Social Engineering

So schützen Unternehmen sich und ihre Kund:innen vor Manipulation

Das Phänomen, dass Menschen andere manipulieren, um darüber bestimmte Vorteile zu erzielen, ist so alt wie die Menschheitsgeschichte – und auch in der digitalen Welt längst eine omnipräsente Bedrohung. Täglich wird man über die Medien vor neuen Cyberangriffen gewarnt, und immer wieder wird klar: Die größte Schwachstelle in der digitalen Welt ist und bleibt der Mensch, der mit Social-Engineering-Methoden dazu gebracht wird, vertrauliche Informationen preiszugeben oder Sicherheitsmaßnahmen zu umgehen.

Die Folgen für Unternehmen reichen von finanziellen Schäden und Datenverlusten bis hin zu Reputationsrisiken, weil Mitarbeitende oder Kund:innen allzu unbedacht handeln. Doch mit den richtigen Maßnahmen lässt sich das Risiko minimieren.

Die fünf häufigsten Social-Engineering-Methoden

Social Engineering zeichnet sich dadurch aus, dass Angreifer ihre Opfer dazu bringen, vertrauliche Informationen preiszugeben, indem sie sich als bekannte Person oder legitime Entität ausgeben. Und es gibt eine ganze Reihe an Methoden, die unter den Begriff Social Engineering fallen.

Phishing – der Klassiker unter den Betrugsmaschen

Laut Statista waren im dritten Quartal 2024 neben Social Networks und SaaS-/Webmail-Anbietern Finanzinstitute, E-Commerce- und Payment-Anbieter am häufigsten Ziel von Phishing-Attacken. Dabei erhalten Mitarbeitende oder Kund:innen täuschend echt wirkende, aber gefälschte Spam-Mails, SMS oder Chat-Nachrichten, die sie zur Eingabe sensibler Daten bewegen sollen – und immer wird suggeriert, dass akuter Handlungsbedarf besteht:

• Eine scheinbar von der „IT-Abteilung“ stammende E-Mail fordert die Mitarbeitenden auf, ihr Passwort aufgrund einer angeblichen Sicherheitslücke zurückzusetzen.
• Kund:innen eines Finanzinstituts wird mitgeteilt, dass ihr Account gehackt wurde, eine Zahlung nicht erfolgen konnte oder ähnliche Vorfälle, die ein direktes Einloggen in eine – natürlich täuschend echte, aber gefakte – Website erforderlich machen.

Angesichts der ebenfalls von Statista veröffentlichten Zahlen lag der Anteil der Spam-Mails am gesamten E-Mail-Verkehr im Dezember 2024 weltweit bei rund 44,6 Prozent (mit über 30 Prozent kam der Großteil der Spam-Mails im Jahr 2024 übrigens aus Russland). Diese Zahl lässt erahnen, welche Dimensionen das Phänomen Phishing erreicht hat. Und wie schnell kann es passieren, dass jemand unbedacht „in die Falle tappt“ – als Kund:in oder Mitarbeitende/r.

Spear Phishing – gezielte Angriffe auf Führungskräfte & Mitarbeitende

Im Gegensatz zum klassischen Phishing sind Spear-Phishing-Angriffe individuell angepasst und die Opfer sind in den meisten Fällen Mitarbeitende in Unternehmen. Beim Spear Phishing konzentrieren sich Kriminelle darauf, ganz gezielt individuelle Informationen über das Opfer zu sammeln, um besonders glaubwürdige Nachrichten zu erstellen.

Da erhält beispielsweise ein CFO oder eine Person aus der Buchhaltung eine E-Mail von der IT-Abteilung mit der Aufforderung, sich mit den persönlichen Zugangsdaten im „neuen Finanzsystem“ anzumelden.

Pretexting – Identitätsbetrug durch erfundene Geschichten

Beim Pretexting geben sich Angreifer als vertrauenswürdige Personen oder Organisationen aus. Sie täuschen einen plausiblen Grund vor, um sensible Informationen oder Zugriff zu internen Systemen zu erhalten.

Beim Pretexting fordert beispielsweise ein „Mitarbeitender der Personalabteilung“ eine neue Kollegin oder einen neuen Kollegen dazu auf, die Login-Daten für das Gehaltsabrechnungssystem zu bestätigen. Der Link zu diesem gefakten System wird praktischerweise gleich mitgeschickt.

Baiting – die Neugier-Falle

Beim Baiting setzen Angreifer auf die menschliche Neugier, indem sie schädliche Dateien oder Links als attraktive Downloads tarnen.

Dafür wird etwa ein USB-Stick mit dem Label „Bonusliste 2024“ auf dem Firmenparkplatz platziert. Ein Mitarbeitender findet ihn und steckt ihn in seinen PC – wodurch ein Virus aktiviert wird, der unter Umständen dazu führt, dass alle Daten auf den sensiblen Unternehmensservern gelöscht oder, schlimmer noch, kopiert und von Cyberkriminellen genutzt werden, um das betroffene Unternehmen zu erpressen und/oder Kundendaten zu entwenden.

Quid Pro Quo – gefährliche Gegenleistungen

Bei dieser Methode bieten Angreifer einen vermeintlichen Vorteil im Austausch für sensible Informationen oder Systemzugriffe an. Da ruft etwa jemand aus dem „IT-Support“ an und bietet Hilfe bei einem angeblichen Problem, das die angerufene Person selbst noch gar nicht bemerkt hat und fordert sie dazu auf, die Login-Daten weiterzugeben, damit man schnell eine Lösung des vermeintlichen Problems herbeiführen könne.

Social-Engineering-Gefahren minimieren mit Identifikations-Lösungen

Damit Unternehmen die Gefahren minimieren können, die von den verschiedenen Social-Engineering-Methoden ausgehen, sind zielgruppenspezifische Identifikations-Lösungen und Verfahren – wie zum Beispiel VideoID – als essenziell zu betrachten.

Know-Your-Employee-Prinzip (KYE)

Unternehmensintern sollten Prozesse und Instrumente etabliert sein, die dem Know-Your-Employee-Prinzip folgen. In dezentralen Organisationsstrukturen, bei denen ganze Teams ausschließlich remote arbeiten, ist die eindeutige Identifikation der Mitarbeitenden dringend angeraten, wofür WebID ein ausgefeiltes Portfolio an Ident-Verfahren anbietet.

In Branchen, die einer besonderen Sorgfaltspflicht unterliegen, ist die Verifikation nach dem KYE-Prinzip verständlicherweise verpflichtend. Dazu gehören Unternehmen, die regulatorischen und Compliance-Vorgaben zur Vermeidung von Geldwäsche, Terrorismusfinanzierung oder anderen Finanzdelikten unterliegen, also beispielsweise Banken, Finanzinstitute, Versicherungen oder Immobilienhändler. Aber auch Unternehmen mit hoher Datensensibilität oder komplexen Lieferketten sind verpflichtet, die Identität ihrer Mitarbeitenden sorgfältig zu prüfen.

Know-Your-Customer (KYC)

Zu guter Letzt ist auch die Identifikation von Kundinnen und Kunden nach dem KYC-Prinzip als eine dringend anzuratende Maßnahme zu nennen, mit deren Hilfe Unternehmen die Gefahren minimieren können, die über die verschiedenen Methoden des Social Engineerings drohen.

Natürlich gibt es auch hier Branchen, deren Unternehmen verpflichtet sind, eine Geldwäsche- oder Anti-Money-Laundery-konforme Identifikation ihrer Kund:innen durchzuführen, Banken und Finanzdienstleister etwa, oder Versicherungen, Immobilienhändler, Notariate und andere.

Weitere Maßnahmen zum Schutz vor Social-Engineering-Angriffen

Unternehmen können neben der Nutzung sicherer Ident-Verfahren viele Maßnahmen ergreifen, um die Risiken von Social-Engineering-Attacken zu minimieren, die über den Weg der Mitarbeitenden zur Gefahr für die IT-Infrastruktur und die Sicherheitssysteme werden könnten.

Und natürlich ist es ebenso wichtig, Maßnahmen zu definieren, über die der Schutz von Kundinnen und Kunden vor Social-Engineering verbessert werden kann.

Security Awareness & Mitarbeiterschulungen

Die Fachbereiche im Unternehmen, die das operative Geschäft verantworten und auf deren Tagesgeschäft sich unternehmerische Risiken auswirken können, sind in Bezug auf die „Three Lines of Defense“ die erste Verteidigungslinie gegen Social-Engineering-Angriffe. Als Risikoeigentümer sind sie entsprechend zuständig dafür, Gefahren in ihrer operativen Tätigkeit frühzeitig zu erkennen, zu beurteilen, zu steuern und zu reduzieren, Regelmäßige Schulungen und interaktive Simulationen erhöhen das Bewusstsein für Bedrohungen durch Phishing, Spear-Phishing und Co.

In vielen (vor allem) international agierenden Unternehmen gehören darum Online-Schulungen und Phishing-Tests zur allgemeinen Routine, um die Sensibilisierung für das Thema Social Engineering sowie die Reaktionsfähigkeit der Teams zu verbessern.

Multi-Faktor-Authentifizierung (MFA) verpflichtend machen

Selbst wenn Kriminelle die Passwörter der Belegschaft sowie der Kund:innen durch einen Social-Engineering-Angriff entwendet haben, können Multi-Faktor-Authentifizierungen den unbefugten Zugriff durch Cyberkriminelle zumindest deutlich erschweren.

Kommunikationssicherheit erhöhen

Die Kommunikation innerhalb eines Unternehmens sowie mit externen Parteien findet per E-Mail, via Chat und natürlich auch via Telefon statt. Über alle Kommunikationsinstrumente können Social-Engineering-Angriffe erfolgen, weshalb es wichtig ist, entsprechende Vorgaben und Maßnahmen zu definieren. Call-Back-Verfahren haben sich etwa bewährt, wenn es um die telefonische Kontaktaufnahme geht. Statt direkt vertrauliche Daten herauszugeben, sollten Mitarbeitende die Anrufer über eine bekannte, offizielle Nummer zurückrufen.

Mit modernen Sicherheitslösungen lassen sich außerdem verdächtige Nachrichten und E-Mails automatisch filtern. Viele Unternehmen haben darum bereits KI-gestützte Systeme zur Identifikation und Abwehr von Spear-Phishing-Angriffen implementiert.

Strenge Zugriffskontrollen & Zero-Trust-Security

Auch das Aufsetzen eines ausgefeilten Rollen-Rechte-Systems nach der Zero-Trust-Architektur kann dazu beitragen, das Risiko von Social-Engineering-Angriffen zu verringern. Haben die Mitarbeitenden nur Zugriff auf diejenigen Unternehmenssysteme, die sie für ihre Arbeit wirklich benötigen, wird das „Einfallstor“ für unbefugte Zugriffe durch Kriminelle zumindest verringert.

Klare Sicherheitsrichtlinien für Kund:innen & Geschäftspartner:innen

Auch externe Dienstleister, kooperierende Unternehmen und Kund:innen sind potenzielle Ziele von Social Engineering, weshalb die externe Kommunikation möglichst ausschließlich über offizielle Kontaktwege erfolgen sollte. Ferner sollten Unternehmen Sicherheitsrichtlinien in ihre Kommunikation integrieren, sofern sie dazu nicht bereits gesetzlich verpflichtet sind.

Fazit: Social Engineering ist eine reale Gefahr – aber die Risiken können (erheblich) minimiert werden

Cyberkriminelle setzen zunehmend auf psychologische Manipulation, um Unternehmen und deren Mitarbeitende anzugreifen. Die beste Verteidigung ist eine Kombination aus technischen Sicherheitslösungen, geschulten Mitarbeitern und Sicherheitsrichtlinien.

Unternehmen, die frühzeitig in Security Awareness Schulungen, State of the Art Schutzmaßnahmen sowie ausgefeilte und sichere Ident-Verfahren investieren, minimieren nicht nur ihr eigenes Risiko – sondern stärken auch das Vertrauen ihrer Kund:innen und Geschäftspartner:innen.