Was ist Social Engineering? Anzeichen, Arten & Sicherheitstipps

Cybersicherheit scheitert oft an der menschlichen Komponente. Unternehmen können die neueste KI-gestützte Intrusion Detection- und Antivirensoftware einsetzen, doch ein einziger manipulierter Mitarbeiter kann einem Angreifer Tür und Tor öffnen. Genau darauf zielt Social Engineering ab: Menschen und ihre Gefühle.

Anders als technische Exploits, die Software- oder Systemschwächen ausnutzen, können sich diese Angriffe in der alltäglichen Kommunikation verstecken. Sie können als E-Mails, Telefonanrufe, harmlos aussehende Links oder manchmal sogar als eine vertrauenswürdige Webseite, die gehackt wurde, erscheinen.

Unser Leitfaden verrät, was ein Social Engineer ist und welche Taktiken er anwendet, um Menschen erfolgreich zu manipulieren. Außerdem werden praktische Schutzmaßnahmen vorgestellt, mit denen du diese Betrügereien erkennen und vermeiden kannst.

Was ist ein Social-Engineering-Angriff?

Social Engineering ist eine Form der psychologischen Manipulation, die Menschen zu Handlungen verleitet, die die Sicherheit schwächen. Diese Aktionen können Folgendes beinhalten:

• Gemeinsame Nutzung von Anmeldedaten
• Genehmigung von betrügerischen Zahlungen
• Installation von Schadsoftware
• Gewährung von Zugang zu eingeschränkten Systemen

Anstatt Fehler im Code oder in der Infrastruktur auszunutzen, nutzen Angreifer vorhersehbare menschliche Reaktionen auf Dringlichkeit, Angst, Neugier oder Autorität aus. Deshalb wird dieser Ansatz manchmal auch als „Human Hacking“ bezeichnet.

Sie studieren, wie Menschen auf emotionale Trigger reagieren und nutzen dann diesen Druck, um ihre Vorsicht zu umgehen. Da das Opfer die Aktion freiwillig durchführt, können diese Angriffe Firewalls und andere technische Schutzmaßnahmen umgehen.

Social Engineering ist oft nur der erste Schritt. Wenn Angreifer erst einmal Fuß gefasst haben, können sie ihre Privilegien ausweiten, Malware einsetzen, Daten stehlen oder sich vollkommen frei im Netzwerk bewegen.

Wie funktioniert Social Engineering?

Social-Engineering-Angriffe laufen in der Regel in mehreren Phasen ab, wobei jede Interaktion so gestaltet ist, dass sie routinemäßig und glaubwürdig wirkt. Angreifer beginnen damit, Hintergrundinformationen über ihr Ziel zu sammeln. Öffentliche Profile, Details zum Arbeitsplatz, Daten aus früheren Einbrüchen und alltägliche Online-Aktivitäten bieten oft genug Kontext, um einen überzeugenden Ansatz zu entwickeln.

Mit diesen Informationen nimmt der Angreifer auf eine Weise Kontakt auf, die sich in die normalen Arbeitsabläufe einfügt. Die Nachrichten können den Anschein erwecken, als kämen sie vom IT-Support, einem Finanzinstitut, einem Anbieter oder einem Kollegen und verweisen oft auf echte Systeme, Namen oder Prozesse, um die Legitimität zu unterstreichen. Sie sind oft so formuliert, dass sie dringend („Ihr Konto wird gesperrt“), offiziell („Sicherheitsüberprüfung durch das Finanzamt“) oder verlockend („nicht beanspruchte Belohnung“) klingen und eine emotionale Reaktion hervorrufen, die eine sorgfältige Abwägung außer Kraft setzt.

Ist das Vertrauen erst einmal hergestellt, übt der Angreifer Druck aus, um eine Handlung seines Opfers zu veranlassen, wie zum Beispiel das Öffnen eines Anhangs. So drangen Hacker im September 2023 durch einen einfachen Anruf beim IT-Helpdesk in MGM Resorts ein, indem sie sich als Mitarbeiter ausgaben und um eine Passwortrücksetzung baten.

Was Social Engineering besonders gefährlich macht, ist die Tatsache, dass es meistens nicht auf technischen Exploits beruht. Es nutzt Routinegewohnheiten aus: Mitarbeiter, die internen Anfragen folgen, Benutzer, die auf alarmierende Benachrichtigungen überstürzt handeln, oder Finanzteams, die geprüften Rechnungen vertrauen.

Arten von Social Engineering

Verschiedene Social-Engineering-Angriffe basieren auf denselben menschlichen Schwächen und Emotionen, weshalb sich viele von ihnen überschneiden können. Eine Phishing-E-Mail kann zu einem Vorwand führen, und ein vorgetäuschter Anruf vom „technischen Support“ kann zu einem Austausch von Gegenleistungen führen. In einigen Fällen eskalieren diese Taktiken zu umfassenderen Vorfällen wie Datenschutzverletzungen, unternehmensweitem Betrug oder Identitätsdiebstahl.

Das Studium der häufigsten Arten hilft dir, Manipulationsmuster frühzeitig zu erkennen, bevor sie zu einem echten Schaden führen.

Phishing (betrügerische E-Mails und Nachrichten)

Phishing nutzt gefälschte Nachrichten, die dich dazu verleiten, sensible Informationen preiszugeben, Malware zu installieren, Zugang zu gewähren oder Geld zu überweisen. Dieser Ansatz wirkt authentisch, weil die Betrüger echte Logos, Formulierungen und Layouts von seriösen Unternehmen verwenden. Im Jahr 2024 war Phishing mit über 193.000 vom FBI registrierten Fällen die am häufigsten gemeldete Cyberkriminalität.

Massenphishing (Spray-and-Pray)

Beim Massenphishing senden die Angreifer identische Nachrichten an so viele Personen wie möglich. Die Nachrichten nutzen oft bekannte Marken und eine gewisse Dringlichkeit, um die Wahrscheinlichkeit zu erhöhen, dass jemand auf ihren Link klickt. Selbst minimale Erfolgsquoten können den Betrügern große Gewinne bescheren.

Anfang 2025 generierte CoGUI mehr als 580 Millionen betrügerische E-Mails, die sich als Amazon, Apple und andere große Unternehmen ausgaben.

Spear-Phishing (gezielte Angriffe)

Im Gegensatz zum Massenphishing erfolgt Spear-Phishing sehr gezielt. Die Angreifer recherchieren über eine bestimmte Person oder eine kleine Gruppe und erstellen Nachrichten, die speziell für sie bestimmt sind, indem sie offen verfügbare Daten von Social-Media-Plattformen, Unternehmensseiten oder Datenbroker-Datensätzen verwenden.

Ein Spear-Phisher kann zum Beispiel eine E-Mail versenden, die scheinbar von einem Kollegen stammt und einen bösartigen Anhang oder einen Link zu einer gefälschten Anmeldeseite enthält. Das typische Ziel ist es, sich Zugang zu verschaffen, sensible Informationen zu stehlen oder in einer Organisation Fuß zu fassen.

Wenn sich diese Art von gezielten Angriffen auf leitende Angestellte oder andere hochrangige Personen konzentriert, wird sie oft als Whaling bezeichnet. In einigen Fällen dient Spear-Phishing als Einstiegspunkt für größere Betrugsversuche, einschließlich der Kompromittierung von Geschäfts-E-Mails. Ein bekannter Fall betraf ein österreichisches Luft- und Raumfahrtunternehmen, das Opfer einer E-Mail wurde, die sich als Nachricht des Geschäftsführers ausgab, und dadurch etwa 50 Millionen Euro verlor.

Vishing (Voice-Phishing)

Voice-Phishing-Angreifer kontaktieren dich per Telefon oder verwenden aufgezeichnete Nachrichten. Moderne Vishing-Kampagnen verwenden manchmal KI-generierte Stimmen oder Deepfake-Audio, die echte Menschen imitieren.

In einem weithin berichteten Fall, in den Arup verwickelt war, nutzten Kriminelle die Deepfake-Technologie in Echtzeit, um sich während eines Videoanrufs als der Finanzvorstand von Arup und andere Kollegen auszugeben. Die Angreifer überzeugten einen Finanzangestellten in Hongkong, 25 Millionen Dollar zu überweisen.

Angler-Phishing (Social Media Support Scams)

Angler-Phishing nutzt das Vertrauen in den Kundenservice auf sozialen Medien aus. Die Angreifer achten auf Beschwerden oder Supportanfragen und antworten dann von gefälschten Accounts, die offiziell aussehen. Diese Nachrichten leiten die Nutzer zu „Verifizierungslinks“, die ihre Anmeldedaten erfassen.

Smishing (SMS/Text-Phishing)

Die Angreifer verschicken einen Text, der wie eine Benachrichtigung von einer Bank, einem Lieferdienst oder einer anderen vertrauenswürdigen Einrichtung aussieht und in der Regel einen Link enthält, den du anklicken sollst. Ein klassisches Beispiel für Smishing ist ein Text, der behauptet: „Ihre Paketzustellung hat sich verzögert – besuchen Sie diesen Link, um den Termin zu verschieben“ oder „Verdächtige Aktivität auf Ihrem Bankkonto entdeckt, hier können Sie sie überprüfen.“ Dieser Link führt in der Regel zu einer gefälschten Anmeldeseite, die deine Anmeldedaten stiehlt, oder zu einer Seite, die dein Handy mit Malware infiziert.

Suchmaschinen-Phishing

Betrüger erstellen gefälschte Webseiten, die bekannte Marken oder Dienstleistungen imitieren, und nutzen bezahlte Anzeigen oder Suchmaschinenoptimierungstaktiken, um in den Suchergebnissen weiter oben zu erscheinen. Wenn du auf diese Seiten klickst, kannst du aus Versehen deine Anmelde- oder Zahlungsdaten preisgeben und zu bösartigen Downloads oder Weiterleitungen geführt werden.

Pretexting (erfundene Geschichten)

Bei einem Pretexting-Angriff geht es darum, eine überzeugende Geschichte zu erfinden, um ungewöhnliche Anfragen zu rechtfertigen. Betrüger recherchieren über ihre Ziele und geben sich als vertrauenswürdige Personen wie IT-Support, Personalabteilung oder Wirtschaftsprüfer aus, während sie interne Sprache, Verfahren oder Richtlinien imitieren, um legitim zu wirken.

Ein Angreifer, der sich als IT-Techniker ausgibt, behauptet zum Beispiel, dass bei einer Systemprüfung ein Problem mit dem Konto festgestellt wurde, und bittet um Anmeldedaten, um „das Problem zu lösen“. In anderen Fällen kann die Aufforderung das Opfer dazu bringen, Malware herunterzuladen, Geld an Kriminelle zu schicken oder sich selbst oder der Organisation, für die es arbeitet, auf andere Weise zu schaden. Das Ziel ist es, durch eine überzeugende Geschichte Glaubwürdigkeit aufzubauen und das Opfer zu einer riskanten Handlung zu überreden.

Angriffe auf Unternehmens-E-Mails (BEC)

BEC ist ein sehr gezielter Betrug, der Vertrauen ausnutzt, um eine bestimmte finanzielle Aktion auszulösen. Angreifer geben sich als Führungskräfte, Finanzmitarbeiter oder vertrauenswürdige Lieferanten aus, nachdem sie interne Rollen, Arbeitsabläufe und Zahlungsprozesse untersucht haben.

Ein Finanzmitarbeiter kann zum Beispiel eine E-Mail erhalten, die scheinbar von einem leitenden Angestellten stammt und um eine dringende Überweisung oder eine Änderung der Zahlungsdaten eines Lieferanten bittet. Die Nachricht ist so gestaltet, dass sie routinemäßig oder vertraulich aussieht, aber ihr Zweck ist es, Geld auf ein vom Angreifer kontrolliertes Konto zu überweisen. Dieses Maß an Personalisierung hat zu großen finanziellen Verlusten geführt. Das FBI berichtet von 2,7 Milliarden Dollar an BEC-bedingten Verlusten allein im Jahr 2024.

Quid Pro Quo

Bei einem Quid-pro-quo-Betrug geht es um einen expliziten Austausch: Der Angreifer bietet Hilfe, eine Dienstleistung oder eine Belohnung im Gegenzug für Informationen oder Zugang an. Es ist im Grunde eine „Gefallen für einen Gefallen“-Taktik, die die Gegenseitigkeit ausnutzt.

Der Angreifer kann anbieten, ein Problem zu beheben, aber das Opfer dabei auffordern, eine Fernzugriffssoftware zu installieren oder Zugangsdaten als Teil der „Hilfe“ zu teilen. Sobald der Zugriff gewährt wird, können Angreifer dann Daten stehlen, Spyware installieren oder Hintertüren für den zukünftigen Zugriff auf das Gerät schaffen.

Baiting

Baiting nutzt Neugier oder Gier aus, um dich dazu zu bringen, Malware herunterzuladen, die als Geschenkkarte, kostenloser Zugang zu kostenpflichtigen Inhalten oder andere „Werbegeschenke“ getarnt ist. Viele Baiting-Angriffe verstecken sich auf gefälschten Download-Seiten, die als Tools oder Updates getarnt sind. Wenn du sie anklickst, können sie unbemerkt Spyware, Keylogger oder andere schädliche Programme installieren.

Auch physisches Baiting ist üblich. Angreifer können infizierte USB-Sticks auf Parkplätzen, in Toiletten oder Fahrstühlen zurücklassen, die mit so verlockenden Begriffen wie „Gehaltsdaten“ oder „Vertraulich“ beschriftet sind, in der Hoffnung, dass jemand sie aus Neugierde oder aus dem Wunsch heraus, den Besitzer zu identifizieren, einsteckt. 

In einem gemeldeten Fall wurde Malware in zwei US-Kraftwerken entdeckt und vermutlich über infizierte USB-Laufwerke verbreitet, die in sichere Systeme eingeschleust wurden.

Scareware

Während Baiting auf Verlockung beruht, beruht Scareware auf Angst. Diese Taktik nutzt alarmierende Nachrichten, um die Opfer unter Druck zu setzen, gefälschte Sicherheitssoftware herunterzuladen oder für unnötige „Optimierungsdienste“ zu bezahlen. Sie imitiert oft Antiviren- oder Systemwarnungen, die behaupten, dein Gerät sei infiziert oder gefährdet. Wenn du auf das Pop-up klickst, wird Malware installiert oder du wirst auf betrügerische Support-Seiten weitergeleitet.

Watering Hole und In-Session-Phishing

Bei einem Watering-Hole-Angriff injizieren Hacker bösartigen Code in Webseiten, die von einer bestimmten Gruppe regelmäßig besucht werden, wie z. B. ein Branchenforum oder die Webseite eines Zulieferers. Das einfache Laden der kompromittierten Seite kann dein Gerät schon unbemerkt infizieren.

In-Session-Phishing folgt einem ähnlichen Konzept innerhalb einer aktiven Browsing-Sitzung. Anstatt die Webseite selbst zu kompromittieren, schleusen die Angreifer gefälschte Eingabeaufforderungen oder Pop-ups ein, während du bereits eine legitime Webseite nutzt. Diese Aufforderungen ahmen oft eine erneute Anmeldung, Aktualisierungsmitteilungen oder Sicherheitswarnungen nach. Da sie innerhalb einer vertrauenswürdigen Sitzung erscheinen, können sie glaubwürdig erscheinen und sind schwerer zu erkennen als Angriffe, die per E-Mail oder Telefon erfolgen.

Tailgating und Piggybacking

Tailgating liegt vor, wenn Angreifer ohne das Wissen des Opfers physisch in einen unbefugten Raum, wie z. B. ein Rechenzentrum, eindringen. Ein Angreifer kann zum Beispiel dicht hinter einem Angestellten in ein verschlossenes Bürogebäude gehen und die Tür aufhalten, bevor sie sich schließt. Diese Taktik nutzt die übliche Höflichkeit aus, wie z.B. das Aufhalten von Türen für andere.

Beim Piggybacking gibt es einen kleinen Unterschied: Der Angreifer verschafft sich mit Hilfe eines autorisierten Benutzers Zugang. Das kann eine aktive authentifizierte Sitzung sein, unbeaufsichtigte Geräte oder die Erlaubnis, einen sicheren Bereich zu betreten, z. B. wenn jemand eine gesperrte Tür aufhält oder seine Anmeldedaten weitergibt.

Kontoübernahme-Betrug

Kontoübernahme-Betrügereien verbreiten sich über kompromittierte Konten, die Nachrichten an Freunde oder Kollegen senden. Die Angreifer nutzen echte Profile, um glaubwürdige Links oder Anhänge zu verschicken, damit die Zielpersonen unvorsichtig werden. Sobald ein Kontakt darauf klickt, kann die Malware sein Konto übernehmen und den Betrug weiter verbreiten.

Catfishing

Catfishing Social-Engineering-Angriffe (auch Beziehungs- oder „Pig Butchering“-Betrug genannt) nutzen das emotionale Vertrauen aus. Betrüger bauen mit gestohlenen Fotos und persönlichen Geschichten langfristige, falsche Beziehungen auf. Sobald sich das Vertrauen gebildet hat, fordern sie Geld oder schlagen betrügerische Investitionen vor, oft über Wochen oder Monate.

So kannst du dich vor Social-Engineering-Angriffen schützen

Selbst die besten Sicherheitsexperten können auf einen Betrug hereinfallen, wenn er vertrauenswürdig erscheint und ihren Erwartungen entspricht.

Firewalls und Antivirensoftware allein können nicht verhindern, dass jemand einer gefälschten Anleitung folgt, die legitim aussieht. Die Angriffsfläche beim Social Engineering ist so groß, dass eine einzige unvorsichtige Handlung eines Familienmitglieds oder Mitarbeiters ein ganzes Netzwerk oder Datenbanken gefährden kann.

Du kannst das Risiko jedoch deutlich verringern, indem du dein Bewusstsein, deine Gewohnheiten und zuverlässige Sicherheitstools verwendest, z.B.:

• Überprüfe unerwartete Anfragen: Überprüfe jede Nachricht, die nach Geld, Zugangsdaten, internem Zugriff oder ungewöhnlichen Aktionen fragt, auch wenn sie von einem bekannten Kontakt zu kommen scheint.
• Überprüfe die Absenderangaben genau: Achte auf Rechtschreibfehler oder kleine Änderungen in den E-Mail-Adressen, wie z.B. „@paypaIl.com“ statt „@paypal.com“.
• Mach eine Pause, wenn du dich unter Druck gesetzt fühlst: Betrüger setzen auf Dringlichkeit. Wenn eine Nachricht sofortiges Handeln erfordert, solltest du dich zurückhalten und überprüfen, bevor du antwortest.
• Überprüfe unbekannte Links oder Anhänge: Bewege den Mauszeiger über Links, um die echte Adresse zu bestätigen, lade verdächtige Dateien in einen Antivirenscanner hoch oder vermeide sie ganz.
• Ignoriere verlockende Angebote: Hinter zu schönen Werbeaktionen, plötzlichen Rückerstattungen oder Gewinnbenachrichtigungen verbirgt sich meist eine Falle.
• Achte auf den Ton und den Kontext: Hinterfrage Nachrichten mit seltsamen Formulierungen, ungewöhnlichen Grüßen oder unerwartetem Timing.
• Vermeide es, online zu viel zu teilen: Je mehr Details Kriminelle von sozialen Netzwerken und Datenbrokern über dich erfahren, desto einfacher ist es für sie, dein Vertrauen zu gewinnen.
• Überprüfe die Sicherheit der Webseite: HTTPS und ein Vorhängeschloss-Symbol bedeuten, dass die Verbindung verschlüsselt ist, aber sie bestätigen nicht, dass eine Webseite seriös ist. Bevor du sensible Daten eingibst, überprüfe, ob der Domainname richtig geschrieben ist und mit der offiziellen Webseite übereinstimmt.
• Verwende starke Passwörter: Verwende eindeutige Passwörter für jedes Konto und aktualisiere sie regelmäßig, um zu verhindern, dass ein Verstoß andere gefährdet.
• Aktiviere die Zwei-Faktor-Authentifizierung: Füge, wann immer möglich, einen einmaligen Code zu deinen Anmeldungen hinzu.
• Halte die Systeme auf dem neuesten Stand: Aktiviere automatische Software-Updates sowie Spam-Filter und verwende ein zuverlässiges Antivirenprogramm.
• Schützt deine Online-Aktivitäten mit einem VPN: Verbinde dich mit einem seriösen VPN-Dienst, um deinen Traffic und deinen Standort vor Abhörern zu schützen, besonders im öffentlichen WLAN-Netzwerken.
• Sensibilisiere die Personen um dich herum: Ermutige Angestellte oder Haushaltsmitglieder, verdächtige Nachrichten zu melden und an Schulungen oder Phishing-Simulationen teilzunehmen.

FAQs