Social Engineering Beispiele: Wie Betrüger Mitarbeiter austricksen
Stellen Sie sich vor, Sie erhalten per E-Mail eine Nachricht Ihres Chefs aus dem Urlaub: Er bittet dringend um eine hohe Zahlung auf ein unbekanntes Konto. Klingt verdächtig – doch viele Menschen fallen auf solche Social Engineering Beispiele herein. Tatsächlich sind Social Engineering Techniken äußerst raffiniert: Sie zielen auf menschliche Eigenschaften wie Hilfsbereitschaft, Respekt vor Autoritäten und Angst vor Konsequenzen ab.
Angreifer nutzen diese Schwächen, um an sensible Informationen wie Passwörter, Kontodaten oder andere persönlichen Informationen zu gelangen.
Laut einer Studie des Verizon Data Breach Investigations Report sind in rund 82 % aller untersuchten Sicherheitsvorfälle menschliche Faktoren beteiligt – vom versehentlichen Anklicken von Phishing E-Mails bis zum Preisgeben vertraulicher Daten am Telefon. Das verdeutlicht, dass Mitarbeiter in Unternehmen häufig das Hauptziel von Betrügern sind. Wer jedoch weiß, wie Social Engineering Methoden funktionieren, kann sich schützen.
Was ist Social Engineering?
Unter Social Engineering versteht man das gezielte Manipulieren von Menschen, damit sie vertrauliche Informationen preisgeben oder Sicherheitsmechanismen umgehen. Während klassische Hackerangriffe Schwachstellen in Software ausnutzen, konzentrieren sich Social Engineers auf das „menschliche Betriebssystem“.
Ein Social Engineer gibt sich zum Beispiel als technischen Supports einer renommierten Firma aus und bittet am Telefon um den Zugang zu Ihrem Rechner. Oder er versendet täuschend echte Phishing E-Mails im Namen Ihrer Bank. Entscheidend ist immer, dass der Angreifer Sie überlistet, indem er einen glaubwürdigen Vorwand vorgibt. So wird Ihr Vertrauen missbraucht, um unbewusst sensible Daten preiszugeben oder gefährliche Aktionen auszuführen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Social Engineering als eine psychologische Beeinflussung, bei der Täter menschliche Schwächen ausnutzen. Mehr dazu erfahren Sie auf dieser Webseite des BSI. Damit ist klar: Social Engineering zielt nicht (nur) auf technische Lücken, sondern vorrangig auf menschliche Fehlentscheidungen.
Warum Betrüger auf Social Engineering setzen
Cyberkriminelle wissen, dass Mitarbeiter oder Privatpersonen oft der „leichteste Weg“ ins Unternehmen sind. Statt teure Hacker-Tools einzusetzen, reicht häufig eine überzeugende Story und das richtige Timing. Die emotionalen Hebel sind:
- Hilfsbereitschaft: Menschen helfen gerne, besonders vermeintlichen Kollegen oder Autoritäten.
- Angst / Respekt: Drohungen („Ihr Account wird gesperrt“) oder eine vermeintlich wichtige Person (Chef, Behörde) setzen uns unter Druck.
- Neugier: Wer würde nicht kurz mal einen USB-Stick anstecken, auf dem „Gehaltslisten 2025“ steht?
- Gier: Ein tolles Gewinnspiel lässt viele unvorsichtig werden.
Sobald Kriminelle mit diesen Techniken Erfolg haben, kann das verheerende Folgen haben: Sobald Angreifer Zugang zu Ihrem Rechnersystem haben, können sie Firmengeldern ins Ausland weiterleiten oder persönliche Daten abfangen (wie Bankverbindungen, Identitätsdokumenten etc.).
Arten von Social Engineering Angriffen
Im Folgenden stellen wir verschiedene Arten von Social Engineering Angriffen vor, anhand typischer Social Engineering Beispiele. So erkennen Sie, wie vielseitig und trickreich diese Taktiken sind. Jede dieser Social Engineering Taktiken verfolgt dasselbe Ziel: Das Opfer soll unbemerkt wertvolle Daten preisgeben oder eine Aktion durchführen, die dem Betrüger nützt.
Phishing
Die mit Abstand bekannteste Masche ist das Phishing. Dabei erhalten ahnungslose Empfänger gefälschte E-Mails / SMS / WhatsApp-Nachrichten etc., die seriöse Absender imitieren – z. B. Banken, Online-Bezahldienste oder Behörden. Diese Phishing Angriffe locken das Opfer auf gefälschte Websites, auf denen es seine Zugangsdaten eingibt. Alternativ enthalten sie Anhänge, die Schadsoftware installieren.
Weltweit fallen laut Untersuchungen der Anti-Phishing Working Group (https://apwg.org/) noch immer Millionen Menschen jährlich auf Phishing-Angriffe herein. Selbst in Unternehmen mit Sicherheitsrichtlinien klicken Mitarbeitende gelegentlich unbedacht auf Links.
Spear Phishing
Spear Phishing ist Phishing in präziser Form. Während Phishing oft massenhaft wahllos versendet wird, richtet sich Spear Phishing an eine bestimmte Person oder eine klar abgegrenzte Personengruppe. Die Täter recherchieren im Vorfeld Details über das Ziel, etwa über Social Media oder Firmenwebsites.
Ein weit bekanntes Beispiel ist der CEO Fraud („Chef-Betrug“). Kriminelle geben sich via Mail als Geschäftsführer aus und fordern einen Mitarbeiter aus der Buchhaltung zu einer dringenden Überweisung auf. Alles wirkt authentisch: reale Namen, die Signatur stimmt, der Ton passt, manchmal verweisen die Mails sogar auf laufende Firmenprojekte. Da die Zielperson stark unter Druck steht und der Absender vermeintlich „der Chef“ ist, reagieren viele ohne Rückfrage und bewirken immense finanzielle Schäden.
Ein bekannter Fall traf 2016 einen großen deutschen Autozulieferer, der durch eine solche Spear-Phishing-Attacke rund 40 Millionen Euro verlor. Der Betrüger kannte Details zur Firmenstruktur, zum Schreibstil und zu laufenden Geschäftsvorgängen. Seither warnen Fachportale und Sicherheitsbehörden wie die Polizei Niedersachsen besonders eindringlich vor solchen personalisierten Angriffen.
Voice Phishing (Vishing)
Nicht immer läuft Social Engineering schriftlich ab. Voice Phishing, auch Vishing genannt, beschreibt Telefonanrufe, bei denen sich Betrüger als Bankberater, Microsoft-Mitarbeiter oder Behördenvertreter ausgeben.
Beispiel: ein angeblicher „Microsoft-Mitarbeiter“ ruft an und sagt, Ihr PC habe einen Virus. Er weist Sie an, ein Remote-Tool zu installieren, damit er Ihr System „säubern“ kann. So verschaffen die Täter sich unbemerkt Vollzugriff – ein klassisches Social Engineering Beispiel am Telefon.
Andere Variante: Eine Computerstimme ruft an und teilt mit, Ihre Kreditkarte sei angeblich gesperrt. Um das Problem zu lösen, drücken Sie „1“ und landen bei einem Betrüger, der persönliche Daten abfragt.
Baiting
Bei Baiting geht es darum, Neugier oder Gier zu wecken: Betrüger platzieren z. B. einen USB-Stick auf dem Firmenparkplatz – beschriftet mit „Personalliste“ oder „Vertrauliche interne Daten“. Wer den Stick findet, will womöglich wissen, was darauf ist, und steckt ihn in den Firmenrechner. Prompt installiert sich Schadsoftware.
Ein weiteres Social Engineering Beispiel ist das Angebot eines vermeintlichen Gewinnspiels oder einer Gratis-Software. Beim Download schleust man sich Schadcode ein – das Opfer war nur auf das „tolle Geschenk“ aus.
Quid pro quo
Ebenfalls beliebt ist Quid pro quo („etwas für etwas“), also ein Handel. Hier erhält das Opfer eine vermeintliche Gegenleistung für eine kleine Gefälligkeit.
Beispiel: Jemand ruft an und gibt vor, interner IT-Administrator zu sein. Er behauptet, Ihnen sofort einen seit Langem gewünschten Systemzugang freischalten zu können – dafür bräuchte er Ihre Zugangsdaten. Wer darauf hereinfällt, liefert dem Täter Zugang zu internen Systemen auf dem Silbertablett.
Pretexting
Pretexting bedeutet „Vorwand“. Die Angreifer erfinden eine glaubwürdige Geschichte, um an persönliche Daten oder andere sensible Informationen zu gelangen. Häufig geben sie sich als Polizisten, Anwälte oder Banken aus. Sie berichten von verdächtigen Transaktionen oder Sicherheitsproblemen und fordern das Opfer auf, zur „Verifizierung“ bestimmte Daten anzugeben.
Ein Beispiel: Der Betrüger ruft an und erzählt, auf Ihrem Konto seien unautorisierte Abbuchungen vorgenommen worden. Für die Sperrung bräuchte er jedoch Ihre Kontonummer und PIN. Da Sie Angst um Ihr Geld haben, folgen Sie den Instruktionen. Erst später merken Sie, dass Sie Opfer eines Vorwand-Tricks wurden.
Solche Angriffe sind deshalb gefährlich, weil die Betrüger stark auf die Psychologie bauen. Es ist schwer, im Moment der Bedrohung einen kühlen Kopf zu bewahren. Doch echte Bankmitarbeiter oder Polizisten fragen nie ungefragt nach sensiblen Bankdaten.
Tailgating
Auch in der analogen Welt gibt es Social Engineering Methoden: Beim Tailgating („hinten anhängen und durchdrängeln“) verschafft sich ein Unbefugter Zutritt zu einem Gebäude, indem er einer autorisierten Person folgt.
Beispiel: An der Tür zum Bürogebäude steht jemand ohne Schlüsselkarten. Er bittet Sie höflich, ihn „schnell hereinzulassen“, weil er seine Karte angeblich verloren hat. Aus Höflichkeit öffnen viele – und schon ist der Fremde im Unternehmen. Dort kann er sich unbemerkt umsehen, Dokumente fotografieren, Schadsoftware installieren oder unverschlossene Rechner durchsuchen.
Schutzmaßnahmen gegen Social Engineering
Angesichts dieser Social Engineering Beispiele stellt sich die Frage: Wie kann man sich schützen? Hier sind 5 Tipps, die in jedem Unternehmen umgesetzt werden sollten:
- Sensibilisierung durch Schulungen
Das A und O sind regelmäßige Awareness-Trainings. Je mehr die Mitarbeiter über die aktuellen Maschen und Social Engineering Taktiken wissen, desto schneller erkennen sie Betrugsversuche. Eine wirksame Methode zur Schulung sind Security Game Event, bei denen interaktiv und spielerisch gelernt und trainiert wird.. - „Zero-Trust“-Denken
Geben Sie keine persönlichen Informationen leichtfertig an Außenstehende weiter. Prüfen Sie genau, ob die Anfrage plausibel ist. Nehmen Sie im Zweifel auf eigenem Wege Kontakt zum Absender auf, statt über gesendete Links oder auf unbekannte Rufnummern zu reagieren. - Technische Schutzmaßnahmen
Auch wenn Social Engineering primär psychologisch ist, helfen Firewalls, Virenscanner, Spam-Filter und Co., um Phishing E-Mails abzufangen. Unternehmensrichtlinien sollten regeln, dass unbekannte USB-Sticks nur in abgeschotteten Systemen geprüft werden. - Klare Prozesse für Freigaben
Besonders bei Überweisungen oder sensiblen Zugängen sollte ein Vier-Augen-Prinzip gelten. Eine bestimmte Person darf niemals allein das Geld freigeben können. Das verhindert CEO-Fraud effektiv, weil immer eine Gegenprüfung stattfindet. - Misstrauen bei ungewöhnlichen Methoden
Ob Voice Phishing oder Fremder vor der Tür: Lieber einmal zu viel nachfragen und auf Nummer sicher gehen. Spezielle Tools wie eine interne Hotline für Sicherheitsfragen können Mitarbeitern helfen, ihre Zweifel zu klären.
Wir von Mindcraft freuen uns darauf, Sie mit unseren Security Game Events dabei zu unterstützen, die Cybersicherheit und das Bewusstsein dafür in Ihrem Unternehmen zu stärken.
In einer Live-Demo unseres Security Game Events können Sie unsere Schulungen unverbindlich kennenlernen. Das kostenlose Erstgespräch beantwortet alle Ihre Fragen.
