← Zurück zum Blog Sicherheit

Social-Engineering-Angriffe: Warum Ihre Mitarbeiter das Ziel sind

Envestis Team 15 Min. Lesezeit

Der Angriff, den Firewalls nicht aufhalten konnen

Ihr Unternehmen kann die beste Firewall haben, verschlusselte Kommunikation, Zwei-Faktor-Authentifizierung auf jedem Konto und eine Website, die nach Sicherheits-Best-Practices gebaut wurde. Nichts davon zahlt, wenn ein Angreifer Ihre Empfangsdame anrufen kann, sich als IT-Abteilung ausgibt und sich einen Verifizierungscode vorlesen lasst. Oder hinter einem Mitarbeiter ins Buro geht, der die Tur aufhalt. Oder einen USB-Stick mit der Aufschrift "Gehaltsreport Q3" auf dem Parkplatz liegen lasst.

Social Engineering ist die Praxis, Menschen zu manipulieren, damit sie vertrauliche Informationen preisgeben oder Handlungen ausfuhren, die die Sicherheit gefahrden. Es zielt auf die menschliche Psychologie ab, nicht auf technische Schwachstellen. Und es funktioniert mit alarmierender Bestandigkeit, besonders gegen kleine und mittlere Unternehmen, wo formale Sicherheitsprozesse oft informell oder nicht vorhanden sind.

Laut dem Verizon Data Breach Investigations Report ist das menschliche Element an 74% aller Datenverletzungen beteiligt. Angreifer wahlen Social Engineering, weil es effektiv, gunstig und skalierbar ist.

Social Engineering vs technisches Phishing

Phishing (das wir in unserem Artikel uber Business-E-Mail-Phishing behandeln) ist ein spezifischer Typ von Social Engineering, der betrugerische E-Mails verwendet. Social Engineering im weiteren Sinne umfasst auch Angriffe, die personlicher und gezielter sind, oft personlich oder telefonisch durchgefuhrt.

Ein Angreifer, der Ihr Unternehmen auf LinkedIn recherchiert, den Finanzverantwortlichen namentlich identifiziert, das Buro anruft und sich als Lieferant ausgibt, betreibt Social Engineering. Die technische Raffinesse ist nahe null. Die psychologische Raffinesse ist hoch.

Die Kerntechniken

Pretexting

Pretexting ist die anspruchsvollste Form des Social Engineering. Der Angreifer erschafft ein fabriziertes Szenario und nimmt eine falsche Identitat an, um Informationen vom Ziel zu erhalten.

Szenarien, die gegen Unternehmen funktionieren:

  • Der IT-Support-Anruf: Ein Angreifer ruft einen Mitarbeiter an, gibt sich als IT-Anbieter des Unternehmens aus und bittet um Installation einer Fernzugriffssoftware oder die Weitergabe von Anmeldedaten, um "ein dringendes Problem zu losen."
  • Der neue Mitarbeiter: Ein Angreifer ruft die Finanzabteilung an und gibt sich als kurzlich eingestellter Mitarbeiter aus, der seine Zugangsdaten noch nicht erhalten hat.
  • Die Lieferantenverifikation: Ein Angreifer sendet eine E-Mail an die Buchhaltung und gibt sich als bestehender Lieferant aus, der um Aktualisierung der Bankdaten bittet.
  • Die Geschaftsfuhrer-Anfrage: Ein Angreifer gibt sich als CEO aus und weist einen Mitarbeiter an, eine dringende Uberweisung vorzunehmen.

Was Pretexting effektiv macht, ist die Vorbereitung. Angreifer recherchieren ihre Ziele. Sie kennen Namen, Jobtitel, Organisationsstrukturen und Lieferantenbeziehungen. LinkedIn, Unternehmenswebsites und Social-Media-Posts liefern alle notigen Informationen.

Baiting

Physisches Baiting: Das klassische Beispiel ist ein USB-Stick in einem offentlichen Bereich, beschriftet mit "Vertraulich" oder "Gehaltsreport." Ein Experiment der University of Illinois zeigte, dass 48% der gefundenen USB-Sticks in Computer gesteckt wurden.

Digitales Baiting: Kostenlose Software-Downloads oder gefalschte Tools, die Malware enthalten.

Tailgating

Tailgating ist physisches Social Engineering. Der Angreifer folgt einer autorisierten Person durch eine gesicherte Tur. In kleinen Buros, wie sie fur Unternehmen in Lugano und im Tessin typisch sind, ist Tailgating trivial einfach. Viele kleine Unternehmen haben uberhaupt keine elektronische Zutrittskontrolle. Ein Angreifer in Business-Kleidung, der selbstsicher hereinkommt, wird selten hinterfragt.

Einmal drinnen hat der Angreifer physischen Zugang zu Arbeitsstationen, Druckern, Netzwerkanschlussen und ungesperrten Computern.

Vishing (Voice Phishing)

Vishing nutzt Telefonanrufe statt E-Mails. Es ist effektiv, weil Telefongesprache psychischen Druck erzeugen, den E-Mails nicht erzeugen. Bei einem Gesprach in Echtzeit besteht sozialer Druck zu antworten, hilfreich zu sein, nicht misstrauisch zu wirken.

Gangige Vishing-Szenarien:

  • Bankverifizierung: "Hier ist Ihre Bank. Wir haben ungewohnliche Aktivitaten festgestellt. Bestatigen Sie bitte Ihre Kontonummer."
  • Steuerbehorde: "Hier ist das kantonale Steueramt. Es gibt eine Unstimmigkeit in Ihrer Steuererklarung."
  • Technischer Support: "Ich rufe von Microsoft an. Ihr Computer sendet verdachtigen Datenverkehr."

Die Anrufer-ID kann gefalscht werden. Die angezeigte Nummer kann die echte Nummer Ihrer Bank zeigen.

Warum kleine Unternehmen besonders verwundbar sind

  • Vertrauenskultur: In einem kleinen Unternehmen kennt jeder jeden. Ein freundlicher Fremder, der den Buroleiter beim Vornamen fragt, ist nicht verdachtig. Dieses Hochvertrauens-Umfeld ist wunderbar fur Geschaftsbeziehungen und schlecht fur die Sicherheit.
  • Kein formaler Besucherprozess: Viele kleine Buros haben keinen Empfang, kein Besucherregister und keine Badge-Anforderungen.
  • Multi-Rollen-Mitarbeiter: Die Person, die die Buchhaltung macht, verwaltet auch die Website und die Lieferantenbeziehungen. Sie ist beschaftigt und abgelenkt.
  • Kein Sicherheitsbewusstseinstraining: Die meisten KMU fuhren keine formale Schulung durch. Das erste Mal, dass Mitarbeiter einem Social-Engineering-Angriff begegnen, ist der Ernstfall.
  • Autoritatsbasierte Kultur: In vielen Schweizer KMU sind Mitarbeiter darauf konditioniert, Anweisungen der Geschaftsleitung ohne Hinterfragen zu befolgen.

Reale Szenarien aus dem Schweizer Geschaftskontext

Ein Tessiner Handelsunternehmen erhielt einen Anruf von jemandem, der behauptete, von ihrer Bank zu sein. Der Anrufer kannte den Firmennamen, den Namen des Kundenbetreuers und kurzliche Transaktionsbetrage. Der Finanzverantwortliche gab einen Verifizierungscode heraus, den der Angreifer fur eine betrugerische Uberweisung nutzte.

Ein Architekturburo in einem Gemeinschaftsburogebaude hatte keine Zutrittskontrolle ausser einem Turcode, der unter allen Mietern geteilt wurde. Ein Angreifer betrat das Gebaude, fand das Buro wahrend der Mittagspause unverschlossen und verbrachte funfzehn Minuten mit dem Fotografieren von Projektdokumenten und Kopieren von Dateien.

Ein Fertigungsunternehmen erhielt eine E-Mail von einer Domain, die sich um ein Zeichen von der echten Lieferantendomain unterschied. Das Unternehmen aktualisierte die Zahlungsdaten und uberwies zwei Monate lang an das betrugerische Konto.

Eine menschliche Firewall aufbauen

Sicherheitsbewusstseinstraining

  • Erkennung: Was sind die Anzeichen? Dringlichkeit, Autoritatsdruck, ungewohnliche Anfragen.
  • Verifizierung: Wie man die Identitat eines Anrufers uberpruft. Nie die vom Anrufer angegebenen Kontaktdaten verwenden.
  • Meldung: Was tun bei Verdacht auf einen Social-Engineering-Versuch.
  • Ubung: Simulierte Ubungen. Vishing-Simulationen, simulierte Phishing-E-Mails, autorisierte Tailgating-Tests.

Das Training sollte regelmasssig sein, nicht jahrlich. Vierteljahrliche Sitzungen von 20-30 Minuten sind weitaus effektiver als ein jahrliches zweistundiges Seminar.

Klare Verfahren

  • Verifizierung von Zahlungsanderungen: Jede Anfrage muss uber einen separaten Kommunikationskanal verifiziert werden.
  • Informationsweitergabe-Richtlinie: Definieren Sie, was telefonisch geteilt werden darf und was nicht.
  • Besuchermanagement: Auch in einem kleinen Buro einen Grundprozess implementieren.
  • USB-Richtlinie: Gefundene USB-Sticks durfen nie in Arbeitscomputer gesteckt werden.
  • Eskalationsweg: Mitarbeiter mussen genau wissen, wen sie kontaktieren konnen. Niemand sollte bestraft werden, weil er sich Zeit fur eine Verifizierung genommen hat.

Sicherheitskultur

  • Die Fuhrung geht mit gutem Beispiel voran
  • Keine Schuldzuweisung bei Meldungen: Unterstutzung statt Bestrafung.
  • Wachsamkeit belohnen
  • Regelmassige Kommunikation: Anonymisierte Beispiele in Teammeeetings teilen.

Praktische Verteidigungscheckliste

  1. Fuhren Sie eine 30-minutige Schulung durch zu Pretexting, Vishing und Baiting.
  2. Etablieren Sie ein Zahlungsanderungs-Verifizierungsverfahren.
  3. Definieren Sie eine Informationsweitergabe-Richtlinie.
  4. Implementieren Sie einen Besucherprozess.
  5. Testen Sie Ihr Team mit simulierten Versuchen.
  6. Richten Sie einen Meldekanal ein.
  7. Fuhren Sie einen simulierten Phishing-Test durch.
  8. Planen Sie vierteljahrliche Auffrischungssitzungen.

Wenn Sie Hilfe bei der Gestaltung eines Sicherheitsbewusstseinsprogramms benotigen, kontaktieren Sie unser Team in Lugano. Wir arbeiten mit Unternehmen im gesamten Tessin und der Schweiz, um die menschliche Verteidigungsschicht aufzubauen, die Technologie allein nicht bieten kann. Fur einen breiteren Blick lesen Sie unseren vollstandigen Cybersicherheits-Leitfaden fur KMU.

Wollen Sie wissen, ob Ihre Website sicher ist?

Fordern Sie ein kostenloses Sicherheitsaudit an. In 48 Stunden erhalten Sie einen vollständigen Bericht.

Kostenloses Audit Anfordern

Verwandte Artikel

Sicherheit

WordPress-Schwachstellen 2025: Warum Ihre Website Immer Noch Gefahrdet Ist

WordPress betreibt uber 40% des Webs, aber seine Popularitat macht es zum grossten Ziel fur Angreifer. Wir analysieren die haufigsten Schwachstellenklassen, echte CVEs und konkrete Schritte zur Hartung Ihrer Installation.

· 18 Min. Lesezeit
Sicherheit

SPF, DKIM und DMARC: Schutzen Sie Ihr Unternehmen vor Email-Spoofing

Email-Spoofing kostet Unternehmen jahrlich Milliarden durch BEC-Betrug und Phishing. SPF, DKIM und DMARC sind drei Protokolle, die korrekt konfiguriert das Falschen Ihrer Domain nahezu unmoglich machen.

· 15 Min. Lesezeit
Sicherheit

Exponierte Admin-Seiten: Ein Geschenk fur Hacker

Ihre /wp-admin, /admin oder /login-Seite ist fur das gesamte Internet sichtbar. Bots scannen sie gerade. CAPTCHA allein wird Sie nicht retten. So nutzen Angreifer exponierte Admin-Panels aus und was Sie dagegen tun sollten.

· 13 Min. Lesezeit

Schnellkontakt