfeld interne Regelungen und Absprachen getroffen werden, etwa zu Zuständigkeiten, Vertretungen, oder auch Authentifizierungsnachweise, wenn eine Person nicht persönlich vor Ort ist.

4. Lassen Sie Ihre Hilfsbereitschaft nicht ausnutzen

Natürlich hilft man anderen Personen gerne und hält diesen etwa die Türe auf, gerade wenn diese „die Hände voll“ haben. Nur wissen das leider auch Kriminelle.

Finden Sie im Bedarfsfall heraus, wie Besucher und Dienstleister in Ihrem Unternehmen empfangen und begleitet werden, sodass keine Person Bereiche oder Räume betritt, welche für sie nicht vorgesehen sind.

5. Lassen Sie sich nicht täuschen

Die Angreifer recherchieren im Vorfeld oder nutzen geleakte, veröffentlichte Daten, um möglichst glaubwürdig zu erscheinen. Machen Sie es den Angreifern so schwer wie möglich, Sie zu täuschen!

Nutzen Sie unterschiedliche Zugangsdaten für verschiedene Dienste oder wenn möglich das Passkey-Verfahren. Prüfen Sie je nach Bedarf, ob die Person, die Sie kontaktiert hat, wirklich bei dem jeweiligen Unternehmen oder der Behörde arbeitet, und versuchen Sie, diese über einen anderen Kontaktweg
zu erreichen.

Fazit:

Social Engineering ist keine abstrakte Bedrohung – es ist Alltag. Mit einem gesunden Maß an Skepsis, technischem Schutz und dem Bewusstsein für Manipulationstechniken lassen sich entsprechende Angriffe erkennen und abwehren.

Bei Fragen oder Unsicherheiten stehen Ihnen Ihre Vorgesetzten oder Ansprechpartner zum Thema Sicherheit und Datenschutz sicherlich gerne zur Verfügung.

Wie hat Ihnen dieser Artikel gefallen?

0
0
Andreas Hessel
77
1
503
Andreas Hessel ist Chief Information Security Officer. Er ist langjähriger Leiter des Be­rei­ches Informationssicherheit und Risi­komanagement einer namenhaften Bank. Daneben arbeitet er als exter­ner Datenschutzbeauftragter und Berater im Bereich Cybersicherheit. Er […]

Ausgaben

Ausgaben

Privacy@Work

08-25

·

22.08.2025

Inhaltsverzeichnis

Inhaltsverzeichnis

Das versteht man unter Social Engineering Phishing, Smishing und Quishing Pretexting und die Chef-Falle Enkeltrick, Schockanrufe, Honeytrap und Erpressung Baiting Tailgating/Piggybacking So schützen Sie sich vor Social-Engineering-Angriffen Fazit:

Mehr interessante Beiträge