Artikel

Was ist Social Engineering?

Social Engineering: Definition, Methoden und Schutz

Social-Engineering ist ein Sammelbegriff, der verwendet wird, um den Einsatz psychologischer Manipulation als Angriffsvektor für die Durchführung böswilliger Aktivitäten zu beschreiben. Bei Social-Engineering-Angriffen wird Täuschung eingesetzt, um Einzelpersonen dazu zu verleiten, persönliche und organisatorische Sicherheitsprotokolle zu verletzen, um kriminelle Aktivitäten zu unterstützen.

Social-Engineering zielt auf menschliches Versagen, Vertrauen oder Schwächen ab und nutzt diese aus, anstatt zu versuchen, technische Cybersecurity-Systeme zu umgehen. Aus diesem Grund wird es manchmal auch als „Human-Hacking“ bezeichnet.

Ahnungslose Personen erfahren durch Social-Engineering eine Veränderung ihrer ansonsten logischen Entscheidungsprozesse, was sie dazu verleitet, Dinge zu tun, die sie normalerweise nicht tun würden.

Cyberkriminelle wissen, dass eine sorgfältig gestaltete E-Mail, Sprachnachricht oder SMS Menschen davon überzeugen kann:

  • Die Kontrolle über Computersysteme zu gewähren.
  • Auf schädliche Links zu klicken oder schädliche Dateien zu öffnen, die Malware installieren.
  • Geld zu überweisen.
  • Vertrauliche oder persönliche Informationen preiszugeben (z. B. Zugangsdaten, Bankkonto-Nummern, Kreditkarten-Nummern, Sozialversicherungs-Nummern).

Ein Social-Engineering-Angriff ist oft nur die erste Phase eines größeren Cyberangriffs. Cyberkriminelle nutzen Social-Engineering, um Zugang zu Systemen zu erhalten, und setzen dann Malware oder Ransomware frei oder brechen in Systeme ein, um sensible Informationen zu stehlen.

So funktioniert Social-Engineering

Social-Engineering-Angriffe lassen sich üblicherweise in vier Schritte unterteilen.

Schritt eins: Recherche zur Vorbereitung des Angriffs

Ein Social-Engineering-Angriff beginnt mit einer Untersuchung. Cyberkriminelle wissen, dass die Wirksamkeit von Social-Engineering davon abhängt, eine Verbindung zu den Opfern aufzubauen. Daher investieren sie im Recherche-Schritt Zeit, um zu lernen, wie sie Opfer am besten ansprechen können, indem sie:

  • Hintergrundinformationen über das Ziel oder die Organisation durch Online-Recherche oder „Dumpster-Diving“ (Durchsuchen von Abfällen) sammeln.
  • Ereignisse oder Sorgen identifizieren, die ausgenutzt werden können, wie etwa Steuerfristen, Feiertage oder Gesundheitskrisen.
  • Die am besten geeignete Social-Engineering-Angriffsmethode bestimmen.
  • Eine gezielte Strategie entwickeln.

Schritt zwe: Den Köder auslegen (Setting the Hook), indem das Opfer getäuscht und ein Standbein gewonnen wird

Sobald der Plan steht, wird der Social-Engineering-Angriff gestartet. Der Angreifer gibt sich als legitime Person aus, tritt mit dem Opfer in Kontakt und baut Vertrauen auf. In dieser Phase wird die Geschichte (Narrativ) präsentiert und ein Standbein gewonnen (z. B. wird Malware heruntergeladen und installiert oder das Opfer wird zu einer Handlung bewegt).

Die Schlüsselelemente dieses Schritts sind:

  • Die Übernahme der Kontrolle über die Interaktion und deren Steuerung.
  • Das Einbeziehen des Ziels und das Gewinnen seines Vertrauens.
  • Das Erfinden einer falschen, aber plausiblen Geschichte.
  • Das Ziel durch Angst, Mitgefühl oder Unwissenheit zum Handeln motivieren.

Schritt drei: Den Plan ausführen (Make the Play), um das Ziel zu erreichen

Ist der Köder geschluckt, nutzt dieser Schritt im Social-Engineering-Angriff die Gelegenheit, sobald sie sich bietet. Die Ziele variieren, umfassen aber:

  • Den Zugriff auf und den Abzug (Exfiltration) von sensiblen Informationen.
  • Die Überzeugung des Ziels, Geld zu senden.
  • Die Störung des Netzwerks.
  • Die Ausweitung des Standbeins durch laterale Bewegung über das Netzwerk hinweg.
  • Den Erhalt von Zugriff auf kritische Ressourcen.
  • Die Modifizierung von Systemen, um einen späteren Zugriff zu ermöglichen.

Schritt vier: Den Betrug beenden (Exit the Scam), indem die Interaktion abgeschlossen wird

Die letzte Phase eines Social-Engineering-Angriffs ist der Ausstieg, der im Idealfall (für den Angreifer) ausgeführt wird, ohne Verdacht zu erregen. Ein erfolgreicher Ausstieg hinterlässt keine Spuren.

Elemente des Ausstiegsschritts umfassen:

  • Das Verwischen von Spuren.
  • Das Beenden der Beziehung auf natürliche Weise oder das Einschüchtern des Opfers, damit es schweigt.
  • Das Entfernen aller Malware-Spuren.

Social-Engineering-Angriffstechniken

Im Folgenden werden einige der vielen Social-Engineering-Techniken aufgeführt, die zur Kompromittierung von Unternehmens-IT-Systemen eingesetzt werden:

  • Baiting (Ködern): Beim Baiting werden gezielten Einzelpersonen falsche Versprechen gemacht, um sie in eine Falle zu locken. Die häufigste Form nutzt strategisch platzierte USB-Sticks, um Malware zu verbreiten, wenn ahnungslose Nutzer diese in ihren Computer einstecken. Andere Ansätze versprechen eine Belohnung, etwas Verlockendes kostenlos oder ein Sonderangebot für das Teilen von Informationen oder um das Ziel zum Klicken auf schädliche Links zu bewegen.
  • Business-Email-Compromise (BEC): Ein BEC tritt auf, wenn die E-Mail einer Führungskraft (z. B. CEO oder CFO) missbraucht wird, um Personen dazu zu verleiten, dem Angreifer ihr Ziel zu überlassen – dabei handelt es sich üblicherweise um sensible Informationen, Geld oder andere wertvolle Vermögenswerte.
  • Phishing: Als führender Infektionsvektor für Malware ist Phishing eine weit verbreitete Social-Engineering-Technik, die auf verschiedene Weise ausgeführt wird. Unabhängig von der Art des Phishing-Angriffs ist das Ergebnis meist gleich – Personen geben unwissentlich sensible Informationen preis oder laden Schadsoftware herunter.
  • Bulk-Email-Phishing: Massen-Phishing-E-Mails werden an viele Empfänger gesendet und stammen scheinbar von einem erkennbaren, seriösen Unternehmen oder einer Organisation (z. B. Bank, Online-Shop oder Telefongesellschaft). Die E-Mails sind so gestaltet, dass sie das Branding der Organisation nachahmen, und die Nachrichten sind sorgfältig verfasst, um den Eindruck einer legitimen Anfrage zu erwecken. Die Anfragen führen die Nutzer jedoch zu einer Sicherheitsverletzung, etwa durch das Senden von Kreditkarten-Informationen als Reaktion auf eine Aufforderung zur Aktualisierung oder das Teilen von Bankkonto-Daten für ein Konto bei einem Online-Shop.
  • SMS-Phishing (Smishing): Phishing via Textnachricht.
  • Spear-Phishing: Ein gut recherchierter Phishing-Angriff, der auf spezifische Personen oder Organisationen abzielt. Die Nachrichten nutzen Details über die Organisation oder die Personen, um die E-Mail authentischer wirken zu lassen.
  • Vishing: Hierbei hinterlässt der Täter dringende oder drohende Sprachnachrichten (Voicemails) in dem Versuch, den Empfänger zur Teilnahme an dem Betrug zu nötigen.
  • Pretexting: Ein Angreifer nimmt die Identität einer vertrauenswürdigen, wichtigen Instanz an – etwa einer Bank, eines Energieversorgers oder eines Vertreters des Gesundheitswesens –, um das Ziel in die Falle zu locken.
  • Quid pro quo: Diese Scams locken Ziele an, indem sie etwas im Austausch für Informationen versprechen. Beispielsweise wird jemandem mitgeteilt, dass er einen Preis gewonnen hat, für dessen Einlösung persönliche Informationen erforderlich sind.
  • Scareware: Täuscht Nutzern vor, dass mit ihrem System etwas nicht stimmt. Es werden Drohungen gesendet, die über das angebliche Problem informieren und erklären, dass der einzige Weg zur Lösung das Ausfüllen eines Formulars sei, welches die Preisgabe persönlicher Informationen oder anderer sensibler Daten erfordert.
  • Tailgating (Piggybacking): Eine Form des physischen Social-Engineering. Unbefugte Personen folgen autorisierten Teammitgliedern unter Vorwänden in gesperrte Bereiche – etwa um eine angebliche Sonderlieferung zuzustellen, mit der Erklärung, die Schlüsselkarte verloren zu haben, oder indem sie so tun, als hätten sie die Hände voll und könnten die Tür nicht öffnen.
  • Watering-Hole-Attacke: Abgeleitet vom Begriff „das Wasserloch vergiften“. Ein Angreifer erstellt gefälschte Seiten, um Nutzer auf Websites mit Malware zu locken, oder infiziert bestehende Websites, von denen bekannt ist, dass die Zielgruppe sie häufig besucht.

Merkmale von Social-Engineering-Angriffen

Social-Engineering basiert darauf, die Schwächen von Individuen zu finden und ihre Emotionen auszunutzen. Im Folgenden werden häufige Merkmale eines Social-Engineering-Angriffs aufgeführt und erläutert, wie Emotionen dabei als Waffe eingesetzt werden:

Nutzt Neugier aus

Cyberkriminelle durchkämmen aktuelle Ereignisse, um Anknüpfungspunkte zu finden, mit denen sie Einzelpersonen in ihre Social-Engineering-Masche locken können. Beispielsweise könnte eine Nachricht eine aktuelle Schlagzeile aufgreifen und mit fesselnden Details versehen, um eine neugierige Person dazu zu verleiten, zu antworten oder auf einen Link zu klicken, um mehr zu erfahren.

Spielt mit der Angst

Social-Engineering nutzt die Anfälligkeit von Personen für Angst aus, insbesondere gegenüber Autoritätspersonen (z. B. Finanzbehörden oder Strafverfolgungsbehörden).

Diese Taktiken beinhalten oft, dass die Täter Kontakt zu ihren Zielen aufnehmen und vorgeben, ein Beamter der Steuerfahndung oder ein Ermittler einer Bundesbehörde zu sein, der eine Untersuchung durchführt.

Zudem zielen diese Maschen auf die Angst der Opfer ab, etwas zu verpassen (Fear of Missing Out, FOMO), um ein künstliches Gefühl der Dringlichkeit zu erzeugen.

Exploitiert Gier oder Verzweiflung

Häufig werden der Wunsch oder die Notwendigkeit der Menschen nach einem Schnäppchen oder etwas Kostenlosem (d. h. Gier oder Verzweiflung) als Köder genutzt. Angebote, die eine kleine Investition für eine überproportional hohe Rendite oder ein High-End-Produkt zu einem extrem niedrigen Preis versprechen, werden eingesetzt, um Menschen dazu zu verleiten, Geld zu senden, Bankkonto-Daten preiszugeben oder Kreditkarten-Informationen zu übermitteln.

Nutzt Hilfsbereitschaft aus

Die meisten Menschen sind von Natur aus geneigt, anderen in Not zu helfen; wir wollen einander vertrauen und unterstützen.

Social-Engineering-Exploits nutzen diese Tendenz aus, um Personen in kompromittierende Situationen zu bringen – etwa durch das Teilen von Zugangsdaten aufgrund eines vorgetäuschten „IT-Notfalls“, das Senden von Geld an einen Verwandten, der angeblich einen „Unfall hatte“, oder das Klicken auf einen schädlichen Link, um einem Freund bei einer „Umfrage“ zu helfen. Oft werden diese Taktiken mit einem starken Gefühl der Dringlichkeit kombiniert, was das Individuum zu schnellem Handeln motiviert und ihm die Zeit nimmt, die Risiken rational zu durchdenken.

Schutz vor Social-Engineering-Angriffen

Social-Engineering-Angriffe sind extrem schwer zu verhindern, da sie angeborene menschliche Schwächen ausnutzen, die weit schwieriger zu programmieren sind als Cybersecurity-Technologie. Taktiken, die von Cybersecurity-Experten empfohlen werden, um die Wachsamkeit der Nutzer zu erhöhen und Social-Engineering-Angriffe abzuwehren, umfassen Folgendes:

Zugriffskontrollrichtlinien

Der Zugriff auf alle IT-Ressourcen kann mit Zugriffskontroll-Systemen geschützt werden. Zusätzlich zu Authentifizierungssystemen sollte der Zugriff dem Prinzip der geringsten Privilegien (Least-Privilege) folgen und nur den minimal erforderlichen Zugriff gewähren.

Autorun-Deaktivierung

Auf den Systemen der Nutzer sollte die Autorun-Funktion deaktiviert sein, um eine „Bremsschwelle“ zwischen einem unvorsichtigen Nutzer und bösartiger Software zu schaffen, die im Rahmen eines Social-Engineering-Angriffs geliefert wird.

Backups

Alle Systeme und Daten sollten regelmäßig automatisch gesichert werden. Backups sollten extern (offsite) und getrennt vom Hauptnetzwerk gelagert werden. Da viele Social-Engineering-Bemühungen oft in einem Ransomware-Angriff münden, ist es entscheidend, dass Organisationen über Backups verfügen, die nicht erreichbar sind, falls das System eines Nutzers kompromittiert wird.

Cybersecurity-Technologien

Cybersecurity-Lösungen, die eine Verteidigung gegen Social-Engineering-Angriffe ermöglichen, umfassen:

  • Antiviren-Software
  • Endpoint-Detection-and-Response (EDR)
  • Extended-Detection-and-Response (XDR)
  • Firewalls
  • Intrusion-Detection-Systeme
  • Intrusion-Prevention-Systeme
  • Sichere E-Mail-Gateways
  • Spam-Filter

E-Mail-Sensibilisierung

Nutzer müssen gegenüber E-Mails von unbekannten Absendern extrem wachsam sein.

Sie sollten geschult werden, niemals E-Mails oder Anhänge aus verdächtigen Quellen zu öffnen; ihre Definition und Identifizierung von „verdächtig“ sollte regelmäßig aktualisiert und verstärkt werden.

Da Social-Engineering-Täter oft legitime E-Mails zweckentfremden, um schädliche Inhalte zu verbreiten, sollten Nutzer auch lernen, verdächtige E-Mails zu identifizieren, die unter dem Deckmantel eines legitimen Absenders erscheinen. Im Zweifelsfall sollten Nutzer bei der Person nachfragen, von der sie glauben, dass sie die Nachricht gesendet hat, um deren Echtheit zu bestätigen.

Multi-Faktor-Authentifizierung (MFA)

Die zusätzlichen Schutzebenen, die MFA bietet, hindern Cyberkriminelle daran, mit erbeuteten Zugangsdaten Zugriff zu erhalten. Social-Engineering-Maschen zielen häufig darauf ab, die Anmeldedaten von Nutzern zu beschaffen.

Bildschirmsperre

Bildschirme sollten so eingestellt sein, dass sie sich nach kurzer Zeit automatisch sperren, um einen Social-Engineering-Angriff durch jemanden zu verhindern, der einen entsperrten Bildschirm sieht und diesen nutzt, um Zugriff auf das System zu erhalten. Nutzer sollten zudem darin geschult werden, ihre Bildschirme manuell zu sperren, wenn sie ihren Platz verlassen, insbesondere bei Laptops und Desktop-Computern an den Schreibtischen.

Das Entsperren der Bildschirme sollte von den Nutzern die Authentifizierung über einen Faktor wie eine persönliche Identifikationsnummer (PIN), ein Passwort oder eine biometrische Identifikation (z. B. Fingerabdruck oder Gesichtserkennung) erfordern.

Security-Awareness-Training

Regelmäßige Schulungen zum Sicherheitsbewusstsein sollten immer eine Komponente enthalten, die auf Social-Engineering fokussiert ist. Dies bietet Nutzern die dringend benötigte Anleitung, wie sie Angriffe identifizieren und vermeiden sowie bereits laufende Angriffe erkennen und darauf reagieren können (z. B. wie man einen möglichen Social-Engineering-Angriff meldet). Das Social-Engineering-Training sollte detailliert sein und Besonderheiten erklären, wie etwa die Tatsache, dass scheinbar belanglose Daten (z. B. Geburtstag oder Telefonnummer) von einem Cyberkriminellen genutzt werden können, um einen Angriff auszuführen.

Hygiene der Social-Media- und Online-Präsenz

Ein Teil des Sicherheitstrainings sollte darin bestehen, Nutzer dafür zu sensibilisieren, wie Social-Engineering-Taktiken soziale Medien nutzen, um sie ins Visier zu nehmen. Täter durchsuchen das Internet und soziale Medien, um Informationen für Spear-Phishing-Angriffe zu finden. Je mehr Informationen Nutzer posten, desto mehr „Futter“ geben sie Angreifern für eine potenzielle Insider-Bedrohung.

Software-Updates

Das Patchen von Software ist eine bewährte Cybersecurity-Praxis. Es ist besonders wichtig, Antiviren- und Anti-Malware-Software auf dem neuesten Stand zu halten.

Experten raten dazu, automatische Updates einzustellen und täglich die neuesten Signaturen herunterzuladen. Die Systeme der Nutzer sollten regelmäßig überprüft werden, um sicherzustellen, dass Updates angewendet werden, und um nach möglichen Infektionen zu scannen.

USB-Geräte-Warnhinweise

Wie schon die CD-ROMs vor ihnen, sind USB-Sticks weiterhin ein hochwirksamer Angriffsvektor für Social-Engineering. Nutzer sollten darüber aufgeklärt werden, dass selbst online gekaufte USB-Geräte – etwa solche, die Hardware wie eine Kamera oder eine Tastatur betriebsbereit machen sollen – Daten, Anwendungen und Netzwerke kompromittieren können.

Social-Engineering nutzt das schwächste Glied

Social-Engineering ist bei Cyberkriminellen weit verbreitet, da es ein hocheffizienter Weg ist, komplexe und oft umständliche Cybersecurity-Systeme (z. B. Antiviren-Software, Firewalls, Intrusion-Detection-Systeme und Intrusion-Prevention-Systeme) zu umgehen und so Zugriff auf geschützte Systeme zu erhalten. Im Vergleich zu diesen technischen Schutzmaßnahmen sind Menschen ein leichtes Ziel. Tatsächlich gelten Menschen weithin als das schwächste Glied in der Sicherheitskette einer Organisation.

Darüber hinaus sind Social-Engineering-Angriffe lukrativ. Der Return-on-Investment (ROI) für Cyberkriminelle ist beim Social-Engineering sehr hoch. Gleichzeitig sind die Kosten für die betroffenen Organisationen oft um ein Vielfaches höher (z. B. durch finanzielle Verluste, einen Datendiebstahl (Data Breach), der zum Verlust oder zur Kompromittierung sensibler Informationen führt, sowie rechtliche und Compliance-Konsequenzen). Ein regelmäßiges und robustes Sicherheitstraining ist absolut kritisch, um Social-Engineering-Angriffe wirksam zu bekämpfen.

Datum: 14. April 2026Lesezeit: 14 Minuten
Cybersicherheit

Die ersten Schritte

Erfahren Sie, was SailPoint Identity Security für Ihr Unternehmen leisten kann

Entdecken Sie, wie unsere Lösungen moderne Unternehmen dabei unterstützen, die Herausforderung des sicheren Zugriffs auf Ressourcen zu meistern – ohne Kompromisse bei Produktivität oder Innovation.

Eine Demo anfordernKontakt