G 0.42 — Social Engineering

Das Telefon klingelt in der IT-Abteilung. Der Anrufer stellt sich als neuer Mitarbeiter aus der Niederlassung vor, der dringend Zugang zum ERP-System braucht — sein Laptop sei noch nicht konfiguriert, und der Vorgesetzte habe morgen eine wichtige Präsentation. Die Stimme klingt gestresst, die Geschichte ist plausibel. Fünf Minuten später hat der „neue Kollege” einen vollwertigen Systemzugang — und er hat nie für das Unternehmen gearbeitet.

Social Engineering greift dort an, wo technische Sicherheitsmaßnahmen enden: beim Menschen. Das BSI führt die Methode als elementare Gefährdung G 0.42.

Was steckt dahinter?

Social Engineering ist die gezielte Manipulation von Menschen, um unberechtigt an Informationen, Zugänge oder Handlungen zu gelangen. Die Methode nutzt grundlegende menschliche Eigenschaften aus: Hilfsbereitschaft, Vertrauen, Respekt vor Autorität, Angst vor Konsequenzen und den Wunsch, kooperativ zu sein.

Die Angriffe folgen einem psychologischen Playbook. Angreifer erzeugen künstlichen Zeitdruck, berufen sich auf Autoritätspersonen, bauen über mehrere Kontakte eine Vertrauensbeziehung auf oder spielen gezielt mit Angst und Unsicherheit. Die Methoden sind oft mehrstufig: Informationen aus einem früheren Angriff dienen als Glaubwürdigkeitsnachweis für den nächsten.

Angriffsmethoden

Phishing — gefälschte E-Mails, die zur Eingabe von Zugangsdaten auf nachgebauten Webseiten verleiten. Spear-Phishing richtet sich gezielt gegen einzelne Personen und referenziert persönliche Details (Name des Vorgesetzten, aktuelle Projekte).
Vishing (Voice Phishing) — Telefonanrufe, bei denen sich der Angreifer als IT-Support, Vorgesetzter oder externe Behörde ausgibt. Der direkte menschliche Kontakt erhöht den Druck erheblich.
Pretexting — der Angreifer erschafft ein vollständiges Szenario (Pretext) und gibt sich über einen längeren Zeitraum als vertrauenswürdige Person aus. Informationen aus Sozialen Medien, dem Impressum oder Geschäftsberichten liefern das Material.
Baiting — präparierte USB-Sticks, gefälschte Software-Downloads oder vermeintlich nützliche Tools, die Malware enthalten.
Tailgating — physisches Eindringen in gesicherte Bereiche, indem der Angreifer sich einfach hinter einem berechtigten Mitarbeiter durch die Tür schiebt.

Schadensausmass

Social Engineering ist häufig der Einstiegspunkt für wesentlich größere Angriffe. Eine kompromittierte Zugangsberechtigung kann den Weg öffnen für Datendiebstahl, Ransomware, Finanzbetrug oder Industriespionage. Das eigentliche Schadensausmass zeigt sich oft erst Wochen nach dem initialen Angriff, wenn der Angreifer seine Position im Netzwerk ausgebaut hat.

Praxisbeispiele

CEO-Fraud per E-Mail. Die Buchhaltung einer mittelständischen Firma erhält eine E-Mail, die aussieht wie eine Nachricht des Geschäftsführers. Der Inhalt: Eine vertrauliche Übernahme stehe kurz bevor, eine Anzahlung müsse sofort überwiesen werden — absolute Vertraulichkeit, niemanden informieren. Die Absenderadresse weicht nur in einem Buchstaben von der echten ab. Die Überweisung über 180.000 Euro wird ausgeführt, bevor jemand Verdacht schöpft.

Mehrstufiger Angriff über das Sekretariat. Ein Angreifer ruft über mehrere Wochen regelmäßig im Vorzimmer an und stellt harmlose Fragen zu Veranstaltungen, Urlaubszeiten und Organigramm. Bei jedem Anruf gewinnt er ein weiteres Detail. Schließlich ruft er bei der IT-Abteilung an, nennt den Namen des Geschäftsführers, dessen aktuelle Dienstreise und das interne Projekt — und erhält Zugang zum Mailkonto.

Gefälschte Servicetechniker. Zwei Personen erscheinen in Arbeitskleidung eines Telekommunikationsanbieters und behaupten, eine Störung an der Telefonanlage beheben zu müssen. Der Empfang lässt sie ohne Rückfrage passieren. Im Keller installieren sie einen Hardware-Keylogger am Server und verlassen das Gebäude nach 20 Minuten.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 12 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

A.6.3 — Informationssicherheitsbewusstsein: Regelmäßige, praxisnahe Awareness-Schulungen mit simulierten Phishing-Kampagnen.
A.5.14 — Informationsübertragung: Klare Regeln für die Weitergabe von Informationen, insbesondere an externe Personen.
A.5.16 — Identitätsmanagement: Verifizierung der Identität bei kritischen Anfragen.
A.8.2 — Privilegierte Zugriffsrechte: Restriktive Vergabe privilegierter Rechte begrenzt das Schadensausmass eines erfolgreichen Angriffs.
A.6.5 — Verantwortlichkeiten nach Beendigung oder Änderung der Beschäftigung: Zeitnaher Entzug von Zugriffsrechten bei Personalwechseln.

Erkennung:

A.8.18 — Nutzung privilegierter Hilfsprogramme: Überwachung der Nutzung von Tools, die bei einem erfolgreichen Social-Engineering-Angriff als Erstes missbraucht werden.
A.8.30 — Ausgelagerte Entwicklung: Überprüfung externer Zugänge, die Social Engineers als Einfallstor nutzen könnten.

Reaktion:

A.5.29 — Informationssicherheit bei Störungen: Incident-Response-Prozesse, die auch Social-Engineering-Vorfälle abdecken.
A.5.19 — Informationssicherheit in Lieferantenbeziehungen: Vertragliche Regelungen mit Dienstleistern zur Verifizierung von Anfragen.

BSI IT-Grundschutz

G 0.42 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

ORP.3 (Sensibilisierung und Schulung zur Informationssicherheit) — Awareness-Programme als zentrale Gegenmaßnahme.
ORP.2 (Personal) — Personalmaßnahmen bei Ein- und Austritt, Background-Checks.
OPS.2.3 (Nutzung von Outsourcing) — Sicherheitsanforderungen an externe Dienstleister.
NET.4.1 (TK-Anlagen) — Absicherung von Telekommunikationssystemen gegen Vishing.

Quellen

BSI: Die Lage der IT-Sicherheit in Deutschland — Jahreslagebericht mit aktuellen Social-Engineering-Statistiken
BSI IT-Grundschutz: Elementare Gefährdungen, G 0.42 — Originalbeschreibung der elementaren Gefährdung
ISO/IEC 27002:2022 Abschnitt 6.3 — Umsetzungshinweise zu Informationssicherheitsbewusstsein

Häufig gestellte Fragen

Was unterscheidet Social Engineering von gewöhnlichem Betrug?

Social Engineering nutzt gezielt psychologische Mechanismen — Hilfsbereitschaft, Zeitdruck, Autoritätsgläubigkeit — um Menschen zu Handlungen zu verleiten, die sie bei nüchterner Betrachtung nie ausführen würden. Die Methoden sind systematisch, oft mehrstufig und auf die Zielorganisation zugeschnitten.

Hilft eine Awareness-Schulung wirklich gegen Social Engineering?

Schulungen allein eliminieren das Risiko nicht, senken aber die Erfolgsquote von Angriffen messbar. Entscheidend ist, dass die Schulungen praxisnah sind (simulierte Phishing-Kampagnen, realistische Szenarien) und regelmäßig wiederholt werden. Ergänzend braucht es technische Kontrollen, die auch dann greifen, wenn ein Mitarbeiter auf den Angriff hereinfällt.

Können auch erfahrene IT-Profis auf Social Engineering hereinfallen?

Ja. Social Engineers passen ihre Taktik an die Zielgruppe an. Gegenüber IT-Profis wird oft ein technisches Problem vorgetäuscht, bei dem Zeitdruck herrscht. Gerade bei gut informierten Zielpersonen investieren Angreifer in den Aufbau einer vertrauensvollen Beziehung über mehrere Kontakte hinweg.