Zum Inhalt springen
NeoGuard

Social Engineering

Manipulationstechniken, die menschliche Psychologie statt technischer Schwachstellen ausnutzen, um Menschen dazu zu bringen, sensible Informationen preiszugeben, Zugang zu gewähren oder Geld zu überweisen.

Social Engineering zielt auf Menschen, nicht auf Systeme. Anstatt eine Software-Schwachstelle auszunutzen, nutzt ein Angreifer Vertrauen, Dringlichkeit, Autorität oder Angst, um jemanden zu einer Handlung zu manipulieren, die die Sicherheit kompromittiert. Phishing ist die häufigste Form, aber Social Engineering geht weit über E-Mail hinaus.

Gängige Techniken

  • Phishing: Betrügerische E-Mails, SMS oder Nachrichten, die vertrauenswürdige Absender imitieren.
  • Pretexting: Erfinden eines Vorwands («Ich bin von der IT, wir brauchen Ihre Zugangsdaten, um ein dringendes Problem zu beheben»).
  • Baiting: Infizierte USB-Sticks auf Parkplätzen hinterlassen oder kostenlose Downloads anbieten, die Malware enthalten.
  • Tailgating: Physisches Folgen einer autorisierten Person durch eine gesicherte Tür.
  • Vishing: Voice-Phishing per Telefonanruf, oft mit gefälschter Rufnummer.
  • CEO-Betrug: Imitieren von Führungskräften, um dringende Überweisungen oder sensible Daten anzufordern.

Warum technische Massnahmen allein nicht reichen

Eine Firewall kann nicht verhindern, dass ein Mitarbeiter freiwillig Zugangsdaten am Telefon weitergibt. Verschlüsselung hilft nicht, wenn jemand dazu gebracht wird, Daten selbst zu entschlüsseln und zu senden. Social Engineering umgeht technische Kontrollen, indem es die menschliche Ebene angreift.

Risiko reduzieren

  • 2FA: Selbst wenn Zugangsdaten weitergegeben werden, verhindert 2FA die Kontoübernahme. Hardware-Schlüssel sind besonders wirksam, da sie nicht aus der Ferne gephisht werden können.
  • Passwort-Manager: Auto-Fill funktioniert nur auf der korrekten Domain, was Credential-Phishing auf Lookalike-Seiten neutralisiert.
  • Verifikationskultur: Teams trainieren, ungewöhnliche Anfragen über einen separaten Kanal zu verifizieren (Rückruf auf bekannter Nummer, persönliche Bestätigung).
  • Simulierte Angriffe: Regelmässige, realistische Phishing-Simulationen bauen Erkennungsfähigkeiten auf, ohne Mitarbeitende blosszustellen.
  • Meldekultur: Es muss einfach und vorwurfsfrei sein, verdächtige Kontakte zu melden. Jeder nicht gemeldete Versuch ist ein verpasstes Warnsignal.

Die KI-Eskalation

Large Language Models ermöglichen es Angreifern, hochüberzeugende, personalisierte Social-Engineering-Nachrichten in jeder Sprache und in grossem Massstab zu generieren. Die Grammatikfehler und ungelenken Formulierungen, die früher bei der Erkennung von Phishing halfen, verschwinden. Das macht prozessbasierte Abwehrmassnahmen (2FA, Verifikationsverfahren, Passwort-Manager) wichtiger denn je, da Schulungen allein nicht mehr Schritt halten können.

Verwandte Begriffe

Phishing2FA (Zwei-Faktor-Authentifizierung)Passwort-Manager