Social Engineering
2025-05-04

Awareness: Erkennen und Abwehren von Social‑Engineering‑Angriffen🔗

Informationssicherheit beginnt im Kopf: Nur wer die gängigen Tricks von Angreifern kennt, kann Warnzeichen rechtzeitig erkennen.

In über 90 % der erfolgreichen Angriffe auf Unternehmen nutzen Täter zuerst eine Phishing- oder Social-Engineering-Technik, um an Passwörter, Zahlungsinformationen oder vertrauliche Dokumente zu gelangen.
Wenn du die typischen Maschen erkennst, stoppst du den Angriff, bevor technische Schutzmaßnahmen überhaupt greifen müssen.

Damit man sich vor Phishing schützen kann, ist es wichtig die gängigen Phishing-Varianten zu kennen. Denn nur so kennt man die Details, auf die man achten muss, und Maschen in die man nicht reinfallen darf.

Techniken🔗

Phishing per E-Mail - der Klassiker🔗

Bulk‑Phishing🔗

Hierbei werden Massen-E-Mails ohne persönliche Ansprache, oft fehlerhaft oder in schlechter Übersetzung, an möglichst viele Empfänger geschickt. Die Erfolgsrate ist gering, doch dank der schieren Menge finden sich immer wieder Personen, die darauf hereinfallen.

So erkennst du Bulk-Phishing:

  • Generischer Betreff wie „Dringend“ oder „Wichtige Mitteilung“
  • Viele Rechtschreib- und Grammatikfehler
  • Absender-Adresse eines Free-Mail-Dienstes (@gmx.net, @yandex.com)

Spear-Phishing🔗

Spear-Phishing geht gezielt auf eine bestimmte Person: Angreifer recherchieren Name, Funktion und laufende Projekte und imitieren interne Absender inklusive echter Signatur.

So erkennst du Spear-Phishing:

  • Persönliche Anrede und Bezug auf reale Vorgänge („Projekt Delta“)
  • Unauffällige, aber leicht veränderte Domain (@firmenname.com)
  • Unerwartete Bitte mit Zeitdruck („Sende mir alle Gehaltslisten als Excel“)

Whaling / CEO-Fraud🔗

Beim Whaling visieren Kriminelle die „großen Fische“ – Geschäfts- oder Finanzleitung – an, um hohe Geldsummen umzuleiten.

So erkennst du Whaling:

  • Neue Kontoverbindung und „absolute Vertraulichkeit“
  • Extrem kurzer Zeitrahmen („innerhalb von 45 Minuten überweisen“)
  • Absender-Adresse, die dem Chef ähnelt, aber nicht exakt stimmt (ceo-corp.com statt .de)

Business-Email-Compromise (BEC)🔗

Angreifer kapern oder fälschen Geschäftskorrespondenz, um Zahlungsdaten zu ändern.

So erkennst du BEC:

  • Änderung der Bankverbindung ohne formellen Prozess
  • Domain minimal verändert (supplier-eu.net statt supplier.eu)
  • Bitte, den „neuen“ IBAN sofort zu verwenden

Clone Phishing🔗

Eine echte, früher gesendete E-Mail wird geklont; Link oder Anhang wird durch Malware ersetzt.

So erkennst du Clone Phishing:

  • Betreff beginnt mit „Re:“ oder „Fwd:“ – wirkt wie Antwort auf alte Mail
  • Neuer Anhang oder ZIP ist passwortgeschützt („Passwort: report2024“)
  • Anhangsdatum oder -größe weichen von der ursprünglichen Mail ab

Vishing - Phishing, nur am Telefon🔗

Telefonischer Phishing-Versuch, etwa durch angeblichen IT-Support mit der Aufforderung, Passwörter oder Tokens preiszugeben.

So erkennst du Vishing:

  • Unaufgeforderter Anruf aus angeblicher Support-Abteilung
  • Auffällige Rückrufnummer, oft aus dem Ausland
  • Keine interne Authentifizierung (Ticket-Nr. / Mitarbeiter-ID)

Smishing - die böse Kurznachricht🔗

SMS- oder Messenger-Nachrichten, die mit angeblichen Gebühren oder Lieferhindernissen locken.

So erkennst du Smishing:

  • Kurz-URL (bit.ly/…) oder unbekannte Domain
  • Forderung kleiner Beträge (z. B. 3,99 € Zollgebühr)
  • Nummer gehört keinem bekannten Paketdienst
Tipps

Angreifer verwenden gerne in ihren Links sogenannte Homoglyphen – dabei werden Buchstaben durch ähnlich aussehende Unicode‑Zeichen ersetzt.
Hier ist ein Beispiel: paypaI.com (mit großem I) und paypal.com (mit kleinem l) sehen nahezu gleich aus.

Durch die Verwendung von Homoglyphen können also täuschend echte Aliase erstellt werden, die nur durch genaues Hinsehen entlarvt werden können.
Gerade im stressigen Büroalltag ist es jedoch nicht immer möglich, sich so viel Zeit zu nehmen.

Es ist daher umso wichtiger, dass du immer zuerst mit der Maus über einen Link hoverst, den echten Ziel-Link in der Statusleiste prüfst und bei jedem Zweifel lieber einmal mehr die IT-Abteilung kontaktierst, bevor du klickst.

Links im Browser oder Mail-Client

Hat man einen verdächtigen Link oder (meist) blau hinterlegten Text erhalten, so kann man meist durch Schweben oder "hovern" mit dem Mauscursor über den Text den echten Link lesen. Bei den meisten Mailclients erscheint dann der eigentliche Text direkt an der gleichen Stelle. Bei Webbrowsern sieht man ihn unten links oder rechts.

Hier siehst du ein Beispiel in Outlook.

Erscheint dir der Link verdächtig, dann solltest du nicht raufklicken und den Vorfall melden.

Deepfake‑Impersonation - vertrauen Sie niemanden🔗

– Gefälschte KI‑Stimme oder Video des Chefs im Teams‑Call.

Tailgaiting - es passiert immer hinterm Rücken🔗

Man muss morgens schnell ins Büro, denn das erste Meeting startet in 15 Minuten. Eilig drückt man mit der rechten Schulter die Eigangstür auf, um hindurch zu kommen. Mit weitem Schritt geht man zum Scanner um dann direkt davor zu zu stoppen und zu überlegen, wie man mit zwei Kaffee in den Händen sein Halsband mit der RFID-Karte ranhalten soll. "Warten Sie, ich helfe Ihnen", ruft ein Mann, der gerade noch links neben eben jener Tür an der Wand angelehnt war, die man verzweifelt versucht zu öffnen. Der Mann nimmt einem den Kaffee in der rechten Hand ab, sodass man endlich die Karte greifen und an den Scanner halten kann. Die Lampe über den Scanner leuchtet grün auf und die Tür klickt. Man nimmt eilig dem netten Mann den Kaffee dankend ab und sprintet durch die Tür, die der Mann aufhält, ins Büro.

Es ist nun 3 Stunden später, man verlässt gerade den Meetingraum vom anstrengendem Meeting und geht langsam, aber entschlossen zum eigenen Arbeitsplatz zurück. Auf dem Weg begegnen einem 3 Leute aus der IT-Abteilung, welche hastig durch jedes Büro gehen und unter jeden Schreibstisch gucken. Sie scheinen etwas zu suchen.

Scherzend fragt man, "Ist etwa Paketstau und ihr sucht den Knick im NetzwerkkKabel?".

Gestresst antwortet einer von ihnen: "Nein, heute morgen muss irgendjemand es geschafft haben durch unsere Mitarbeiterschleuse zu kommen und eine XXX mit unser Netzwerk zu verbinden! Wir wurden kompromitiert! Alle Server wurden verschlüsselt und unsere Backups der letzen Monate wurden gelöscht.".

Eiskalter Schauer läuft einem den Rücken herunter, als man sich an den netten Mann von heute morgen erinnert.

Wie schützt man sich?🔗

Man sollte immer die Tür hinter sich zu ziehen, wenn man durch sensible Eingänge geht.

Baiting - den fetten Köder auslegen🔗

Quishing🔗

Jeder kennt sie und hat einen bestimmt schon mindestens einmal eingescannt: QR-Codes. Aber was passiert, wenn das nette Bildchen mti den schwarzen Kästchen gar nicht der toller Helfer ist, um einen die Tipparbeit zu ersparen?

Hier kommt Quishing ins Spiel: das platzieren von QR-Codes welche statt der URL unter dem Bild auf eine Phishing-Seite zeigen und auch gern vom Angreifer direkt über den originalen QR-Code geklebt wird.

Wie schützt man sich?🔗
  • immer kontrollieren, ob der Code überklebt wurde.
  • immer die eingescannte Adresse vom QR-Code mit der Adresse auf dem Dokument überprüfen

USB-Drop-Attacks🔗

Sie sind schon fast im Büro und es sind nur noch wenige Schritte bis zur Eingangstür. Mit dem Kopf leicht nach unten blickend sehen sie einen USB-Stick vor Ihren Füßen liegen. Was tuen Sie?

a)
Sie heben ihn auf und wenn Sie am Arbeitsplatz angekommen sin, stecken Sie ihn an Ihren Bürorechner um rauszufinden, welchem Arbeitskollegen er gehört
b)
Sie lassen ihn liegen und gehen weiter

Wieviele Menschen wohl Option a) gewählt haben? Sehr wahrscheinlich die Mehrheit.

Doch der Stick enthält Malware, welcher einen Remote-Access-Trojan (RAT) installiert. Nachdem er der Trojaner sich zum Server des Angreifers verbunden hat, findet der Angreifer die sensiblen Kundendaten, überträgt sie zu sich und schickt eine Epressermail zur Kontakt-E-Mail-Adresse der Firma. Er droht mit der Veröffentlichung, wenn er innerhalb von 3 Tagen keine 50.000€ in Bitcoin überwiesen bekommt.

Wie schützt man sich?🔗

Keine unbekannten Speichermedien (USB-Stick, SD-Karten) oder sogar Kabel an die eigenen Rechner stecken. Schon gar nicht, wenn man sie auf der Straße gefunden hat.

Malvertising🔗

Ausführliches Pretexting‑Beispiel🔗

Nehmen wir an, du arbeitest in der Verwaltungsabteilung einer Firma und erhälst folgenden Anruf:

Guten Tag, hier spricht Herr König von der Wirtschaftsprüfung Müller & Partner.
Wir sind heute kurzfristig im Haus, um den Jahresabschluss zu finalisieren.
Frau Lehmann aus der Buchhaltung kennt mich – sie ist aber aktuell nicht erreichbar.
Damit wir die Frist einhalten können, benötige ich sofort Export‑Zugriff auf das ERP‑System, Mandant 123.
Wenn das nicht innerhalb der nächsten Stunde klappt, verzögert sich Ihr Abschluss und die Finanzaufsicht verhängt Strafen.

Warum passt das nicht zum normalen Ablauf?

  1. Externe Prüfer melden sich stets vorab über bekannte Ansprechpartner – nie ad hoc beim Service‑Desk.
  2. Druck & Dringlichkeit („sofort“, „Strafen“) ohne formellen Prüfauftrag oder Projekt‑Ticket.
  3. Keine Authentifizierung – keine Prüfernummer, keine Mail aus offizieller Domain, kein NDA‑Verweis.

Die richtige Reaktion ist: Identität verifizieren (Rückruf über offizielle Hotline), Anfrage an DSB / IT‑Security weiterleiten, keinen Zugriff gewähren.

Rote Flaggen & Schnell‑Check🔗

Zusammengefasst kannst du die meisten Phishing- oder Social-Engineering-Attacken mit den folgenden Anzeichen erkennen:

  1. Dringlichkeit oder Drohung ohne offiziellen Prozess
  2. Absender‑Domain mit Tippfehlern / Homoglyphen
  3. Unerwartete Anhänge oder Passwortabfragen
  4. Zahlungs‑/Passwort­änderungen ohne Doppe‑Freigabe
  5. Link‑Ziel passt nicht (Hover‑Kontrolle!)

Malware in Anhängen – worauf achten?🔗

Trotz diverse Mail-Filter und Anti-Virenprogrammen kann es durchaus immer noch vorkommen, dass Malware z. B. per Mail an den Empfänger durch kommt. Meist sind die Prozesse dann noch so neu, dass Filter sie schlichtweg noch nicht kennen und dementsprechend reagieren.

In der folgenden Tabelle findest du die aktuell am häufigsten verwendeten Dateitypen, welche von Angreifern verwendet werden um Malware über Anhänge einzuschleusen.

Verdächtige EndungWarum riskant?Typisches Szenario
.iso, .7z, .rar, .gzArchive/Images verbergen ausführbare DateienMail: „Jahresbericht.7z (Passwort: 2024)“
.lnkWindows‑Verknüpfung, führt Skript aus„Rechnung.lnk“ statt PDF
Office‑Dateien mit Makros (.xlsm, .docm)Makro kann Schadcode nachladen„Neue Preisliste.xlsm – Makros aktivieren“

Typische Warnzeichen sind:

  • Passwort‑geschütztes Archiv und Passwort steht in derselben Mail → soll Mail‑Filter umgehen.
  • Excel/Word fragt nach Makro‑Aktivierung von Absender, den du nicht kennst.
  • Archiv enthält nur eine einzelne .exe oder .scr‑Datei.

Hast du einen ungewöhnlichen Anhang entdeckt, so solltest du am besten wie folgt vorgehen:

  1. Nicht öffnen, Makros nicht aktivieren.
  2. IT‑Abteilung informieren – Datei in Quarantäne lassen oder weiterleiten.
  3. Absender über bekannte Nummer verifizieren, nicht per „Antworten“.

3‑Schritte‑Reaktionsplan🔗

Am besten orientierst du dich an diesen drei einfachen Grundregeln, wenn dir eine E-Mail, ein Anruf oder eine Nachricht verdächtig vorkommt:

  1. Stop – Erst innehalten und genau hinschauen
    Prüfe Absenderadresse, Linkziel (per Hover), Dateianhänge und Auffälligkeiten wie ungewöhnliche Endungen oder Druckausübung.

  2. Think – Im Zweifel nachfragen
    Kontaktiere den Absender über bekannte Kanäle oder frage bei der IT-Abteilung bzw. dem Sicherheits-Team nach. Niemals einfach reagieren oder weiterleiten.

  3. Act – Richtig reagieren und melden
    Verdächtige Nachrichten nicht einfach löschen, sondern an das zuständige Security-Team weiterleiten, damit der Vorfall bewertet und ggf. weitere Schutzmaßnahmen getroffen werden können.