Logo o2 Business Compass

Social Engineering: Wie Cyberkriminelle die Schwachstelle Mensch ausnutzen 

11..03.2026

Ein Mitarbeiter sitzt im Büro vor seinem Laptop und schaut skeptisch auf einen unbekannten USB-Stick in seiner Hand.

Ein Dienstleister bittet darum, die Tür aufzuhalten. Ein herrenloser USB-Stick weckt Neugier. Der angebliche IT-Support fordert am Telefon Ihr Passwort. Solche Situationen wirken alltäglich – können aber Teil eines Angriffs sein. Mit Social Engineering manipulieren Angreifer gezielt die Menschen im Unternehmen, um Zugriff auf das Firmennetzwerk und sensible Daten zu erhalten.

Was ist Social Engineering?

Social Engineering bezeichnet die gezielte psychologische Manipulation von Personen mit dem Ziel, vertrauliche Informationen zu erlangen oder sicherheitsrelevante Handlungen auszulösen – etwa die Preisgabe von Zugangsdaten oder die Freigabe einer Zahlung.

Angreifer nutzen dabei typische Verhaltensmuster wie:

  • Hilfsbereitschaft
  • Respekt vor Autorität
  • Zeitdruck
  • Angst vor negativen Konsequenzen
  • Neugier oder Geltungsbedürfnis

Der entscheidende Punkt: Die technische Sicherheitsarchitektur bleibt oft intakt. Statt Firewalls oder Endpoint-Schutz direkt anzugreifen, umgehen Täter organisatorische und menschliche Kontrollmechanismen.

Social Engineering gehört zu den häufigsten Angriffsmustern, wie u. a. Daten des Cybersecurity-Unternehmens Palo Alto Networks belegen. Oft dient die Manipulation als Einstiegspunkt für weitreichende Angriffe auf die IT-Infrastruktur. Dafür recherchieren die Täter häufig vorab in sozialen Netzwerken oder Geschäftsberichten, um durch Kontext und Informationen glaubwürdig zu wirken. 

Cybersicherheit

Steigern Sie die Datensicherheit Ihres Unternehmens auf höchstes Niveau und schützen Sie sich so vor Sabotage oder Datendiebstahl.

Zu Cybersicherheit

Merkmale von Social-Engineering-Attacken erkennen

Um einen Cyberangriff dieser Art frühzeitig abzuwehren, sollten Sie die typischen Verhaltensmuster und Vorgehensweisen der Täter kennen. Achten Sie auf folgende Warnsignale:

  • Künstlicher Zeitdruck: Sofortige Handlung ohne Rücksprache wird eingefordert.
  • Drohkulisse: Es wird mit Kontosperrung, Vertragskündigung oder disziplinarischen Folgen gedroht.
  • Vorgegebene Autorität: Die Anfrage scheint von einer Führungskraft, einem IT-Administrator oder einer Behörde zu stammen, setzt sie aber unter Zeitdruck und/oder baut eine Drohkulisse auf.
  • Ungewöhnlicher Kommunikationsweg: Ein Teammitglied oder eine Führungsperson nimmt plötzlich über ungewöhnliche Kanäle wie Messenger-Dienste, SMS oder eine unbekannte E-Mail-Adresse Kontakt auf.
  • Anfragen sensibler Informationen: Fragen nach Passwörtern, internen Prozessdetails oder der Durchführung von Testüberweisungen.
  • Emotionale Ansprache: Schmeichelei, Mitleid oder vermeintliche Notlagen.

Kombination mehrerer Methoden

In der Praxis kombinieren Täter psychologische Hebel und Kommunikationskanäle.

  • Beispiel: Eine Person gibt sich als Administrator aus, kontaktiert Mitarbeitende per Messenger statt über das Ticketsystem und fordert unter Androhung einer Kontosperre die Herausgabe eines Einmalcodes.
  • Ebenso möglich: Physischer Zutritt zu Gebäuden durch „Tailgating“ – etwa wenn sich eine unbefugte Person unter einem Vorwand Zugang zu gesicherten Bereichen verschafft.

Für Unternehmen bedeutet das: Social Engineering ist nicht nur ein E-Mail-Problem, sondern betrifft physische Sicherheit, Identitätsmanagement und Prozesskontrollen gleichermaßen.

O2 Business Security Service Edge

Die Sicherheitslösung für Ihr komplettes Unternehmensfeld: Büros, Remote-Arbeitsplätze und die genutzten Cloud-Anwendungen.

Zu O2 Business Security Service Edge

Arten von Social Engineering

Die Vielfalt der Social-Engineering-Angriffe nimmt stetig zu, wobei die Täter ihre Taktiken und Methoden an die jeweilige Zielgruppe anpassen. Die oben genannten Merkmale lassen sich jedoch bei allen feststellen.

  • Phishing: Massenhaft versendete Phishing-Mails mit dem Ziel, Zugangsdaten abzugreifen oder Schadsoftware einzuschleusen.
  • Spear-Phishing: Individuell recherchierte Angriffe auf einzelne Personen oder Funktionen.
  • Whaling: Spear-Phishing gegen Geschäftsführung oder Top-Management, häufig mit Fokus auf Finanztransaktionen.
  • Vishing: Telefonbasierter Betrug, etwa durch vorgetäuschten IT-Support.
  • Smishing: SMS- oder Messenger-Nachrichten mit schädlichen Links. Diese können etwa schädliche Links enthalten, um das Handy mit Malware zu infizieren.
  • Baiting: Platzierung infizierter Datenträger (z. B. USB-Sticks) oder Download-Angebote.
  • Pretexting: Aufbau eines glaubwürdigen Vorwands zur gezielten Informationsbeschaffung.
  • Tailgating/Piggybacking: Unbefugter physischer Zutritt zu Sicherheitsbereichen durch Ausnutzen von Höflichkeit oder Routine.
  • Scareware: Falsche Warnmeldungen, die zur Installation vermeintlicher Sicherheitssoftware drängen.
  • Quishing: Manipulierte QR-Codes, um Personen mit Mobilegeräten wie Firmenhandys auf Phishing-Seiten zu locken oder Malware zu verbreiten.
Abbildung: Junger Mann im dunkelblauen Hemd mit braunen Haaren schaut lächelnd auf das Smartphone in seiner Hand

O2 Business Webguard

Mehr Sicherheit für Ihr Smartphone beim Surfen im Mobilfunknetz: Ihr Onlineschutz vor Schadsoftware und Co. – einfach, zuverlässig und kosteneffizient.

Mehr zu O2 Business Webguard

Beispiele: Prominente Vorfälle der letzten Jahre

Angriff auf MGM Resorts International und Caesars Entertainment (2023)

Im Jahr 2023 griff eine Hackergruppe die Hotel- und Casinobetreiber MGM Resorts und Caesars Entertainment erfolgreich mit einer Social-Engineering-Kampagne an. Die Angreifer recherchierten Informationen auf Plattformen wie LinkedIn und nutzten Vishing, um IT-Mitarbeiter zu täuschen. Dabei handelte es sich im Falle von MGM Resorts um den internen IT-Helpdesk, bei Caesars Entertainment um einen externen IT-Dienstleister.

So verschafften sich die Angreifer Zugriff auf interne Systeme beider Unternehmen. Danach starteten sie einen Ransomware-Angriff auf MGM Resorts. Der Schaden belief sich auf etwa 100 Millionen US-Dollar. Von Ceasars Entertainment erbeutete die Hackergruppe sensible Daten und forderte ein hohes Lösegeld. Das Unternehmen zahlte etwa 15 Millionen US-Dollar.

Spear-Phishing-Angriff auf Twitter

Wenn Prominente wie Barack Obama plötzlich Werbung für Kryptowährung machen, sollte das Misstrauen wecken. So geschehen beim Angriff auf Twitter (heute X) im Jahr 2020: Durch gezieltes Spear-Phishing gegen Mitarbeitende erlangten die Täter Zugriff auf interne Administrations-Tools. Dadurch konnten sie Zugangsdaten ändern und Accounts übernehmen. Die Konten bekannter Persönlichkeiten wie Barack Obama und Elon Musk nutzten sie für Kryptowährungs-Betrug.

FACC und der CEO-Fraud

Im Jahr 2016 wurde der österreichische Flugzeugzulieferer FACC Opfer eines CEO-Fraud-Angriffs. Cyberkriminelle fälschten eine E-Mail-Adresse des Vorstandsvorsitzenden, um eine vermeintlich geheime und dringende Überweisung für eine Firmenübernahme zu autorisieren. Der Schriftverkehr umfasste etwa 40 E-Mails, um Vertrauen aufzubauen.

Der finanzielle Schaden belief sich auf insgesamt rund 50 Millionen Euro. Sowohl der CEO als auch die Finanzchefin wurden nach Bekanntwerden des Schadens vom Aufsichtsrat entlassen.

Abbildung: Zwei Männer in lockerer Kleidung auf Schreibtisch abgestützt schauen zusammen in Laptop

O2 Business CTAP

Erhalten Sie einen Überblick über aktuelle Sicherheitsrisiken in Ihrem Netzwerk mit dem Cyber Threat Assessment Program (CTAP) in Kooperation mit Fortinet.

Zu O2 Business CTAP

Social Engineering verhindern

Social Engineering ist schwer abzuwehren, da es auf die „Schwachstelle Mensch“ und nicht auf technische Infrastruktur zielt. Daher braucht es eine Kombination aus Bewusstsein in der Belegschaft und technischer Sicherheit.

1. Klare Prozesse etablieren

  • Verbindliche Freigabeprozesse für Finanztransaktionen (z. B. Vier-Augen-Prinzip).
  • Klare Regeln: Keine Passwort- oder Code-Weitergabe – auch nicht an interne IT-Stellen.
  • Definierte Meldewege für verdächtige Anfragen.

2. Regelmäßige Schulungen

  • Awareness-Trainings mit realistischen Szenarien.
  • Simulierte Phishing-Kampagnen zur Erfolgsmessung.
  • Sensibilisierung für physische Sicherheitsrisiken (Zutrittskontrolle).

3. Technische Schutzmaßnahmen

  • Multi-Faktor-Authentifizierung (MFA) für möglichste alle Systeme und Anwendungen.
  • Least-Privilege-Prinzip für administrative Zugänge.
  • E-Mail-Security-Gateways mit URL- und Attachment-Scanning.
  • Monitoring von Anmeldeanomalien und risikobasiertes Access Management.
  • Regelmäßige Back-ups zur Schadensbegrenzung bei Folgeschäden.

O2 Business Clean E-Mail

Mehr als ein Standardschutz: die integrierte Gefahrenabwehr für eines der wichtigsten Kommunikationsmittel im Unternehmen.

Zu O2 Business Clean E-Mail

Social Engineering im Überblick 

Social Engineering …

  • zielt auf die „Schwachstelle Mensch“, um technische Sicherheitsvorkehrungen zu umgehen und z. B. Zugangsdaten zu erbeuten. 
  • versucht Menschen emotional zu beeinflussen. Z. B. durch Druck, Autorität, Schmeichelei oder Ausnutzen der Hilfsbereitschaft.
  • hat viele Methoden wie Phishing, Vishing, Smishing, Tailgating und Pretexting.
  • lässt sich durch geschultes Personal, klare Sicherheitsrichtlinien und mit technischen Mitteln erkennen und abwehren.

Häufig gestellte Fragen

Angreifer nutzen menschliche Verhaltensmuster wie Hilfsbereitschaft, Vertrauen oder den Respekt vor Autoritäten aus. Oft erzeugen sie künstlichen Zeitdruck oder schüren Angst vor negativen Folgen, um eine schnelle Handlung ohne kritisches Hinterfragen zu provozieren. Auch Neugier und die Gier nach persönlichen Vorteilen werden gezielt als Hebel für die Manipulation eingesetzt.

Phishing gilt als die am häufigsten eingesetzte Methode des Social Engineerings. Dabei versuchen Täter, über massenhaft versendete E-Mails an sensible Zugangsdaten zu gelangen oder Schadsoftware in Unternehmensnetzwerke einzuschleusen.

Deepfakes sind immer schwieriger zu erkennen. Achten Sie bei Video- oder Audioanrufen auf unnatürliche Pausen, metallische Stimmen oder Bildfehler bei schnellen Bewegungen.

Passend zum Thema

Nahaufnahme weiblicher Hände, die auf einem Laptop tippen. Abgedunkelter Raum, einzige Lichtquelle sind Tastatur und Bildschirm des Laptops.

E-Mail-Verschlüsselung: Schutz Ihrer geschäftlichen Kommunikation

Das Wichtigste über E-Mail-Verschlüsselung und warum sie für Unternehmen wichtig ist – verschiedene Methoden und rechtliche Vorgaben erklärt.

Artikel lesen
Ein IT-Experte deutet auf Code, der an eine Wand projiziert wird.

Pentests: So testen ethische Hacker Ihre IT-Sicherheit

Ein Penetrationstest ist ein simulierter Cyberangriff von IT-Sicherheitsexperten. Welche Arten es gibt und wie die Tests durchgeführt werden.

Artikel lesen
Nahaufnahme weiblicher Hände, die auf einem Laptop tippen

Effektiver Virenschutz: Ihr Unternehmen absichern

Erfahren Sie alles über wirksamen Virenschutz und warum eine effektive Antivirenlösung für die Cybersecurity Ihres Unternehmens unerlässlich ist.

Artikel lesen