Social Engineering

Den Mitmenschen die Tür aufzuhalten, kommt meistens gut an. Beim Serverraum ist das aber vielleicht keine so gute Idee. Smalltalk am Telefon macht Gespräche auch oft angenehmer. Wird man aber nach sensiblen Informationen gefragt, sollten die Alarmglocken klingeln.  

Die größte IT-Schwachstelle ist nicht die IT, sondern der Mensch. 
Mit diesem eindringlichen Satz bringt es das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf den Punkt. Egal wie gut technische Schutzmaßnahmen sind – durch die Manipulation von Menschen, kann ein ganzer Sicherheitsmechanismus zusammenbrechen. Social Engineering zielt genau darauf ab: Menschen gezielt so zu manipulieren, dass sie freiwillig Informationen, Zugangsdaten oder andere Vorteile preisgeben.  

In diesem Beitrag klären wir Sie auf, wie Social Engineering funktioniert, welche Maschen Angreifer nutzen, wie Sie sich und Ihre Mitarbeitenden vorbereiten können und was im Ernstfall zu tun ist. 

Was ist Social Engineering? 

Social Engineering ist der Versuch, das Vertrauen von Menschen auszunutzen, um Informationen oder Zugriff auf Systeme zu erlangen. Die Angriffe erfolgen über persönliche Kontakte, E-Mails (Phishing), Telefonanrufe oder sogar vor Ort in Unternehmen. 

Typische Ziele:

• Zugang zu sensiblen Daten (z. B. Passwörter, Kundendaten, interne Abläufe) 

• Einbringen von Schadsoftware 

• Erschleichung von Zutritt zu Gebäuden oder Systemen 

• Freigabe von Zahlungen  

Social Engineers geben sich häufig als Kollegen, IT-Support, externe Dienstleister oder Vorgesetzte aus und wirken durch glaubwürdige Geschichten, Nennung von Namen und Details dabei meist sehr glaubwürdig. Das Spiel mit Emotionen ist dabei Nittel zum Zweck: Zeitdruck („Wir brauchen das sofort!“), Autorität („Ich bin der neue IT-Leiter“) oder Hilfsbereitschaft („Könnten Sie mir kurz helfen?“) werden dabei ganz bewusst eingesetzt.  

Welche Methoden nutzen Angreifer?

Social Engineering ist vielseitig und nur schwer zu kategorisieren. Besonders häufige Methoden sind:

• Pretexting: Angreifer geben sich unter einem konkreten Vorwand (Pretext) als eine vertrauenswürdige Person aus, z. B. als Techniker oder Personalverantwortlicher. 
• Tailgating / Piggybacking: Unbefugte Personen verschaffen sich Zutritt zu Gebäuden, indem sie sich einfach „hineinschmuggeln“, etwa durch das Mitgehen hinter einer berechtigten Person, die vielleicht sogar die Tür aufhält. 
• Dumpster Diving: Informationen werden aus weggeworfenen Dokumenten oder alten Hardwarekomponenten gewonnen und diese dann verwertet oder für weitere Angriffe genutzt. 
• Quid pro quo: Angreifer bieten im Austausch für Informationen einen (scheinbaren) Vorteil an. Das kann von einfacher IT-Hilfe bis hin zu persönlichen Informationen über Kolleginnen und Kollegen reichen. 
• Reverse Social Engineering: Die Zielperson wird so manipuliert, dass sie selbst den Kontakt zum Angreifer aufnimmt – etwa bei vermeintlichen IT-Problemen. 

Was können Unternehmen tun?

1. Awareness schaffen 
   Sprechen Sie über Social Engineering – denn nur was bekannt ist, kann erkannt werden. Schulen Sie Ihre Mitarbeitenden regelmäßig und sensibilisieren Sie sie für typische Maschen. Nutzen Sie kostenfreie Materialien vom BSI oder lassen Sie sich in einem Orientierungsgespräch von der DAB unterstützen. Fördern Sie eine Kultur des Nachfragens und der gesunden Neugier.  

2. Verhaltensregeln etablieren 
   Definieren Sie klare interne Prozesse: Wer darf was freigeben? Wer gibt Informationen weiter und an wen? Prüfen Sie Aufforderungen zur Preisgabe sensibler Daten oder zu Handlungen über einen zweiten Kanal. Rufen Sie z. B. beim Absender direkt an oder holen Sie eine Bestätigung von der Geschäftsleitung ein. 

3. Sicherheitsstruktur stärken 
   Auch hier gilt: Technik hilft – aber nicht allein. Ergänzen Sie physische Sicherheitsmaßnahmen wie Zugangskontrollen, Besucherregistrierung und Aktenvernichtung mit organisatorischen Regeln. Nutzen Sie Rollen- und Rechtekonzepte, um unnötige Zugänge zu vermeiden und kontrollieren Sie regelmäßig, ob die erteilten Berechtigungen noch aktuell sind. 

4. Unterstützung holen 
   Die DAB bietet Ihnen mit dem kostenfreien „Quick-Check IT-Sicherheit“ ein niedrigschwelliges Angebot, um Ihre organisatorische Sicherheit zu überprüfen und zu stärken. Gemeinsam besprechen wir konkrete Maßnahmen und geben Handlungsempfehlungen. 

Was tun im Ernstfall?

Sie haben den Verdacht, dass jemand durch Social Engineering Informationen erbeutet hat oder sich unbefugt Zugang verschafft hat? Dann gehen Sie wie folgt vor: 

1. Ruhe bewahren 
   Dokumentieren Sie den Vorfall möglichst genau: Wer hat was gesagt, getan oder verlangt? Machen Sie ggf. Screenshots oder Notizen, sichern Sie E-Mail- oder Chatverläufe. 

2. Sofortige Reaktion 
   Informieren Sie Ihre IT-Abteilung oder wenden Sie sich an die DAB-Cyberhotline unter 0800 360 30 60 (Mo.–Fr. 9–17 Uhr), um den Vorfall einzuordnen. Bei fehlerhaften Zahlungen informieren Sie Ihre Finanzabteilung oder Bank. 

3. Zugänge sperren und Berechtigungen prüfen 
   Falls Zugangsdaten weitergegeben wurden, müssen diese sofort geändert und die entsprechenden Konten gesperrt werden.  

4. Alle informieren und sensibilisieren 
   Stellen Sie sicher, dass alle Kolleginnen und Kollegen informiert werden, um weiteren Schaden zu vermeiden. Der Vorfall kann auch für zukünftige Schulungen genutzt werden. 

5. Behörden einschalten 
   Wurde Schaden angerichtet oder droht ein rechtlicher Verstoß (z. B. durch Datenverlust oder Betrug), informieren Sie die Polizei oder wenden Sie sich an die Zentrale Ansprechstelle Cybercrime (ZAC) beim LKA Berlin. 

Fazit

Social Engineering ist nicht Science-Fiction, sondern bittere Realität. Der beste Schutz: Aufgeschlossenheit, klare Prozesse und der Mut, auch scheinbar banale Situationen zu hinterfragen. Sie möchten prüfen, wie gut Ihr Unternehmen aufgestellt ist? Dann buchen Sie jetzt ein kostenfreies Orientierungsgespräch mit den Expertinnen und Experten der DAB zur IT-Sicherheit!