Social Engineering: Warum der Faktor Mensch im Visier von Cyberkriminellen steht

Was bedeutet Social Engineering eigentlich?

Kurz gesagt: Es ist ein Angriff auf den Faktor Mensch. Statt technischer Schwachstellen manipulieren Angreifer gezielt menschliche Verhaltensweisen wie Hilfsbereitschaft, Respekt vor Autoritäten, Neugier oder erzeugen künstlich Angst. Durch diese psychologischen Tricks wird das Opfer zu Schritten verleitet, die ihm am Ende schaden.

 

Welche Methoden innerhalb der Social Engineering Sphäre existieren und wie Menschen als vermeintliche Sicherheitslücke ausgenutzt werden, zeigt folgende Übersicht:

Die 8 gängigsten Social Engineering Methoden

  1. Phishing

Phishing ist den Meisten bekannt, hat sich in den Jahren jedoch stark professionalisiert. Angreifer geben sich als bekannte Dienstleister, Banken oder sogar als die eigene Geschäftsführung aus. Durch täuschend echte Imitationen werden Opfer auf manipulierte Webseiten gelockt, um Login-Daten abzugreifen.

  • Reales Beispiel (Stand: 05.Juni 2026): Deutsche Kunden von der Direktbank DKB stehen derzeit im Visier von Betrügern. Sie erhalten gefälschte E-Mails, die behaupten, ihr Online-Banking und ihre Kreditkarten seien vorübergehend deaktiviert worden. Unter hohem Druck werden sie aufgefordert, ihr „Konto zu entsperren“.
  • Fakten: Das FBI stellt Phishing für das Jahr 2025 nach Anzahl der Beschwerden mit 191,561 zu den häufigsten Arten von Cyberbetrug. Der Verizon Bericht zeigt zudem: Während der Phishing-Anteil bei Social Engineering Vorfällen im Jahr 2024 noch 31 % war, hat es sich bis 2026 mit 66 % mehr als verdoppelt.

 

  1. SEO Poisoning

Während Phishing ursprünglich über E-Mails stattfindet, nutzen Angreifer beim SEO Poisoning Suchmaschinen. Sie erstellen im Vorfeld manipulierte Webseiten und optimieren diese so gut (Search Engine Optimization), dass sie bei bestimmten Suchbegriffen ganz oben in den Suchergebnissen landen. Nutzer klicken instinktiv auf die ersten Treffer, da diese Vertrauenswürdigkeit suggerieren.

  • Reales Beispiel: Angreifer schalteten auf Suchmaschinen wie Google gezielte Werbung für die beliebte Software. Die offizielle, legitime Webseite wurde dadurch nach unten verdrängt. Wer auf die infizierte Werbeanzeige klickte, installierte statt der Software eine Schadsoftware (Malware) herunter, die sensiblen personenbezogenen Daten stahl:
    .

 

  1. Pretexting

Beim Pretexting baut der Angreifer über eine erfundene Identität und eine durchdachte Hintergrundgeschichte (den „Pretext“) gezielt Kontakt zum Opfer auf. Um Vertrauen zu gewinnen, recherchieren die Angreifer im Vorfeld oft reale Daten über das Unternehmen. Das Ziel ist es, das Opfer zu Handlungen oder der Herausgabe von Informationen zu bewegen, die es normalerweise niemals autorisieren würde. Der Angriff funktioniert nicht nur Digital.

  • Reales Beispiel: Bei Hewlett-Packard (HP) gaben sich Privatdetektiven als HP-Vorstandsmitglieder und Journalisten aus, um herauszufinden, wer interne Angelegenheiten an die Medien leitete. Sie erlangten so Zugriff auf firmeninterne Telefonprotokolle und langfristige Strategiepläne.

Fakten:  Der Verizon Bericht hält Pretexting im Zeitraum 2024 bis 2026 konstant als einer der häufigsten Social Engineering Angriffe und macht 38% aller gemeldeten Fälle aus.

 

  1. Vishing / Voice-Phishing

Vishing beschreibt den Betrug via Telefonanruf oder Sprachnachricht. Hier erleben wir aktuell eine neue Eskalationsstufe: Mithilfe von Künstlicher Intelligenz imitieren Kriminelle die Stimmen von Vorgesetzten oder Geschäftspartnern verblüffend echt. Gepaart mit künstlich erzeugtem Zeitdruck (z. B. einer angeblichen Notlage) werden Betroffene überrumpelt, sodass sie sensible Daten herausgeben oder Zahlungen anweisen.

  • Reales Beispiel: Ein Unternehmer erhält einen vermeintlichen Anruf hochrangigen Ministerium seines Landes. Die täuschend echte Stimme wies ihn an, eine Millionensumme für ein angebliches Großprojekt zu überweisen, bei dem namhafte Partnerfirmen bereits mitwirkten. Der Betrug fiel erst auf, als das Geld bereits weg war.
  • Fakten: Laut Berichten aus DeepStrike haben Vishing Angriffe im Jahr 2024 im Vergleich zum Vorjahr um 442 % Besonders betroffen sind die Bereiche wie Banken, Finanzabteilungen und Kundendienstabteilungen.

 

  1. Smishing

Beim Smishing werden klassische SMS oder Messenger-Dienste wie WhatsApp als Angriffsvektor genutzt. Da Kurznachrichten meist flüchtig unterwegs gelesen werden, klicken viele Nutzer schneller auf die angehängten Schadlinks. Klassiker ist z.B. ein angeblicher Paketdienst oder der hauseigene IT-Support, der eine dringende Systemaktualisierung fordert.

Übliche Versuche seitens der Angreifer können auch direkt die Familie betreffen:

  • Reales Szenario: Der Angreifer schreibt mit einer unbekannten Nummer per SMS oder WhatsApp und gibt sich als ein Familienmitglied aus. Damit der Betrug bei der Person an Rückhalt und Vertrauen gewinnt, soll mit einer erfundenen Geschichte, meist eine finanzielle Notlage, den Betroffenen dazu täuschen, schnell Geld zu überweisen.

 

  1. BEC (Business E-Mail Compromise / CEO Fraud))

Beim Business E-Mail Compromise übernehmen Angreifer die Identität von Führungskräften an. Anders als beim Phishing einfachen Phishing hacken die Angreifer hierbei oft die echten E-Mail-Konten der Chefs oder fälschen die Absenderadresse so perfekt (Domain-Spoofing), dass sie vom Original kaum zu unterscheiden ist. Zahlungsabwicklungen sollen unter strenger Geheimhaltung und Zeitdruck stattfinden.

  • Reales Beispiel: Die Regierung von Puerto Rico wurde 2019 und 2020 Opfer von BEC-Angriffen, bei denen versucht wurde, mehr als 4 Millionen US-Dollar zu stehlen. Hacker kompromittierten E-Mail-Konten und verschickten Nachrichten an Regierungsbeamte verschiedener Sektoren, in denen sie Änderungen an Zahlungskonten forderten.
  • Fakten: Das FBI listet BEC-Angriffe für das Jahr 2025 unter den Top 5 häufigsten Arten von Cyberbetrug nach Schadenshöhe und mit Verlusten von rund 3 Milliarden US-Dollar.

 

7.Angler Phishing

Im Gegensatz zum klassischen Phishing nutzen Angreifer gefälschte Konten im Sozialen Medien. Sie kopieren das Corporate Design von bekannten Unternehmen oder erstellen Konten für Firmen, die dort noch gar nicht vertreten sind. Wenn ein Kunde auf einer Plattform wie Facebook oder X (ehemals Twitter) ein Problem öffentlich postet, schalten sich gefälschte Support-Konten ein.

  • Reales Beispiel: Ein Nutzer beschwert sich öffentlich über ein Problem mit seinem Zahlungsdienstleister PayPal und markiert diesen, in der Hoffnung, dass sein Problem vom offiziellen Support gelöst wird. Ein gefälschter, aber täuschend echt aussehender Account reagiert und schickt einen Link zur angeblichen Kontoklärung. Dieser Link führt den Nutzer direkt auf eine Phishing-Seite.
  1. Quishing

 Quishing kombiniert Phishing mit QR-Codes. Die schädlichen Links werden in einem QR-Code versteckt, was die Erkennung durch automatisierte E-Mail-Filter erschwert. Solche Angriffe tauchen sowohl digital als auch physisch im öffentlichen Raum auf.

  • Reales Beispiel: Das Landeskriminalamt Niedersachsen warnte Mitte November 2024 vor überklebten QR-Codes auf Parkscheinautomaten in Hannover. Sie sollen angeblich auf eine mobile Bezahlseite von „easy park“ führen. Stattdessen öffnet sich aber eine gefälschte Seite im Aussehen der echten.

 

Maßnahmen und Schäden: Was bekannt ist

Der Schaden ist immens: Laut des Bundeskriminalamtes (BKA) verursachten Cyber-Angriffe für das Jahr 2022 direkte oder nachgelagerte Kosten in Höhe von 3,1 bis 3,7 Mrd. Euro für Privatpersonen und Unternehmen. Eine Schätzung, die laut dem Forschungsbericht als sehr konservativ gestaltet wurde. Unternehmen mit mehr als 10 Beschäftigten verzeichneten geschätzt 1,9 Mrd. bis 2,65 Mrd. Euro den Großteil dieser Kosten. Dabei macht Phishing als Cyberangriff einen Anteil von 22% unter den zuvor genannten Methoden aus.

Strikt zu trennen von den reinen Schadenssummen sind die Ausgaben für die Cybersicherheit, da Präventionsmaßnahmen eine völlig eigenständige Kategorie bilden: Allein die Kosten für Präventionsbemühungen wurden mit insgesamt rund 90 Mrd. Euro berechnet. Mit innenbegriffen sind zum Beispiel Kosten bei Privatpersonen, die in Form von Abonnements oder Einmalzahlungen für Antivirenprogramme zahlten.

Für weitere Informationen zu diesem Thema empfehlen wir den Forschungsbericht ‚Kosten und Schäden durch Cyber-Kriminalität in Deutschland‘ des BKA.

 

 

Die genannten Zahlen für Präventionsmaßnahmen sind hoch. Am Ende kommt es jedoch darauf an, ob ein Unternehmen frühzeitig und zielgerichtet mit dem richtigen Partner an seinen Schwachstellen arbeitet. Heutzutage drängt eine Vielzahl von Anbietern auf den Markt, die für den Ernstfall überteuerte Software oder theoretische Ratschläge verkaufen, ohne dass für die betroffenen Unternehmen am Ende eine echte Verbesserung in Aussicht steht.

Wie wir dich unterstützen können

Theorie ist gut, gelebte Praxis ist besser. Wir unterstützen dich dabei, die Theorie direkt in die Tat umzusetzen. Unser Expertenteam konzipiert und leitet maßgeschneiderte Awareness-Trainings, die exakt auf die Risikoprofile deines Unternehmens abgestimmt sind.

Jetzt ein unverbindliches Beratungsgespräch zu unseren Awareness-Trainings vereinbaren!

Weitere Leistungen:

  • Durchführung einer umfassenden Risikoanalyse
  • Entwicklung einer individuellen Risikomanagementstrategie
  • Implementierung von Sicherheitslösungen
  • Schulungen für deine Mitarbeiter
  • Schulungen für deine Mitarbeiter

Kontaktiere uns für ein unverbindliches Beratungsgespräch!

Haftungsausschluss:

Die in diesem Blogpost enthaltenen Informationen dienen lediglich zu Informationszwecken und stellen keine Rechtsberatung dar. Wir haben die Informationen nach bestem Wissen und Gewissen zusammengestellt, übernehmen jedoch keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen. Für eine verbindliche Auslegung der NIS-2-Richtlinie und deren Umsetzung in nationales Recht konsultiere bitte einen Rechtsberater.

Quellenangaben

<< Zurück zur Übersicht

Social Engineering - Warum der Faktor Mensch im Visier von Cyberkriminellen steht

Lass uns ins Gespräch kommen!

Kontakt

Vielleicht auch interessant für Sie

IT Sicherheit

Backdoors – Zwischen Überwachung und Service

Die Diskussion um Hintertüren in Soft- und Hardware ist politisch brisant und wird im Kontext der Cloud zunehmend komplexer.

Mehr >>

Anwendungsfall

NIS-2 Blogreihe – Teil 2: Der Weg von der EU-Richtlinie zum deutschen Gesetz – Aktuelle Entwicklungen

Wie ist der aktuelle Stand, dass die NIS-2 EU-Richtlinie in ein deutsches Gesetz umgesetzt wird? Wie kannst du dich darauf vorbereiten?

Mehr >>

Anwendungsfall

Agil und modular: So gestalten wir Workshops

Improtheater statt Drehbuch – Das Denken in Modulen half unserem Kunden mehr als eine vorgefertigte Workshop-Agenda.

Mehr >>

Kommentar verfassen 0 Kommentar(e)
Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit * markiert.
Der Kommentar wird nach dem Senden zur Freischaltung eingereicht.
Mit der Nutzung dieses Formulars erklären Sie sich mit der Speicherung und Verarbeitung Ihrer Daten durch unsere Website einverstanden. Weitere Informationen erhalten Sie in der Datenschutzerklärung.*

Ihre Privatsphäre ist uns wichtig

Diese Website verwendet Cookies und Targeting-Technologien, um Ihnen ein besseres Internet-Erlebnis zu ermöglichen. Diese Technologien nutzen wir außerdem, um Ergebnisse zu messen und zu verstehen, woher unsere Besucher kommen oder um unsere Website weiter zu entwickeln.

Cookie-Einstellungen

Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können ihre Einwilligung zu allen Cookies geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen. Informationen dazu, wie aa-sec mit Ihren Daten umgeht, finden Sie in unserer Datenschutzerklärung.

Essenziell

Essenzielle Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.