Der Kampf gegen Social Engineering wird häufig auf das Aussortieren der lästigen Phishing-Mails reduziert. Dabei nutzen Angreifer noch ganz andere Taktiken für ihr Ziel: den Menschen. Mit Kniffen, tief aus der psychologischen Trickkiste, triggern sie diverse Verhaltensmuster. Das Vorgehen ähnelt stark dem der Figur des Hauptmanns von Köpenick.
Jetzt wird’s psychologisch: was Social Engineers und der Hauptmann von Köpenick gemeinsam haben.
Security Awareness hat keinen leichten Stand in Unternehmen. Die Mitarbeiter sind tendenziell „Security-müde“, und das Management sieht häufig keine wirksamen Erfolge der jährlichen Sicherheitsunterweisungen. Das hat einen Grund: Security Awareness wird oft mit Verteidigung gegen Phishing-Mails gleichgesetzt. Dabei sind die Abwehrmaßnahmen deutlich weitreichender zu gestalten.
Das Aufsetzen von Security-Maßnahmen krankt häufig bereits am falschen Herangehen. Phishing beispielsweise ist kein IT-Angriff, und Hacker nehmen nicht das IT-System ins Visier, sondern es geht rein um den Faktor Mensch. Kriminelle versuchen, Schwachstellen im System Mensch zu nutzen. Um sich dagegen wirksam verteidigen zu können, müssen Unternehmen die speziellen Angriffsvektoren kennen. Dazu gehört zunächst zu verinnerlichen, dass sie es nicht mit IT-Hackern im klassischen Sinne zu tun haben, sondern mit Spezialisten für Social Engineering.
Social Engineering meint die Manipulation einer Person, damit diese eine bestimmte Handlung ausführt, die in ihrem oder auch nicht in ihrem Interesse liegt. Ein Social Engineer macht sich somit psychische Verhaltensstrukturen des Menschen zu Nutze und entwickelt dementsprechend seine Angriffsvektoren.
Das psychologische Rüstzeug
Für Unternehmen bedeutet die Abwehr von Social Engineering, dass sie anderes Know-how einsetzen müssen, das technische Verteidigen der E-Mail-Postfächer reicht nicht. Die Security-Spezialisten müssen sich in die Arbeit ihrer Gegner hineindenken. Dafür ist psychologisches Verständnis gefragt. Dazu zählen folgende Grundlagen menschlichen Verhaltens:
Reziprozität
Viele Angriffe im Social Engineering zielen auf die Gegenseitigkeit im sozialen Austausch, Reziprozität genannt. Gemeint ist damit eine Art gesellschaftliche Norm, sich für erhaltene Geschenke, Gefälligkeiten oder Ähnliches zu revanchieren. Das Ausmaß der Entschädigung ist in der Regel größer als die erhaltene Gefälligkeit.
Konsistenz
Social Engineers nutzen zudem klassische Verkaufsstrategien, beispielsweise unser aller Neigung, mit früheren Handlungen und Aussagen im Einklang zu sein und sich nicht selbst zu widersprechen. Das kann dazu führen, dass wir gegen unser eigenes Interesse handeln, um uns treu zu bleiben.
Knappheit
Aus der Trickkiste der Verkäufer stammt die Masche, die Begehrlichkeit nach einem Produkt zu steigern, indem man vorgaukelt, dass das Produkt bald vergriffen ist. Möglichkeiten, die uns schwerer erreichbar scheinen, kommen uns besonders wertvoll vor. Dasselbe gilt für Informationen. So wirken Informationen, die zunächst vorenthalten werden, besonders wichtig und man gibt mehr, um diese zu erhalten.
Soziale Bewährtheit
Eine sozialpsychologische Strategie nutzt aus, dass wir ein Verhalten in einer gegebenen Situation als richtig betrachten, weil wir es bei anderen beobachten. Das Ganze wird undifferenziert auch als Herdentrieb bezeichnet. Dieses Prinzip greift umso stärker, je unsicherer wir uns in einer Situation fühlen. Oft lässt sich ein Manipulationsansatz erahnen, wenn gezielt versucht wird, Bewährtheit zu suggerieren. Beispielsweise wird der Neuling in der Abteilung sehr wahrscheinlich darauf hören, wenn der ältere Kollege ihm sagt: „Das macht hier jeder so“. Ein bisschen simpler – aber offenbar erfolgreich – geht die Werbeindustrie vor, wenn sie behauptet: „20.000 zufriedene Kunden können nicht lügen“.
Soziale Anerkennung
Ein grundlegendes Bedürfnis von Menschen ist die soziale Anerkennung, und das nicht erst seitdem es Instagram- und Snapchat-Likes gibt. Dadurch kann ein Angreifer einen Mitarbeiter um einen Gefallen bitten, der die Wertschätzung des Mitarbeiters entweder gegenüber dem Angreifer oder auch gegenüber Dritten erhöht. Beispielsweise kann einem Mitarbeiter versprochen werden, bei Zulieferung von Informationen zu einem angeblichen Projekt, seine Arbeit gegenüber der Geschäftsleitung zu loben.
Sympathie
Eher trivial erscheint es, dass man eher sympathischen Menschen traut und auch eher geneigt ist, ihnen eine Gefälligkeit zu erweisen. Durch den Halo-Effekt kann eine herausstechende Eigenschaft andere, eher schlechte Eigenschaften überstrahlen. Dieser Effekt wurde bei der Attraktivität eines Menschen besonders oft belegt. So werden einem sehr gut aussehenden Menschen auch hohe Intelligenz und beruflicher Erflog zugesprochen. Neben der Attraktivität gibt es weitere Merkmale, die andere Menschen für uns sympathisch erscheinen lassen – beispielsweise die Ähnlichkeit durch Suggerieren derselben Hobbys oder durch Tragen ähnlicher Kleidung. Für Attacken, die auf Sympathie abzielen, ist Wissen über die Firma, ihre Angestellten und die Positionen, in denen sie arbeiten, äußerst nützlich.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Autorität
Eine gerne ausgeübte Masche ist, Druck auszuüben. Zwei bekannte Beispiele, Autorität zur Manipulation einzusetzen, sind der Hauptmann von Köpenick, der sich in falscher Uniform mit schneidigem, militärischem Auftreten geschickt Zugang zur Stadtkasse verschafft hatte, sowie das Milgram-Experiment, in dem erwachsene Menschen bereit waren, jemand anderen zu foltern, nur weil ein Wissenschaftler den Befehl dazu gab.
In Wirtschaftsunternehmen gibt es zwar meistens keine Organisation in Befehlsketten. Dennoch gibt es Möglichkeiten, ein Opfer zum Handeln zu bewegen, zum Beispiel mit Sätzen wie: „Hier geht es um einen sehr wichtigen Auftrag“ oder „Morgen kommt die Revision ins Haus, wenn wir die Unterlagen nicht zusammenhaben, dann …“.
Neugier
Menschen sind von Natur aus neugierig. Der Entdecker in uns ist tief verankert und hat viele wissenschaftliche Errungenschaften hervorgebracht. Im Fall von Social Engineering kann Neugier jedoch schädlich sein. Sie verleitet allzu oft dazu, einen gefundenen USB-Stick oder Ähnliches an den PC anzuschließen.
Security Awareness muss in Fleisch und Blut übergehen
Dieses psychologische Wissen ist die Basis dafür, dass Unternehmen wirksame Verteidigungsstrategien aufbauen können. Nur wer die Arbeitsweise des Gegners kennt, kann passende Abwehrmaßnahmen entwickeln. Die Maßnahme allein reicht allerdings nicht, sondern es braucht auch deren systematische Verankerung in den Arbeitsalltag. Wichtig ist, Security Awareness niemals als statisch zu betrachten, sondern die Strategie laufend anzupassen. Social Engineering und Phishing-Angriffe haben sich in letzter Zeit stark gewandelt. Anstatt auf Quantität und eine Schrotflinten-Strategie setzen Angreifer immer mehr auf gezielte, qualitativ hochwertige Angriffe. Sie setzen viel mehr Recherche ein und kombinieren die erwähnten psychologischen Trigger.
Sensibilisierung durch regelmäßige Trainings und Unterweisungen wird da nicht viel helfen. Die Maßnahmen sind zu theoretisch und werden von Mitarbeitern eher als lästige Pflichtaufgabe verstanden. Ein nachhaltiges Training, das eine Verhaltensänderung anstrebt, braucht die Konditionierung im Tagesgeschäft. Die Mitarbeiter müssen das Erlernte selbst anwenden. Autofahren konnte man auch nicht nach den Theoriestunden, sondern man hat die Praxisstunden benötigt.
Ein ganzheitliches Konzept beinhaltet einen Wissenstransfer der Theorie, ein nachhaltiges und sich kontinuierlich wiederholendes Training sowie eine effektive, ressourcenschonende Steuerung.
Die Theorie bläut sich beispielsweise mithilfe von Live-Hacking-Veranstaltungen ein, bei denen Mitarbeitern und den Sicherheitsverantwortlichen die Psycho-Tricks der Social Engineer so anschaulich wie möglich vor Augen geführt werden.
Rollenspiele in Workshops helfen dabei, das Angriffspotenzial am eigenen Leib zu erleben und sich in die Rolle des Angreifers zu versetzen. Mitarbeiter erhalten ein Gespür dafür, wie Social Engineers denken und handeln. Zudem üben sie so die passenden Abwehrreaktionen.
Unterstützende Spear-Phishing-Kampagnen mit gezielten und persönlichen E-Mails über mehrere Monate fordern die Mitarbeiter immer wieder heraus, das Erlernte unter realen Bedingungen anzuwenden. Im Idealfall orientieren sich die personalisierten E-Mails daran, wie ein Mitarbeiter auf die verschiedenen psychologischen Kniffe reagiert.
Angriffssimulationen, wie Zutrittsversuche, Versuche, einen entsperrten Computer zu nutzen, und Dumpster Diving, steigern das Bewusstsein bei Mitarbeitern für das, was passieren kann, wenn Social Engineering erfolgreich ist.
Damit Security Awareness keine gefühlte Größe im Unternehmen bleibt, brauchen Unternehmen eine Steuerungskomponente in Form von Zielen und Kennzahlen. So lassen sich das Sicherheitsniveau einzelner Bereiche und der Fort- oder Rückschritt messen sowie Maßnahmen anpassen. Kennzahlen helfen zudem dabei, den Schulungsbedarf im Unternehmen zu ermitteln und Trainings danach auszurichten. Das spart Ressourcen und Unternehmen kommen – wie ihre Gegner – weg von einer Schrotflinten-Strategie, und kurieren alle Symptome nicht mit derselben Dosis Medizin.
Über den Autor: Dennis Pokupec ist Information Security Consultant von Sopra Steria. Sein Themenschwerpunkt liegt auf Informationssicherheitsmanagementsysteme und Schulungen zur Security Awareness.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/images.vogel.de/vogelonline/bdb/1628400/1628434/original.jpg "In unserer neuen Folge des Security-Insider Podcast fragen wir: Was ist eigentlich Security Awareness und warum brauchen Unternehmen das? (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d4/d5/d4d55c9575c6ec8cb46282b8975f207c/87400231.jpeg "Häufig sind es im Alltag angewöhnte Automatismen, die zu gefährlichen Situationen führen, denn Angreifer machen sich immer mehr die „Schwachstelle Mensch“ zunutze. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ea/73/ea73089d77ed50b04b76cf96ea4cdb21/0123062722v1.jpeg "Phishing wird für Cyber-Angreifer immer einfacher. KI-basierte Sicherheitssysteme können künftig helfen, schädliche Mails frühzeitig zu identifizieren und verdächtige Aktivitäten schnell zu erkennen. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/3c/f23c3cb20b569c7839fe6be7a6df2e48/0124169347v2.jpeg "Obwohl das Risiko von Hacker-Angriffen stetig wächst, verfügen immer noch rund 40 Prozent der KMU über keinen angemessenen IT-Security-Schutz. (Bild: Maria Mikhaylichenko - stock.adobe.com)")