Social Engineering am Arbeitsplatz — 5 Angriffsmethoden die Ihr Team kennen muss

April 2026

Social Engineering ist kein technischer Angriff. Es ist ein psychologischer. Statt Firewalls zu umgehen, umgehen Angreifer den Menschen — mit Vertrauen, Dringlichkeit und Autorität. Über 80 Prozent aller Cybersicherheitsvorfälle haben eine menschliche Komponente.

Das Tückische: Social Engineering funktioniert gerade bei kompetenten, hilfsbereiten Mitarbeitenden am besten. Wer gewissenhaft auf Anfragen reagiert und Kolleginnen und Kollegen helfen will, ist anfälliger als jemand, der E-Mails grundsätzlich ignoriert.

1. Phishing — die häufigste Angriffsmethode

Phishing-Mails imitieren vertrauenswürdige Absender: die Hausbank, den IT-Support, einen Lieferanten oder die Geschäftsführung. Das Ziel ist, den Empfänger dazu zu bringen, auf einen Link zu klicken, Zugangsdaten einzugeben oder einen Anhang zu öffnen.

Die Qualität von Phishing-Mails hat sich in den letzten Jahren drastisch verbessert. KI-generierte Texte sind grammatikalisch einwandfrei, personalisiert und kontextbezogen. Die alte Empfehlung „Achten Sie auf Rechtschreibfehler" ist weitgehend überholt.

Was stattdessen hilft: Die Absenderadresse genau prüfen — nicht den angezeigten Namen, sondern die tatsächliche E-Mail-Domain. Links vor dem Klicken prüfen, indem man mit der Maus darüber fährt. Und bei jeder E-Mail, die Dringlichkeit erzeugt, kurz innehalten und fragen: „Würde diese Person mich wirklich so kontaktieren?"

2. Vishing — der unterschätzte Telefonanruf

Vishing (Voice Phishing) ist Phishing per Telefon. Ein Anrufer gibt sich als IT-Support, Bankberater oder Geschäftspartner aus und versucht, vertrauliche Informationen zu erhalten oder den Angerufenen zu einer Handlung zu bewegen.

Vishing ist deshalb so gefährlich, weil ein Telefonat persönlicher und dringlicher wirkt als eine E-Mail. Die Hemmschwelle, am Telefon „Nein" zu sagen, ist höher als bei einer E-Mail, die man ignorieren kann.

Mit KI-generierten Stimmklonen hat Vishing eine neue Dimension erreicht. Es ist technisch möglich, die Stimme einer bekannten Person mit wenigen Sekunden Audiomaterial zu klonen. Ein Anruf, der klingt wie der eigene Vorgesetzte, der dringend eine Überweisung braucht, ist kein Science-Fiction-Szenario mehr.

Die Gegenmaßnahme ist das Rückruf-Prinzip: Bei unerwarteten Anrufen mit sensiblen Anfragen immer selbst über die bekannte Nummer zurückrufen — niemals die im Anruf genannte Nummer verwenden.

3. CEO-Fraud — Autorität als Waffe

Beim CEO-Fraud gibt sich ein Angreifer als Geschäftsführer oder Vorgesetzter aus und fordert eine dringende Handlung — typischerweise eine Überweisung, die Herausgabe von Daten oder die Änderung von Zugangsdaten.

Diese Methode funktioniert, weil sie zwei psychologische Hebel gleichzeitig nutzt: Autorität (die Anweisung kommt von ganz oben) und Dringlichkeit (es muss sofort passieren, keine Zeit für Rückfragen).

Besonders anfällig sind Mitarbeitende in Assistenz, Finance und Buchhaltung — Personen, die gewohnt sind, Anweisungen der Geschäftsführung schnell umzusetzen.

Der Schutz: Klare Prozesse für Überweisungen und sensible Anfragen. Vier-Augen-Prinzip bei Beträgen ab einer definierten Schwelle. Und die klare Botschaft von der Geschäftsführung selbst: „Wenn ich euch bitte, etwas Ungewöhnliches zu tun, fragt lieber nochmal nach."

4. Tailgating — der freundliche Unbekannte

Tailgating ist der physische Social-Engineering-Angriff: Eine unbekannte Person folgt einem Mitarbeitenden durch eine gesicherte Tür, ohne sich selbst zu authentifizieren. „Können Sie mir kurz die Tür aufhalten? Ich hab meinen Ausweis vergessen" — und schon ist jemand im Gebäude, der dort nicht hingehört.

Tailgating funktioniert, weil es die Höflichkeit ausnutzt. Jemandem die Tür vor der Nase zuzumachen fühlt sich unhöflich an. Genau darauf setzen Angreifer.

Die Lösung ist eine klare Unternehmenskultur: Es ist nicht unhöflich, nach dem Ausweis zu fragen. Es ist verantwortungsvoll. Besucherregeln müssen definiert und kommuniziert sein — und Mitarbeitende müssen wissen, dass sie im Zweifel den Empfang oder die Security informieren können.

5. Pretexting — die erfundene Geschichte

Pretexting ist die Königsdisziplin des Social Engineering. Der Angreifer baut über einen längeren Zeitraum eine glaubwürdige Geschichte auf — ein neuer IT-Dienstleister, der Zugang braucht, ein Auditor, der Dokumente einsehen will, ein Lieferant, der Bankdaten aktualisieren muss.

Im Unterschied zu Phishing, das auf eine schnelle Reaktion abzielt, ist Pretexting langfristig angelegt. Der Angreifer recherchiert das Unternehmen vorab, kennt Namen, Abteilungen und Projekte und baut systematisch Vertrauen auf.

Der Schutz gegen Pretexting ist schwieriger, weil die Anfragen plausibel wirken. Entscheidend ist eine Kultur der Verifikation: Jede ungewöhnliche Anfrage — egal wie professionell sie klingt — wird über einen zweiten Kanal bestätigt.

Was diese fünf Methoden gemeinsam haben

Alle Social-Engineering-Angriffe nutzen dieselben psychologischen Prinzipien: Autorität, Dringlichkeit, Vertrauen, Hilfsbereitschaft und soziale Bewährtheit. Sie zielen nicht auf technische Schwachstellen, sondern auf menschliche Reflexe.

Das bedeutet: Technische Schutzmaßnahmen allein reichen nicht. Spam-Filter fangen viele Phishing-Mails ab — aber nicht alle. Firewalls schützen das Netzwerk — aber nicht vor einem Anruf. Zugangskontrollen schützen das Gebäude — aber nicht vor Höflichkeit.

Der wirksamste Schutz ist eine geschulte Belegschaft, die diese Muster erkennt und im Zweifelsfall fragt, meldet oder bestätigt — statt blind zu vertrauen.